Privacy Shield kaputt – EuGH „Schrems II“

Jetzt ist es passiert – und es war zu erwarten: Der Europäische Gerichtshof („EuGH“) hat am 16. Juli 2020 (C-311/18 „Schrems II“) das EU-USA-Privacy-Shield-Abkommen („Privacy Shield“) für unwirksam erklärt. Für Transfers von personenbezogenen Daten aus der EU in die USA, die auf den Privacy Shield gestützt werden, entfällt die rechtliche Grundlage. Der EuGH hat geurteilt, dass in den USA kein hinreichendes Datenschutzniveau besteht. Das beeinträchtigt auch die Verwendung der sog. Standardvertragsklauseln. Der Einsatz US-amerikanischer Anbieter wird schwierig, eigentlich unmöglich.

Die Hintergründe:

Laut Datenschutz-Grundverordnung („DS-GVO“) ist dem Grundsatz nach die Verarbeitung von personenbezogenen Daten außerhalb der EU verboten, wenn dort kein angemessenes Datenschutzniveau existiert. Davon gibt es Ausnahmen, die eine Datenübermittlung aus der EU in solche Drittländer dennoch ermöglichen, insbes.:

  • Angemessenheitsbeschluss: Die EU-Kommission hat ein angemessenes Datenschutzniveau für ein bestimmtes Land festgestellt, wie etwa für die Schweiz, Israel, westliches Kanada, Japan, Neuseeland oder Argentinien, nicht jedoch für die USA;
  • Abschluss der von der EU-Kommission genehmigten, vorgefertigten Standardvertragsklauseln („Standard Contractual Clauses“), die den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten (dazu unten mehr);
  • Einführung von Binding Corporate Rules im Unternehmen, um auf dieser Basis den Datentransfer zu sichern;

und eben der weit verbreitete

  • Privacy Shield, bei dem sich US-amerikanische Unternehmen sich über das sog. Privacy Shield-Zertifikat auf Basis des Abkommens selbst verpflichteten, das EU-Recht zu beachten.

Vor allem Privacy Shield und Standardvertragsklauseln spielen aktuell in der Praxis des Datentransfers in die USA eine herausragende Rolle.

Inhalt der Entscheidung:

Voraussetzung für den Privacy Shield – sowie für die Standardvertragsklauseln und wohl auch die Binding Corporate Rules – ist jedoch, dass das „zertifizierte“ (bzw. vertraglich oder per Policy vereinbarte) Datenschutzniveau auch tatsächlich gewahrt wird. Und genau das hat der EuGH den USA abgesprochen.

Grund ist, dass US-Behörden dort weitreichende Prüfungsrechte und somit letztlich jederzeit Zugriff auf die personenbezogenen Daten aus der EU haben, teils auch ohne gerichtlichen Beschluss bzw. Rechtsschutz. Betroffene EU-Bürger, deren Daten zu Anbietern in den USA transferiert wurden, sind dagegen machtlos. Das wiederum verstößt laut EuGH gegen den Kern des Grundrechts auf Datenschutz und ist natürlich mit den hiesigen Datenschutzprinzipien nicht vereinbar. An einem Abkommen, das dies ermöglicht, darf und kann die EU-Kommission nicht festhalten. Es ist laut EuGH unwirksam.

Damit teilt es das Schicksal mit seinem Vorgänger Save Harbour, das im Wesentlichen aus den gleichen Gründen für unwirksam erklärt wurde („Schrems I“). In beiden Fällen hat der Datenschutzaktivist Max Schrems aus Österreich mit seinen Klagen gesiegt.

Folgen der Entscheidung in der Praxis:

Der Privacy Shield fällt somit als Rechtsgrundlage für einen Transfer in die USA aus. Aber auch die vielfach verwendeten Standardvertragsklauseln, die der gestern EuGH als grundsätzlich wirksame Möglichkeit bestätigte, scheiden dann aus, wenn das Datenschutzniveau nicht gewahrt wird – wie eben in den USA. Ein Transfer in ein unsicheres Drittland wie die USA ohne wirksame Rechtsgrundlage ist ein Verstoß gegen die DS-GVO mit all seinen rechtlichen Konsequenzen wie drohendem Bußgeld, Abmahnungen von Betroffenen oder gar Abmahnungen von Wettbewerbern, wobei die Zulässigkeit Letzteren noch zur Entscheidung durch den EuGH aussteht.

Diese rechtlichen Konsequenzen sind wohlgemerkt vom datenschutzrechtlich Verantwortlichen zu tragen, also regelmäßig den in der EU ansässigen Unternehmen, die personenbezogene Daten z.B. ihrer Mitarbeiter, Kunden und Nutzer unter Zuhilfenahme von Diensten aus den USA verarbeiten. Der US-amerikanische Anbieter, der hier als bloßer Auftragsverarbeiter tätig wird oder allenfalls als gemeinsam Verantwortlicher einzustufen ist, steht nicht in erster Schusslinie.

Was tun?

Wer aktuell neue Prozesse unter Einbindung von US-Dienstleistern plant oder schon implementiert, sollte sich zwingend um Alternativen bemühen, die ohne USA-Bezug auskommen. Hier arg- und sorglos einfach den alten Plan umzusetzen, fällt einem später auf die Füße. Obacht: Das gilt natürlich nicht nur für den direkten Vertragspartner, sondern auch für den Einsatz von US-Subunternehmen!

Wer bereits US-Amerikanische Anbieter nutzt – und wer tut das nicht? –, sollte, wo dies angeboten wird, auf EU-Server ausweichen. Zwar ist auch dann nicht zu 100 % auszuschließen, dass die Daten irgendwie in die USA gelangen. Es verbleibt also ein Risiko, aber das scheint mir ein praktikabler, weil zügig umsetzbarer Weg.

Für Fälle, wo das nicht möglich ist, wird von Kollegen empfohlen, wenigstens die Standardvertragsklauseln abzuschließen und sie ggf. mit zusätzlichen Sicherheitsvereinbarungen aufzupeppen. Da diese ja bislang vom EuGH – anders als der Privacy Shield – nicht als per se unwirksam beurteilt werden, sind sie ja formell noch in Kraft. Das läuft dann aber unter dem Aspekt Risikominimierung, man zeigt ein Bemühen um den Datenschutz. Im Fall der Fälle hätte das vor Gericht aber wohl wenig Erfolgsaussicht, solange die US-Behörden und -Gesetzgeber an der derzeitigen Praxis festhalten.

Aussicht:

Die Einbeziehung US-amerikanischer Anbieter ist weit verbreitet. Vielfach fehlen europäische Alternativen. Jedenfalls ist der Technologievorsprung in den USA in vielen für die Internetwirtschaft und die Digitalisierung relevanten Bereichen groß. Inhaltlich und wirtschaftlich attraktive Angebote kommen daher vielfach von Dienstleistern aus den USA, auch wenn diese über deren europäischen Töchter angeboten werden. Da fällt es verständlicher Weise schwer zu widerstehen. Das ist aktuell ein Problem.

Dieses Problem könnte aber auch Teil der Lösung sein. Ich kann mir nicht wirklich vorstellen, dass es bei der jetzigen Rechtslage bleibt. EU-Kommission und (hopefully) auch die US-Regierung sollten eigentlich ein großes Interesse daran haben, einen Ersatz für Save Harbour / Privacy Shield auszuhandeln.