Nachdem der
europäische Gerichtshof bereits 2015 den Vorgänger des EU-US Privacy Shields, das sogenannte "Safe-Harbor-Abkommen" gekippt hatte, wurde durch die EU ein sogenannter Teilangemessenheitsbeschluss, das "EU-US Privacy Shield", eingeführt. Dieser Teilangemessenheitsbeschluss, der seither die Übermittlung personenbezogener Daten an die USA ermöglicht, wird durch die Entscheidung des EuGH vom 16.07.2020 (Az. C-311/18) nun ebenfalls als rechtswidrig eingestuft.
Was ist überhaupt das EU-US Privacy Shield?
Bei dem EU-US Privacy Shield handelte es sich um einen sogenannten Teilangemessenheitsbeschluss der europäischen Union gem. Artikel 45 DSGVO. Dieser Teilangemessenheitsbeschluss ist rechtlich notwendig, damit Daten aus dem europäischen Raum in die USA übertragen werden durften. Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU ist aufgrund von Artikel 44 DSGVO nur unter gewissen Voraussetzungen zulässig.
Eine Übermittlung in Drittländer ausserhalb der EU darf nur dann stattfinden, wenn
der Verantwortliche und der Auftragsverarbeiter die in [Artikel 44 ff. DSGVO] niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung [Anm. der DSGVO] eingehalten werden.
Eine Möglichkeit, wie personenbezogene Daten in Länder außerhalb der EU übertragen werden dürfen, ist ein Angemessenheitsbeschluss der Europäischen Union gemäß Artikel 45 DSGVO.
Aktuell liegen zu folgenden Ländern Angemessenheitsbeschlüsse der EU vor: Andorra, Argentinien, Kanada, Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, und Neuseeland. Hinsichtlich der USA war der Angemessenheitsbeschluss auf den Anwendungsbereich des EU-US Privacy Shields begrenzt.
Wie kam es überhaupt zu der Entscheidung?
Der bekannte Datenschützer Max Schrems, der bereits für das Scheitern des Safe-Harbor-Abkommens mitverantwortlich gewesen ist, hat gegen das neue Framework der USA-Beziehung geklagt (
wir berichteten). Im aktuellen Verfahren war bereits der Irish High Court der Auffassung, dass durch die Regierungsbehörden der Vereinigten Staaten eine gezielte und massive Überwachung europäischer Bürger stattfindet. Die Datenübertragung in die USA ist insbesondere vor dem Hintergrund des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act) (wir
berichteten) schwierig. Auf Grundlage des CLOUD-Act haben US-Behörden einen Anspruch auf Herausgabe aller bei einem Unternehmen gespeicherten Daten. Hiervon umfasst sind grundsätzlich auch Daten von EU-Bürgern.
Warum wird das EU-US Privacy Shield als unzulässig angesehen?
Der Teilangemessenheitsschluss ist bereits seit Jahren unter Datenschützern umstritten. Der Zweck von Angemessenheitsbeschlüssen ist es, sicherzustellen, dass für die Verarbeitung personenbezogener Daten im EU Ausland (sog. Drittstaaten) der gleiche Schutz herrscht wie in Europa. Da in den USA jedoch unter anderem Behörden Zugriff auf alle personenbezogenen Daten haben und auch sonst wenig Schutzmechanismen greifen, sehen die Luxemburger Richter diese Gleichwertigkeit des Schutzes als nicht gegeben an.
Warum der Schutz nicht gleichwertig?
Beim EU-US Privacy Shield handelte es sich um einem Selbstzertifizierungsmechanismus. In diesem konnten sich die US-Unternehmen in wenigen Schritten selbst zertifizieren. Ein Großteil der Datentransfers von der EU in Drittstaaten, einschließlich den USA, wurde über diesen Mechanismus abgewickelt. Da aber trotz des Mechanismus eine massive staatliche Überwachung personenbezogener Daten stattgefunden hat, kann der dadurch entstandene Schutz nicht als gleichwertig angesehen werden.
Verschärfend kommt wohl noch hinzu, dass durch jüngste Gesetzesänderungen, wie dem sog. "Clarifying Lawful Overseas Use of Data Act" (CLOUD Act), eine weitere Aufweichung des eigentlich zu gewährenden Datenschutzniveaus stattgefunden hat.
Ist eine Übertragung in die USA ohne Privacy Shield rechtlich überhaupt noch zulässig?
Grundsätzlich ist eine Datenübertragung in die USA weiterhin möglich. Allerdings müssen nunmehr andere Rechtsgrundlagen zur Übermittlung verwendet werden. Dies kann zum Beispiel durch das Verwenden von Standardvertragsklauseln der EU gemäß Artikel 46 Abs. 2 c) DSGVO erfolgen. Diese Standardvertragsklauseln wurden vom EuGH noch einmal explizit als zulässig bewertet.
Welche Auswirkungen hat das "Kippen" des Privacy Shields?
Sofern die Übertragung in die USA nicht auf andere Rechtsgrundlagen, wie zum Beispiel Standardvertragsklausel, gestützt werden kann, ist die Übertragung personenbezogener Daten rechtswidrig. In der Übertragung liegt somit ein Datenschutzverstoß vor, der auch mit einem Bußgeld geahndet werden kann.
Was ist jetzt zu tun?
Wir raten ausdrücklich allen Internetseitenbetreibern dazu, ihre Datenverarbeitungsprozesse auf der Internetseite dahingehend zu untersuchen, ob sie personenbezogene Daten die USA übermitteln. Sollte dies der Fall sein, ist zwingend beim Anbieter zu ermitteln, ob dieser gegebenenfalls auch Standardvertragsklauseln verwendet. Im Zweifel sollte vorübergehend auf den Einsatz der entsprechenden Datenverarbeitungsprozesse verzichtet werden.
Sofern man sich nicht sicher ist, ob Standardvertragsklauseln oder andere Rechtsgrundlagen einschlägig sind, sollte man den Diensteanbieter direkt kontaktieren und fragen auf welcher Basis die Daten in die USA übertragen werden können.
Viele Firmen bieten bereits Standardvertragsklauseln an. In einer ersten Durchsicht konnten diese bei Cloudflare, Google Gsuite, Google Cloud, Facebook, Microsoft, Amazon-Web Service, Twitter, Wordpress, Stripe, Survey Monkey, Mail-Chimp, Stackpath, Pubmatic, Citrix und Zendesk aufgefunden werden. Ob Sie die dazugehörigen Verträge (wie z.B. Auftragsverarbeitungsvertrag) abgeschlossen haben sollten Sie kurz selbst oder durch ihren Datenschutzbeauftragten prüfen.
Erhalte ich neue Rechtstexte von der Website Check GmbH?
In einem ersten Schritt werden wir sämtliche bislang auf das EU-US Privacy Shield gestützten Webdienste als unzulässige Übertragung kennzeichnen. Hierdurch wird sich auch an der Datenschutzerklärung etwas ändern. Wir müssen weiterhin dazu raten, die Informationspflichten aus Art. 13 ff. DSGVO einzuhalten und den Seitenbesucher darüber zu informieren, dass ein entsprechender Webdienst im Einsatz ist. Die bisher genannte Rechtsgrundlage für die Übermittlung, nämlich das Privacy Shield, entfällt hierbei.
In einem zweiten Schritt werden wir die häufigsten Dienste dahingehend überprüfen, ob die Verarbeitung auch auf eine andere Rechtsgrundlage, wie zum Beispiel Standardvertragsklauseln gestützt werden kann. Wenn dies der Fall ist, wird in einer zweiten Welle eine erneute, angepasste Datenschutzerklärungen übersendet.
Fazit
Im Hinblick auf das Kippen des EU-US Privacy Shields ist Handlungsbedarf geboten! Zum einen müssen die auf der Internetseite erkennbaren Webdienste dahingehend überprüft werden, ob sie dann in die USA übertragen und auf eine andere Rechtsgrundlage gestützt werden können. Zum anderen betrifft dies aber auch alle Prozesse, die eben nicht auf der Internetseite ersichtlich sind. Es ist allerdings auch zu erwarten, dass viele große amerikanische Unternehmen nunmehr auf Standardvertragsklauseln umsteigen werden, um weiterhin wirtschaftlich in Europa aktiv sein zu können.
Falls Sie eine Webseite oder einen Online-Shop betreiben und Ihren Internetauftritt effektiv, nachhaltig gegen teure Bußgelder und Abmahnungen absichern möchten, stehen wir Ihnen mit unserem Website-Check bzw. unserem Paket für einen rechtssicheren Online-Shop gerne zur Seite. Sie erhalten von uns die auf Ihre Webseite angepassten Rechtstexte (Impressum, DSGVO-konforme Datenschutzerklärung, Widerrufsbelehrung, Muster-Widerrufsformular). Diese müssen Sie dann nur noch auf Ihrer Seite einpflegen. Darüber hinaus prüft ein spezialisierter Rechtsanwalt Ihre Seite, selbstverständlich inklusive Haftungsübernahme.