Am 16.07.2020 hat der Europäische Gerichtshof das Privacy Shield für ungültig erklärt.
In diesem Beitrag zeigen wir auf, worum es im Urteil überhaupt geht. Für alle, die sich der Konsequenzen schon bewusst sind, geben wir auch Handlungsempfehlungen – nach dem aktuellen Stand der Stellungnahmen der Aufsichtsbehörden und Rücksprache mit Fachkollegen.
[Update am 26.10.2020: Nach einem Austausch in kleiner Runde mit Vertretern der bayerischen Aufsichtsbehörde und erfahrenen Datenschützern, wird dieser Artikel mit den Ergebnissen des Gesprächs ergänzt.]
Die nachfolgende Zusammenfassung stellt natürlich keine Rechtsberatung dar.
Inhaltsverzeichnis
Auf den Punkt gebracht: Das EU – US Privacy Shield wurde für ungültig erklärt
- Datentransfer in die USA, der auf dem Privacy Shield beruht ist ungültig.
- Die Standardvertragsklauseln sind weiterhin gültig. Speziell für die Übermittlung in die USA müssen sie aber ergänzt werden.
- Im Einzelfall ist zu entscheiden, wie die Daten geschützt sind.
Vorgeschichte
Der vorgelagerte Rechtsstreit begann schon im Jahr 2013, als Max Schrems Beschwerde einreichte. Es ging darum, dass Facebook die Daten seiner Nutzer (u.a. von Herrn Schrems) an das Unternehmen in den USA übermittelt. Hier läge kein ausreichender Schutz der personenbezogenen Daten vor dem Zugriff der amerikanischen Behörden vor.
Rechtlicher Rahmen
Im Verfahren wurde auf verschiedene Entscheidungen und Gesetze Bezug genommen. Die damals gültige Richtlinie 95/46 wurde während des Verfahrens aufgehoben und durch die DSGVO ersetzt.
DSGVO
Ohne auf die einzelnen Artikel der DSGVO aus der Urteilsverkündung einzugehen, möchte ich doch die herangezogenen Erwägungsgründe nennen. Es lohnt sich, diese im aktuellen Zusammenhang einzusehen (da die meisten ja weniger die Erwägungsgründe lesen und sich nur auf die Artikel stützen):
- Erwägungsgrund 6 (technologische Entwicklung und Globalisierung)
- Erwägungsgrund 10 (einheitliches Datenschutzniveau für natürliche Personen)
- Erwägungsgrund 101 (Datenübermittlung in Drittstaaten nach festgelegten Bedingungen)
- Erwägungsgrund 103 (Festlegung der Kommission, dass ein Drittland oder ein bestimmter Sektor ein angemessenes Datenschutzniveau bietet)
- Erwägungsgrund 104 (Bewertung des Drittlands auf die Übereinstimmung mit den Grundwerten der Union)
- Erwägungsgrund 107 (Verbot der Übermittlung in ein Drittland durch die Kommission)
- Erwägungsgrund 108 (Alternativen zu einem Angemessenheitsbeschluss)
- Erwägungsgrund 109 (Standard-Datenschutzklauseln)
- Erwägungsgrund 114 (Möglichkeiten bei fehlendem Angemessenheitsbeschluss durch die Kommission)
- Erwägungsgrund 116 (fehlende Betroffenenrechte im Drittland)
- Erwägungsgrund 141 (Beschwerderecht)
SDK-Beschluss
Es wird auf verschiedene Erwägungsgründe und Artikel des SDK-Beschlusses verwiesen. Zudem wird auf den Anhang der Standardvertragsklauseln verwiesen. Dieser enthält 12 Standardklauseln.
DSS-Beschluss
Verweis auf das Urteil vom 6.10.2015, welches den damaligen Angemessenheitsbeschluss „Safe Harbour“ für ungültig erklärt hat.
Entscheidung des EuGHs
EU-US Privacy Shield
Der Angemessenheitsbeschluss für das EU-US Privacy Shield wurde für ungültig erklärt. Mögliche Zugriffe der Regierungsbehörden der USA aufgrund der Erfordernisse der nationalen Sicherheit und des öffentlichen Interesses seien nicht in Einklang mit den Grundrechten der EU-Bürger zu bringen.
EU-Standardvertragsklauseln
Schön ist, dass die Standardvertragsklauseln weiterhin gültig bleiben. So das aktuelle Urteil. Diese sind eine der Möglichkeiten, die eine Übermittlung ins Drittland zulässig machen können.
Da natürlich die alleinige Verwendung der Standardvertragsklauseln auch nicht zwingend eine Garantie für den Schutz der Daten der betroffenen Personen ist, müssen diese noch erweitert werden. Diese Möglichkeit besteht allerdings, um das Schutzniveau zu erhöhen.
Welche Auswirkungen hat das ungültige EU-US Privacy Shield?
Ungültige Datenweiterleitung in die USA
Basiert Ihr Auftragsverarbeitungsvertrag auf dem Angemessenheitsbeschluss des EU-US Privacy Shields, ist diese Verarbeitung nun nicht mehr gültig. Wie dies aktuell in der Praxis gehandhabt wird, wird sich zeigen.
Für die Datenverarbeitung müssen nun sehr wahrscheinlich zusätzliche Garantien geschaffen werden, die sicherstellen, dass die Daten der Betroffenen entsprechend dem europäischen Niveau geschützt werden.
Neue Regelungen durch erweiterte Standardvertragsklauseln
Dies kann durch die Erweiterung der Standardvertragsklauseln geschaffen werden. Hierbei ist besonders auf die Maßnahmen von Datenexporteur (in der Regel der Verantwortliche) und Datenimporteur (der Auftragsverarbeiter) einzugehen.
Leider ist nicht ganz eindeutig, welche Maßnahmen aus Sicht des Gerichts als ausreichend gelten und welche unzulässig erscheinen. Wir hoffen, dass es hier in Kürze eine konkrete Hilfestellung geben wird.
Bis die Standardvertragsklauseln konkretisiert und erweitert werden, ist der Verantwortliche in der Pflicht, die Lage im Drittland zu kontrollieren. Laut GDD soll dies dann je nach Situation über eine Einzelfallprüfung zu evaluieren sein. Aber seien wir ehrlich – wie realistisch ist dies für ein kleines oder mittelständisches Unternehmen in der Praxis?
Der Datenschutzbeauftragte des Landes Baden-Württemberg hat konkrete Empfehlungen gegeben, die Standardvertragsklauseln zu erweitern.
Verändern dürfen Sie die Standardvertragsklauseln in keinem Fall. Maximal eine Ergänzung ist möglich. Änderungen an den SCCs müssen durch den EDSA genehmigt werden.
Einfach wäre es, die Datenübermittlung mit Binding Corporate Rules (BCR) zu regeln.
Regeln des Datentransfers in Drittstaaten durch verbindliche interne Datenschutzvorschriften
Im Gegensatz zu den Standardvertragsklauseln können die internen Datenschutzvorschriften für Konzerne von der Aufsichtsbehörde (in der Regel Sitz des Headquarters) genehmigt werden.
BCRs sind multilaterale Verträge zwischen den Gesellschaften. Textlich sind diese weitaus umfangreicher als die Standardvertragsklauseln.
Grundsätzlich haben die Bindung Corporate Rules eine längere „Haltbarkeitsdauer“ als Safe Harbour und Privacy Shield, wie die jüngste Vergangenheit gezeigt hat.
Fazit zum EuGH Urteil des gekippten EU-US Privacy Shields
Dass das Privacy Shield auf Dauer so nicht Bestand haben würde, überrascht wohl die wenigsten. Dass das Ende allerdings so unvermittelt kam (aus Sicht der meisten), war nicht zu erwarten.
Dass die Standardvertragsklauseln erweitert werden müssen, aber trotzdem gültig bleiben, ist ein positives Zeichen. Wie mit den Standardvertragsklauseln allerdings amerikanisches Recht mehr oder weniger umgangen werden soll, ist aus unserer Sicht nicht ganz nachvollziehbar.
Zugriff der US-Behörden auf personenbezogene Daten
In den USA gibt es verschiedene rechtliche Grundlagen, die es rechtfertigen, dass den Behörden Zugriff auf personenbezogene Daten gewährt wird. FISA Section 702 zum Beispiel enthält Verpflichtungen für electronic digital service Providers. Ein anderes Beispiel, die Executive Order 12333 gibt Vorgaben zu Daten außerhalb der USA. Diese Punkte können allein durch die Standardvertragsklauseln nicht umgangen werden. Beide Gesetze entsprechen nicht den Maßstäben des EU-Rechts (Art. 52 EUGRCh, Art. 47 EU GRCh) an Erforderlichkeit und Verhältnismäßigkeit und gewährleisten keinen angemessenen Schutz der Daten.
Anfragen aufgrund der FISA Bestimmung sind nach den Transparenzberichten der Anbieter weitaus geringer in der Anzahl, als subjektiv vermutet. Betrachtet man die Zahlen bei den „Großen“, sollte schnell klar sein, dass kleinere Unternehmen wohl gar nicht so in den Fokus der Behörden rücken. Zu berücksichtigen ist aber auch, dass nicht alle Dienstleister unter die FISA Section 702 fallen.
Man muss allerdings dazu sagen, dass erfolgreich umgesetzte Anfragen einer Sperre von 6 Monaten unterliegen. Mitteilung über den Zugriff an Auftraggeber und betroffene Personen darf nicht erfolgen.
Im ausführlichen Urteil des EuGHs wird allerdings auch noch einmal detailliert darauf eingegangen, welche Rechte nicht US-Bürgern in Bezug auf diese Datenüberwachung zustehen. Vielleicht ist es auch ein Ansatz, hier transparenter zu werden.
Zugriff der Behörden in Europa auf personenbezogene Daten
Der Vollständigkeit halber muss man erwähnen, dass die DSGVO diesen Fall natürlich auch regelt. Dass Behörden unter bestimmten Voraussetzungen auf Daten zugreifen müssen, ist erlaubt. So würde das auch in den USA gelten. Allerdings gelten in Europa Grenzen und weitere Vorgaben, die den Zugriff der Behörden regeln.
Genau diese Grenzen fehlen in den USA und das macht es auch so schwierig bzw. unmöglich, die Anforderungen des europäischen Datenschutzniveaus einzuhalten.
Nichtsdestotrotz ist es eine Anforderung des Urteils, die Daten der EU-Bürger vor dem Zugriff der Regierungsbehörden zu schützen.
Bußgelder für Datenübermittlung in die USA
Der GDD fordert, die Sanktionsmaßnahmen von EU-Aufsichtsbehörden vorerst auszusetzen, wenn sich diese auf Datenexporte in die USA beziehen, die auf der Grundlage des Privacy Shields beruhen.
Wie dies in der Praxis tatsächlich Anwendung findet, ist aktuell noch offen. Der EuGH hat in seinem Urteil allerdings die Aufsichtsbehörden etwas unter Druck gesetzt, da sie die Umsetzung des Urteils auch prüfen sollten bei den Unternehmen. Dass dies quasi unmöglich ist, sollte jedem bewusst sein.
Handlungsempfehlung – was heißt das für Sie als Verantwortlicher?
Wenn Sie Datenverarbeitungen in die USA weitergeben, die sich rein auf das Privacy Shield beziehen, wurde diesen nun die Rechtsgrundlage entzogen. Diese Verfahren sind aktuell nicht mehr gültig.
Folgende Vorgehensweise wird von den Experten empfohlen
Nachfolgend gehen wir noch detailliert auf die Punkte ein.
- Bestandsaufnahme aller Übermittlungen in Drittländer
- Rechtslage im Drittland bei Datenzugriffsmöglichkeiten der Behörden
- Prüfen der Subdienstleister
- Alternative Anbieter evaluieren
- Risiken bewerten
- Entscheidung
Bestandsaufnahme aller Übermittlungen
- Im Idealfall haben Sie eine Übersicht Ihrer Auftragsverarbeiter bereits aus dem Verfahrensverzeichnis oder Ihrer Vertragsübersicht
- Aktuell sollten Sie den Schwerpunkt auf Auftragsverarbeiter in den USA setzen, aber eigentlich müssen Sie die Übersicht und Bewertung für alle vornehmen.
- Auf welche Regelung der Datenübermittlung beziehen sich die Dienstleister
- Privacy Shield only
- Standardvertragsklausen (SCC)
- Binding Corporate Rules (BCRs)
- Individuelle Regelung
- …
Rechtslage im Drittland bei Datenzugriff
Dieser Punkt ist extrem schwierig. Sie sollten prüfen, auf welchen Rechtsgrundlagen im Drittland den Behörden ein Zugriff auf Daten erlaubt ist.
In den USA ergibt sich eine Anforderung aus der FISA Section 702. Allerdings fallen nicht alle Anbieter unter diese FISA Section 702. Wenn Sie das für Ihren Dienstleister klären können, fällt schon mal ein wesentlicher Punkt weg.
Bei der Executive Order 12333 geht es um den Zugriff während der Übertragung. Hier fallen alle Dienstleister darunter.
Sie sollten sich theoretisch auch die Frage stellen, welche Aufsichtsbehörden die Möglichkeit haben, Zugriff auf die Daten zu erhalten.
Ob es tatsächlich die Aufgabe jedes Auftraggebers ist, dies selber zu evaluieren und eine abschließende Übersicht zu erstellen, ist fraglich und wahrscheinlich auch unmöglich.
Subdienstleister prüfen
Damit es nicht zu einfach ist, ergibt sich aus der DSGVO für Sie als Auftragnehmer auch die Anforderung, die Subdienstleister zu prüfen.
Die Subdienstleister, die sich nun auf die Standardvertragsklauseln berufen, können das in ihrer Funktion als Unterlieferant gar nicht. Standardvertragsklauseln können nur zwischen Verantwortlichen und Dienstleister abgeschlossen werden.
Das würde bedeuten, dass Sie mit jedem Subdienstleister Ihrer Auftragsverarbeiter oder Dienstleister einen eigenen Vertrag schließen, der sich auf die Standardvertragsklauseln bezieht. In der Praxis nicht möglich.
Es besteht die Möglichkeit, dass Sie Ihrem Dienstleister eine Vollmacht geben. Er könnte dann in Ihrem Namen den Vertrag schließen.
Wie das in der Praxis laufen wird, wird sich zeigen.
Alternative Anbieter
Viele Anbieter in den USA bieten Onlineservices an, die unser Leben und Arbeiten erleichtern, aber nicht zwingend für das „Überleben“ des Business notwendig sind. Videokonferenzanbieter oder Newsletter-Dienstleister sind wichtig, aber nicht für jedes Unternehmen in der täglichen Anwendung zwingend notwendig.
Prüfung im Einzelfall
Sind Sie auf einen Verarbeiter in den USA zwingend angewiesen, sollten Sie tatsächlich eine Einzelfallprüfung des Schutzniveaus in Erwägung ziehen. Kontaktieren Sie in diesem Fall den Anbieter und sprechen Sie mit ihm die weitere Vorgehensweise durch.
Risiken analysieren
Nachdem Sie nun alle Schritte durchgeführt haben und weiterhin amerikanische Anbieter nutzen wollen / müssen, sollten Sie die Risiken festhalten.
Empfehlungen für die Risikoanalyse
Herr Filip von der Bayerischen Datenschutzaufsicht sieht folgende Punkte als wesentlichen Inhalt der Risikoanalyse:
- In welchem Umfang können die Behörden Zugriff auf welche Daten nehmen?
- Wie ist die Erforderlichkeit und Verhältnismäßigkeit der Zugriffsmöglichkeiten in Bezug auf den Standard der EU-Charta? Hier müssen Sie wahrscheinlich weitere Informationen vom Anbieter anfordern, um das bewerten zu können.
- Wie erfolgt der Rechtsschutz der betroffenen Personen?
- Wie sehen die weiteren Maßnahmen aus, die ein vergleichbares Schutzniveau sicherstellen sollen?
Entscheidung Datenübermittlung
Sind die Risiken hoch, weil kein Schutz der betroffenen Personen möglich ist, weil z.B. keine weiteren Maßnahmen möglich sind, dann darf der Transfer der Daten nicht stattfinden.
Laut den EDSA FAQs zum Schrems II Urteil muss die Datenschutzbehörde informiert werden, wenn der Transfer fortgesetzt wird. Hier sind sich aber auch die Behörden unschlüssig, ob die Information immer erfolgen muss oder nur, wenn keine Maßnahmen gefunden wurden, die den Mangel kompensieren.
Kann man es überhaupt „richtig“ machen?
Die Aussagen der Experten dazu sind sich einig: Nein, unter den aktuellen Voraussetzungen gibt es keine datenschutzkonforme Lösung, um Daten in die USA zu transferieren.
Warum also dann überhaupt Mühe machen und nicht alles wie bisher?
Hier sagen die Aufsichtsbehörden natürlich auch ganz klar, dass das nicht sein kann. Sie müssen schon aktiv werden und wenigstens guten Willen zeigen.
Empfehlung der Datenbeschützerin
Gehen Sie, wie oben beschrieben vor. Listen Sie Ihre Dienstleister. Evaluieren Sie den möglichen Datenzugriff durch Behörden, die Grundlage der Datenübermittlung und bewerten Sie abschließend die Risiken.
FAQ des EDSA und des LfDI Rheinland-Pfalz
Der EDSA sowie das LFDI Rheinland-Pfalz veröffentlichten ein FAQ zur Datenübermittlung in Drittländer.
Fragen wie „Können die Vertragsparteien die Standardvertragsklauseln selbst anpassen?“ oder „Was müssen Verantwortliche jetzt tun“ werden darin beantwortet.
Handlungsempfehlungen der GDD
Auch die GDD veröffentlicht eine Handlungsempfehlung zum Umgang mit der Datenübermittlung in die USA.
Grundsätzlich fordert die GDD, dass Bußgelder und anderweitige Sanktionsmaßnahmen zunächst unterbleiben sollten. Die in Drittländer ansässigen Unternehmen müssen Zeit erhalten, um die Verträge und internen Strukturen zur Datenverarbeitung anzupassen.
Update November 2020: Update Handlungsempfehlung der GDD
Die GDD hat ihre Handlungsempfehlung aktualisiert und empfiehlt folgende Schritte zur differenzierten Bewertung von Datenverarbeitungsvorgängen mit Drittlandbezug:
- Zweck der Datenübermittlung (z.B. zur Vertragserfüllung etc.)
- Art der Daten (z.B. Logfiles, Kundendaten etc.)
- Umfang der Verarbeitung (nur vereinzelte oder sämtliche Daten?)
- Kontext der Verarbeitung (z.B. Hosting, technischer Support etc.)
- Empfänger (z.B. externer Dienstleister etc.)
- Bewertung der technischen und organisatorischen Maßnahmen des Dienstleisters
- Ggf. Reduktion des Datenumfangs
- Dokumentation, wie zumutbar der Wechsel zu einem europäischen Anbieter wäre; es wird davon ausgegangen, dass die Aufsichtsbehörden hier ein besonderes Augenmerk legen
Des Weiteren teilt die GDD mit, dass in einer parlamentarischen Sitzung im September 2020 der Erlass von neuen Standardvertragsklauseln um Ende des Jahres erwartet werden. Ein Entwurf soll in Kürze veröffentlicht werden.
Update August 2020: Orientierungshilfe LfDI Baden-Württemberg (1. Auflage)
Das LfDI Baden-Württemberg gibt in seiner Orientierungshilfe eine Checkliste zum Vorgehen bei der Datenübermittlung in Drittländer bzw. USA mit an die Hand. Des Weiteren gibt die Behörde Hilfestellung, inwiefern die Standardvertragsklauseln und vor allem welche Passagen je nach Einzelfall anzupassen sind.
Update Orientierungshilfe LfDI Bade-Württemberg 2. Auflage
Die Orientierungshilfe wurde seitens der Behörde aufgrund der Kritik angepasst und erneut veröffentlicht. Gerade die „Änderung“ der Vertragsklauseln sahen viele Datenschutzbeauftragte für problematisch.
Deshalb wird in der 2. Auflage nicht mehr von Änderungen, sondern Ergänzungen gesprochen.
Update November 2020: EU-Kommission veröffentlicht Entwurf für neuen Standardvertragsklauseln
Anfang November hat die EU-Kommission den Entwurf für die neuen überarbeiteten und angepassten Standardvertragsklauseln veröffentlicht.
Insbesondere der Datenzugriff von Behörden auf Nutzerdaten ist hier aufgegriffen und beschränkt worden. Des Weiteren ist ein Informationsprozess vorgesehen, sofern behördliche Anfragen beim Datenimporteur eintreffen.
Zu welchem Zeitpunkt die neuen Standardvertragsklauseln in Kraft treten ist noch nicht bekannt. Der Entwurf kann hier in englischer Sprache eingesehen werden.
Update Januar 2021: Stellungnahmen zu den Entwürfen
Am 15. Januar beschloss die EDSA und der EDPS eine gemeinsame Stellungnahme zu den Entwürfen der Standardvertragsklauseln.
Gerade von deutscher Seite finden sich viele Punkte in der Stellungnahme wieder. Die offizielle Stellungnahme wird in Kürze hier veröffentlicht.
Quellen:
- Urteil des EuGHs vom 16.07.2020
- GDD Handlungsempfehlung zum Privacy Shield
- FAQ LfDI Rheinland-Pfalz vom 24.07.2020
- FAQ des EDSA vom 23.07.2020
- FAQ des LfDI Baden-Württemberg vom 25.08.2020 (1. Auflage)
- FAQ des LfDI Baden-Württemberg vom 07.09.2020 (2. Auflage)
- Information der GDD für Mitglieder (E-Mail vom 16.07.2020)
- Ergebnisse / Inhalte aus der JUC Onlinekonferenz mit Frau Conrad, Frau Benedikt und Herrn Filip vom 20.10.2020
- BfDI – Stellungnahme zu überarbeiteten Standardvertragsklauseln vom 15.01.2021
Das Urteil wundert mich nicht. Wohl dem der jetzt eine Exitstrategie hat was Office 365 angeht