DSGVO – Teil 2: Keine Daten mehr in die USA – Der EuGH hat das “Privacy Shield” für nichtig erklärt

Einleitende Worte

Der Datenschutzbeschluss “Privacy Shield” ist durch den Europäischen Gerichtshof EuGH für nichtig erklärt worden. Jetzt stellt sich die Frage, ob es überhaupt noch eine Rechtsgrundlage gibt, damit Daten auf legale Art und Weise in die USA transferiert werden können. Die Nichtigerklärung für das Privacy Shield erfolgte am 16. Juli 2020 und schlug mediale Wellen.

 

Ein Versuch: Definition Privacy Shield

Der Transfer von personenbezogenen Daten aus der Europäischen Union zu Drittstaaten bedarf immer einer juristischen Grundlage und nicht erst seit dem Inkrafttreten der Verordnung im Mai 2018. Das Unternehmen muss seitdem sicherstellen, dass der Datentransfer gemäß der DSGVO stattfindet, auch, was die Datenverarbeitung betrifft. Um die Praxistauglichkeit zu überprüfen, folgt eine Überprüfung der Staaten durch die EU-Kommission mit einem jeweiligen Angemessenheitsbeschluss, der garantieren soll, dass die zu erfüllenden Kriterien erfüllt werden. Zu den sicheren Drittstaaten werden gegenwärtig etwa Kanada, Andorra, Argentinien, Guernsey, die Färöer-Inseln, die Schweiz, Jersey, Uruguay und Japan, Israel, Neuseeland und die Isle of Man gezählt. Das bedeutet, dass eine Übermittlung von Daten hier problemlos stattfinden kann.

 

Was ist EU-US Privacy Shield – und Datentransfer in die USA

https://datenschutzbeauftragter-dsgvo.com/eu-us-privacy-shield-datentransfer-in-die-usa/

Lesen Sie hier:

 

Rückblick: Teil 1: Die Sache mit den USA

Bereits im November berichteten wir über die ersten Wellen zu diesem Thema u.a. in der Schweiz. Hier nochmal zum Beitrag: USA nicht mehr auf der Länderliste der Länder mit angemessenem Datenschutz

https://datenschutzbeauftragter-dsgvo.com/dsgvo-teil-1-datenuebermittlung-aus-der-schweiz-in-die-usa-ungeschuetzt/

 

Nicht Teil der Liste sind die USA, was dadurch begründet werden kann, dass in den Vereinigten Staaten, die USA durch das eigene Landesgesetz auf die Daten durch Ermittlungsbehörden und Geheimdiensten in einem kaum zu kontrollierenden Zugriff abrufen können und somit auch auf personenbezogene Daten von Bürgern der Europäischen Union, welche durch US-Unternehmen gespeichert werden, zugreifen können.

 

Für einen unkomplizierten Datentransfer wurden damals, im Safe Harbour-Abkommen, passende Vorgaben und Regeln vereinbart, welche durch die EU-Kommission zur Einhaltung geprüft werden. Doch schon 2015 gab es das Einkassieren des Beschlusses durch ein Urteil des EuGH im Fall: “Schrems I”. Die Begründung des EuGH lautete, dass ohne Fakten ein passendes Schutzniveau als unabdingbar erklärt worden ist.

Weil die Unternehmen sehr verunsichert waren, arbeitete die Europäische Union einen neuen Angemessenheitsbeschluss aus, um einen rechtmäßiger Datentransfer gewährleisten zu können. Nachdem es Zusicherungen durch die USA gab, entstand daraufhin das “EU-US Privacy Shield”. Hierbei können sich die US-amerikanischen Unternehmen wie etwa Google & Microsoft zertifizieren. Das funktioniert durch eine Angabe in der Datenbank, die im Eintrag zusichert, dass die Zusicherungen eingehalten werden. Jedoch ist mit Erschrecken festzustellen, dass sich juristisch seit dem NSA-Skandal und den Snowden-Enthüllungen wenig getan hat, was Datenschutz von EU-Bürgern in den US-Rechenzentren betrifft. Aus diesem Grund hatte das Privacy Shield seit seinem Start 2016 einen unsicheren Stand.

 

Was hat der EuGH entschieden und was macht die Standardvertragsklauseln aus?

Im Schrems-II-Urteil hat der Europäische Gerichtshof gar nicht spezifisch zum Privacy Shield eine Entscheidung gefällt. Es ging im Urteil um den Datentransfer personenbezogener Daten von EU-Kunden von Facebook in die Vereinigten Staaten. Die Absicherung durch das US-Unternehmen erfolgte jedoch nicht durch das Privacy Shield. Es geschah durch die Standardvertragsklauseln der Europäischen Union. Es gab jedoch eine Auseinandersetzung des Europäischen Gerichtshofs mit dem Privacy Shield, wobei es für nichtig erklärt worden ist, da es entgegen dem Europarecht ist. Im selben Urteil kommt es zu keiner pauschalen Ablehnung des Europäischen Gerichtshof für bereits vorformulierte Standardschutzklauseln seitens der EU-Kommission. Der Art. 46 DSGVO sorgt dafür, dass diese in Verträgen zwischen der EU und den USA Anwendung finden können.

Jedoch hat der Europäische Gerichtshof in der Vergangenheit die Verantwortlichen nach DSGVO des Datenexporteurs betont. Dessen Aufgabe ist es, die Daten der entsprechenden betroffenen Personen im Drittland, ein gleichwertiges Schutzniveau zur Art und Weise, wie es in der EU stattfindet, gewährleisten zu können. Konkret bedeutet dies, dass individuell noch mehr Maßnahmen stattfinden müssen, sodass das Schutzniveau der EU in etwa auch im jeweiligen Drittland in etwa gleichwertiger Art und Weise gegeben ist. Doch bis dato ist kein positiver Trend erkennbar. Die Regierung der Vereinigten Staaten von Amerika hat in ersten Verhandlungen nach dem Urteil kaum den Anschein erweckt, als würde sie das Datenschutzniveau von Bürgern der Europäischen Union erhöhen wollen, als hätte es eine große Priorisierung. Das sorgt dafür, dass somit auch Anpassungen und Modifikationen von den Standardvertragsklauseln womöglich keinen Erfolg haben könnten.

Denn die Faktenlage zeigt gegenwärtig eindeutig, dass auf Basis von der SSC ein Transfer von Daten, der gemäß der Verordnung ist und von Europa in die USA stattfindet, wohl eher Utopie ist, als dass es realistisch ist. Es kann jedoch sein, dass in der Folge der Wahl zum US-Präsidenten Änderungen stattfinden. Bis dies geschah, war die Diskussion jedoch sehr starr, mit einer hohen Reibungshärte und allgemein sehr aufgeheizt. Das ist auch dadurch begründet, dass in Europa zunehmend die Kritik an dem Datenumgang der USA mit EU-Daten zunimmt und dadurch die USA in Erklärungs- und Handlungsnot geraten. Die Anwendbarkeit von den Standardschutzklauseln SCC ist in der Praxis schwierig.

 

Was für praktischen Konsequenzen ergeben sich aus dem Wegfall des Privacy Shields für in die USA datentransferierende Unternehmen?

Sofern ein Unternehmen für den Transfer von Daten weiterhin noch das Privacy Shield als juristische Grundlage nutzen sollte, so muss es dahingehend gestoppt werden und dringend die eigenen Datenschutzerklärungen anpassen. Ob das Verwenden von Standardschutzklauseln möglich ist, muss jedoch angezweifelt werden. Das kommt auf die Art und Weise an, in der die Aufsichtsbehörde, die für ein Unternehmen zuständig ist, diese Causa bewertet. Was Deutschland betrifft, so sind es hier zumeist die sogenannten Landesdatenschutzbehörden. So gab es auch einige Stimmen, die in diesem Zusammenhang an die Öffentlichkeit kamen. So gaben manche Behörden eine restriktive Auslegung und dem folgenden Agieren an.

Als Beispiel sei hier der Landesdatenschutzbeauftragte des Bundeslandes Baden-Württemberg genannt, der sich in dieser Causa äußerste und angab, dass Standardvertragsklauseln die Anforderungen an das Schutzniveau von Daten in nur einigen wenigen Fällen erfüllen würde. Diese eher skeptische Einschätzung zur Wirksamkeit und den Erfolgschancen von Standardvertragsklauseln zeigt die Problematik der Standardvertragsklauseln und den hohen Anforderungen des Schutzniveaus. Eine ganz ähnliche Äußerung gab es durch der europäische Datenschutzausschuss EDSA – dem Europäischen Datenschutzausschuss – zu der Thematik. So gab jener Ausschuss an, dass eine Berufung auf die SCC nur dann möglich sei, wenn ein genügendes Schutzniveau ermöglicht werden würde. Eine Möglichkeit dafür ist etwa die Datenverschlüsselung vor dem Transfer, damit die Behörden der USA keine Möglichkeiten des Zugriffs auf diese verschlüsselten, personenbezogenen Daten haben.

 

Harte Kante für das Unternehmen von Mark Zuckerberg und drohende Bußgelder für Facebook

Die Auswirkungen der strengen Datenschutzregelungen in der Praxis hat der US-Konzern von Mark Zuckerberg schon am eigenen Leib erfahren. So kam es zu einer einstweiligen Anordnung durch die Datenschutzbehörde Irlands, der DPC, welche der EU-Dependance von dem Zuckerberg-Konzern im Herbst Untersagungen machte, was den Datentransfer betrifft. Diese Verbote beziehen sich auf den Datentransfer von EU-Bürgern in die Vereinigten Staaten, solange man sich auf die Standardschutzklauseln berufen würde. Darauf (empört) reagierend bezieht sich der US-Konzern von Mark Zuckerberg auf eine aus ihrer Sicht gegebenen Notwendigkeiten der Datenübertragung, wobei er sich auf den Artikel 49 der Datenschutzgrundverordnung bezieht. Auch wenn dies juristisch sehr halbgar ist, so verschafft sich Facebook damit zumindest Zeit.

Eine Konsequenz, die das Unternehmen von Mark Zuckerberg erwarten könnte, sind hohe Bußgelder. Dabei lässt sich allgemein gut die Frage stellen, welche Strafen drohen, wenn US-Konzerne Daten transferieren, sich aber nicht an das Urteil des Europäischen Gerichtshofs halten und dadurch auch entgegen der verhängten Maßnahmen von Aufsichtsbehörden agieren. Dazu haben die Aufsichtsbehörden der Europäischen Union eine Maßgabe zu befolgen, die im Artikel 83 DSGVO Datenschutzgrundverordnung festgehalten ist. Bei einem Verstoß der US-Konzerne gegen die Regelungen zum Datenschutz aus der DSVGO ist die Aufsichtsbehörde befugt, Bußgelder zu verhängen, die zwar verhältnismäßig, aber auch durchaus abschreckend, sind. Das bedeutet in der Praxis, dass dies entweder bis zu zwanzig Millionen Euro sein können. Oder aber bis vier Prozent des weltweiten Jahresumsatzes von einem Mutterkonzern im Geschäftsjahr, das dem aktuellen Geschäftsjahr vorangegangen ist.

 

Was sollten Unternehmen jetzt tun, um Schwierigkeiten zu vermeiden?

Als Unternehmen gilt es, zu überprüfen, ob beim Datentransfer auch Daten in die USA gelangen. Die spezifischen Vorgänge, die bei dieser Prüfung auffallen, sollen gemäß der aktuellen Gesetzeslage durch Anwälte überprüft und im Zweifelsfall angepasst werden. Sofern aber ein Datentransfer, der den rechtlichen Bestimmungen Genüge leistet, in keiner Form stattfinden kann, so muss er unverzüglich gestoppt werden.

Der Europäische Datenschutzausschuss betont, dass die Aufsichtsbehörden hier von einer Mitverantwortung des Auftraggebers einer Datenverarbeitung ausgehen. Im Auftragsverarbeitungsvertrag nach DSGVO hat demnach angegeben zu sein, ob ein Datenexport insbesondere in die USA erfolgt, sowie inklusive Nennung der Rechtsgrundlage. Das gilt insbesondere auch, wenn der Dienstleister eine EU-Tochter eines US-Konzerns ist und seine Server in der EU betreibt (wie beispielsweise Microsoft).

 

DSGVO – Microsofts Office-Cloud ist nebulöser, als es die DSGVO erlaubt

Unser Beitrag zum Thema:

https://datenschutzbeauftragter-dsgvo.com/dsgvo-microsofts-office-cloud-ist-nebuloeser-als-es-die-dsgvo-erlaubt/

 

Wie kann man sich wehren, wenn es um offensichtliche Regelverstöße beim Datentransfer geht?

Wenn beispielsweise das favorisierte Portal für das aktuelle Tagesgeschehen auf Elemente wie etwa Google Analytics oder auch der Konzern von Mark Zuckerberg auf Social-Plug-ins setzt, so kann man sich zur Wehr setzen, da diese externen Services die eigenen, personenbezogenen Daten in die USA transferieren und dort u.U. gegen den eigenen Willen verwertet werden. In solchen Fällen sollte man sich immer direkt an den Betreiber wenden und ihn nach seiner juristischen Grundlage für das Nutzen der Services fragen. Wenn die Antwort nicht befriedigend ist, kann man eine Beschwerde bei der für jeden jeweils zuständigen Datenschutzbehörde einlegen.

 

Und was ist mit privaten US-Providern? Nun auch privat US-Dienstleister meiden?

Wenn man eigene personenbezogene Daten in die USA transferiert, so unterliegt dieser Transfer nicht dem beschlossenen Urteil, da er durch den eigenen Willen und in Einklang mit der informationellen Selbstbestimmung stattfindet. Jedoch muss angemerkt werden, dass zumeist nicht nur eigene Daten gespeichert werden. Ein prominentes Beispiel in dieser Causa ist der Beliebte Mailprovider Google Mail. Der Dienst aus den USA sorgt durch ihre Nutzung dafür, dass auch die Daten der Schriftverkehrspartner gespeichert werden. Es empfiehlt sich, auf europäische Provider zurückzugreifen, da die gleiche eklatante Schwachstelle im Datenschutz, die bei Google Mail auftritt, auch ähnlich bei Videokonferenzen oder auch Messengern auftritt.

 

DSGVO – Teil-3: Stopp Privacy Shield Datentransfer in USA: 5000 Firmen betroffen, was beachten

Das Ende der Privacy Shield-Vereinbarung könnte zu einer Katastrophe für Cloud-Anbieter führen

  • Womit haben Unternehmen zu rechnen?
  • Was kann die Lösung sein?
  • Hier eine Liste der sechs Prinzipien des Privatsphären Schutzes:
  • Welche Möglichkeiten bestehen?

Hier zum Folgebeitrag: https://datenschutzbeauftragter-dsgvo.com/dsgvo-teil-3-stopp-privacy-shield-datentransfer-in-usa-5000-firmen-betroffen-was-beachten/