Die Aufhebung des EU-US Privacy Shields hat weitreichende Folgen: Alle europäischen Unternehmen, die Services von US-Anbietern nutzen, müssen nun Maßnahmen ergreifen, um weiterhin personenbezogene Daten rechtskonform in die USA übermitteln zu können. Denn die praxistauglichste Rechtsgrundlage für Datenübermittlungen in die USA wurde im Juli 2020 mit sofortiger Wirkung für ungültig erklärt.
Die Nutzung digitaler Angebote von US-Anbietern, wie etwa Cloud-Dienste oder Software-Pakete, ist für die meisten Unternehmen selbstverständlich. Die damit in der Praxis einhergehende Übermittlung von personenbezogenen Daten in die USA war bisher wenig problematisch und auch kaum im öffentlichen Fokus. Der Grund dafür war, dass sich ein Großteil der Datentransfers auf das EU-US Privacy Shield stützen konnte. Dieser – durchaus komfortable – Transfermechanismus wurde jedoch am 16. Juli 2020 vom EuGH im Gerichtsverfahren zwischen Facebook und dem österreichischen Datenschutzaktivisten Max Schrems aufgehoben. Diese Entscheidung hatte gravierende Auswirkungen und sorgte für großes Aufsehen und Ratlosigkeit.
Hintergrund zur Aufhebung
Die EU-Datenschutz-Grundverordnung („DSGVO“) gilt als weltweiter „Gold-Standard“ im Datenschutzrecht. Es gelten besondere Anforderungen für Datenübermittlungen außerhalb der EU bzw des EWR. So soll sichergestellt werden, dass das durch die DSGVO gewährleistete Schutzniveau für Europäer nicht untergraben wird. Personenbezogene Daten können nur dann unter denselben Voraussetzungen in einen Drittstaat wie innerhalb von EU/EWR übermittelt werden, wenn die Europäische Kommission mittels „Angemessenheitsbeschluss“ festgestellt hat, dass dieser Drittstaat ein angemessenes Datenschutzniveau bietet. Das Privacy Shield wurde – bis letzten Sommer – auf dieselbe Weise für „angemessen“ erklärt.
Ausschlaggebend für die Aufhebung des Privacy Shields waren vor allem die weitreichenden Ermittlungsbefugnisse der US-Sicherheitsbehörden. So legte der EuGH in seiner Entscheidung unter anderem dar: In den USA werden Überwachungsmaßnahmen nicht individuell autorisiert, sondern es werden jährlich umfassende Überwachungsprogramme (wie PRISM und UPSTREAM) genehmigt. Nach Ansicht des EuGH könne daher nicht angenommen werden, dass in den USA ein mit der EU vergleichbares Datenschutzniveau besteht. Im Wesentlichen wurde dies folgendermaßen begründet: Einerseits ist der Zugriff der US-Sicherheitsbehörden auf personenbezogene Daten nicht ausreichend beschränkt, andererseits werden Nicht-US-Bürgern keine (ausreichenden) durchsetzbaren Rechte gegen diese Zugriffe gewährt.
Standarddatenschutzklauseln
Die DSGVO bietet noch weitere Instrumente für den rechtskonformen Datentransfer. In der Praxis werden vor allem sogenannte Standarddatenschutzklauseln (Standard Contractual Clauses/SCC) eingesetzt. Die SCC sind von der Europäischen Kommission geprüfte und veröffentliche Muster-Vertragsklauseln, die zwischen einem Verantwortlichen in EU/EWR und einem Verantwortlichen bzw einem Auftragsverarbeiter (Dienstleister) außerhalb von EU/EWR abgeschlossen werden können. Diese vertraglichen Verpflichtungen dienen dazu, auch bei Datentransfers in Drittstaaten ein angemessenes Schutzniveau gewährleisten zu können. Die Gültigkeit der SCC wurden vom EuGH in der Entscheidung Facebook/Schrems II geprüft und schließlich ausdrücklich bestätigt.
SCC können jedoch als rein vertragliche Verpflichtungen nicht den gesetzlichen Ermittlungsbefugnissen der US-Sicherheitsbehörden vorgehen. Daher müssen nun weitere Maßnahmen ergriffen werden, um einen angemessenen Schutz der übermittelten Daten in den USA zu gewährleisten. Laut EuGH muss das (Daten-)Schutzniveau in einem Drittland geprüft werden, bevor Daten auf Grundlage von SCC in einen Drittstaat übermittelt werden. Sollte diese Prüfung zum Ergebnis kommen, dass die lokalen Rechtsvorschriften die Effektivität der SCC einschränken (was im Falle der USA anzunehmen ist), sind zusätzliche Maßnahmen zu ergreifen – andernfalls ist die Datenübermittlung rechtswidrig. Geeignet sind insbesondere technische Maßnahmen (wie Verschlüsselung, Pseudonymisierung und Anonymisierung), aber auch vertragliche (wie die Verpflichtung, über Zugriffe zu informieren und dagegen rechtlich vorzugehen) oder organisatorische Maßnahmen (Datenminimierung, Einschränkung der Datentransfers sowie rechtliche und interne Audits).
Das neue Regelwerk
Die Europäische Kommission hat im November 2020 einen Entwurf neuer SCC veröffentlicht. Im Vergleich zu den alten SCC stellen sie ein deutlich komplexeres Regelwerk dar. Der neue Entwurf enthält (längst überfällige) Anpassungen an die DSGVO, deckt durch den flexibleren Ansatz die in der Praxis häufig vorkommenden komplexen Verarbeitungsketten besser ab und setzt die EuGH-Vorgaben aus der Entscheidung Facebook/Schrems II um. Der Europäische Datenschutzausschuss hat in einer Stellungnahme zum Entwurf weitere Verschärfungen gefordert. Es bleibt abzuwarten, ob die neuen SCC, die wohl in den nächsten Monaten veröffentlicht werden, tatsächlich noch strengere Verpflichtungen enthalten.
Fazit & Praxistipps
Die Aufhebung des Privacy Shields führte zu Unsicherheit und Handlungsbedarf für alle europäischen Unternehmen, die Services von US-Anbietern nutzen. Zunächst müssen sich Unternehmen einen umfassenden Überblick über ihre Datenübermittlungen in Drittstaaten verschaffen. Dann sollte evaluiert werden, ob und auf welche gültige Rechtsgrundlage sich die Datentransfers jeweils stützen. Werden SCC verwendet, ist jedenfalls zu prüfen, ob deren Schutzmechanismus im jeweiligen Drittstaat auch wirksam ist. Wird deren Effektivität (zB durch staatliche Überwachung) beeinträchtigt, müssen zusätzliche Maßnahmen ergriffen werden. Hier werden vor allem technische Maßnahmen geeignet sein, um effektiven Schutz zu gewährleisten. Es empfiehlt sich, die neuen SCC nach deren Veröffentlichung zügig umzusetzen. Jedenfalls ist zu berücksichtigen, was sich in nächster Zeit als Best Practice für Datentransfers durchsetzen wird.
