Die letzten Monate waren erfüllt von wichtigen, datenschutzrechtlichen Entscheidungen europäischer und nationaler Gerichte. Heute folgte ein wahrer Paukenschlag, der bereits seit langem mit Spannung und gemischten Gefühlen erwartet wurde. Im Verfahren zwischen der irischen Datenschutzaufsichtsbehörde, dem Juristen Max Schrems und Facebook sprach der EuGH am heutigen Tag ein Urteil, das erhebliche Auswirkungen auf den Datentransfer in die USA und andere Drittländer haben wird.
Der Inhalt im Überblick
Anforderungen an den internationalen Datenverkehr
In dem 63-seitigen Urteil (Pressemitteilung) kippt der EuGH das bereits seit langem umstrittene EU-US Privacy Shield, trifft Aussagen zu den sogenannten Standarddatenschutzklauseln und stellt klar, welche Verpflichtungen auch die Aufsichtsbehörden treffen.
Um darzustellen, warum dieses Urteil eine derartige Relevanz hat, muss ich unsere Leser auf einen kleinen Ausflug in die Welt des internationalen Datentransfers mitnehmen.
In einer globalisierten und digitalen Welt ist ein rein nationales Denken längst nicht mehr zeitgemäß. Daten fließen wie selbstverständlich über Landesgrenzen hinweg und überqueren in Sekundenschnelle ganze Kontinente. Dabei wird schnell klar, dass die Regelungen der DSGVO im europäischen Kontext durchaus einen Beitrag zu Sicherheit und Integrität eventuell übermittelter personenbezogener Daten leisten können. Das Verständnis von Datenschutz und Datensicherheit wird jedoch im Ausland durchaus unterschiedlich interpretiert.
Aus diesem Grund sieht die DSGVO bei einer Übermittlung in diejenigen Länder, die außerhalb ihres Geltungsbereiches liegen (sog. „Drittländer“) vor, dass zusätzliche Voraussetzungen erfüllt werden müssen, um das europäische Niveau des Datenschutzes zu gewährleisten.
Die Art. 44 ff. DSGVO sehen hierfür verschiedene Möglichkeiten zur Herstellung eines „angemessenen Datenschutzniveaus“ vor. Neben einer geeigneten Rechtsgrundlage bedarf es für einen rechtmäßigen Transfer in ein Drittland demzufolge immer auch entweder eines Angemessenheitsbeschlusses der europäischen Kommission oder einer sonstigen Garantie i.S.d. Art. 46 DSGVO.
Zu den relevantesten Ausformungen dieser Garantien gehören derzeit wohl
- Standarddatenschutzklauseln (SCC)
Dies sind spezielle Vertragsklauseln zwischen datenex- und datenimportierendem Unternehmen, die aufgrund eines Beschlusses der EU-Kommission zur Verfügung gestellt wurden und die – soweit sie im Wesentlichen unverändert übernommen werden – ein entsprechendes Datenschutzniveau zwischen den jeweils beteiligten Parteien sicherstellen sollen. - Binding Corporate Rules (BCR)
Hierbei handelt es sich um unternehmensinterne Regelungen, die den Umgang mit personenbezogenen Daten betreffen und die ein entsprechendes Genehmigungsverfahren durchlaufen haben. Aufgrund des erheblichen Aufwandes und der im Regelfall hohen Kosten dieser Maßnahme scheuen viele Unternehmen diesen Schritt. - EU-US Privacy Shield
Hierunter versteht sich eine Absprache zwischen der EU und den USA, welche diverse Zugeständnisse der USA und im Gegenzug einen eingeschränkten Angemessenheitsbeschluss der EU enthält. Unternehmen konnten sich bis heute den in diesem Rahmen festgelegten Regeln unterwerfen und somit eine Datenübermittlung auf eine entsprechend anerkannte Garantie stützen.
Schrems gegen Facebook – David gegen Goliath?
Dass die Vorstellung von Datenschutz unter anderem in den USA ganz erheblich von dem europäischen Verständnis abweicht, dürfte kaum einen Leser ernstlich überraschen. Insbesondere die umfassenden Möglichkeiten für Behörden, auf Daten US-amerikanischer Unternehmen zuzugreifen, bieten immer wieder Anlass zur Diskussion und Besorgnis.
Der österreichische Jurist Max Schrems erlangte in Datenschutzkreisen ganz erhebliche Bekanntheit im Zusammenhang mit dem transnationalen Safe-Harbor-Abkommen, welches den Datentransfer zwischen der EU und den USA regelte. Nach einer Beschwerde bei der zuständigen Irischen Datenschutzaufsichtsbehörde (DPC) kippte der im Laufe des damaligen Verfahrens angerufene EuGH schlussendlich die Regelungen des Abkommens.
Im Nachgang erlangte als geistiger Nachfolger der EU-US Privacy-Shield eine vergleichbare Relevanz, heutzutage werden zahlreiche Datentransfers auf diese Grundlage gestellt. Doch auch dieses Abkommen ist nicht frei von Kritik und steht bereits seit längerem auf der Kippe.
Worum dreht sich das aktuelle Verfahren?
Die Freude über das erstrittene Urteil in Sachen „Safe Harbor“ war für Schrems nur von kurzer Dauer. Die irische Datenschutzaufsichtsbehörde verwies nämlich darauf, dass Facebook neben dem Safe-Harbor-Abkommen zudem entsprechende Standarddatenschutzklauseln unterzeichnet hätte, das Urteil wäre somit für seine Beschwerde unmittelbar überhaupt nicht von Relevanz.
Schrems stellte darauf hin kurzerhand seine Beschwerde um und machte unter anderem auf diverse Mängel der Standarddatenschutzklauseln von Facebook aufmerksam. Facebook trat dem entgegen und führte an, schon aus den Regelungen des Privacy Shield würde sich ergeben, dass ein Konflikt zwischen Überwachungsgesetzen einerseits und den europäischen Grundrechten andererseits nicht bestehe.
Vorlagefragen an den EuGH
Der zwischenzeitlich in dieser Sache angerufene irische High Court legte dem EuGH schließlich diverse Fragen vor, über die nun entschieden wurde.
Der Kern der Fragen lag neben der Anwendbarkeit europäischen Rechts insbesondere in der Rechtmäßigkeit der Regelungen über Standarddatenschutzklauseln, der allgemeinen Auswirkung der US-amerikanischen Überwachungspraxis auf das tatsächliche Datenschutzniveau der USA und der Rolle und Befugnisse der zuständigen Aufsichtsbehörden
Stellungnahme des EU-Generalanwalts
Der Generalanwalt Henrik Saugmandsgaard Øe veröffentlichte am 19.12.2019 seine Schlussanträge, welche im Wesentlichen zu dem Ergebnis kamen, dass keine grundlegenden Bedenken gegen die Wirksamkeit der Beschlüsse zu Standarddatenschutzklauseln sprechen. Er stellte auch klar, dass die Frage nach der Wirksamkeit des Privacy Shields im Rahmen dieses Verfahrens nicht geklärt werden muss. Er schlug dem EuGH somit ausdrücklich vor, sich nicht zur Bedeutung des Privacy-Shield-Beschlusses zu äußern.
Den Schlussanträgen des Generalanwalts kommt eine hohe Bedeutung zu, da sich in der Vergangenheit immer wieder zeigt, dass der EuGH den Anträgen oft in weiten Teilen folgt.
Das Urteil des EuGH
Obwohl die Entscheidung des EuGH vom heutigen Tage mitnichten überraschend ist, schlägt sie dennoch ein wie eine Bombe.
In wenigen Sätzen wird die Unwirksamkeit des Beschlusses zum EU-US Privacy Shield festgestellt:
„Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.“
Des Weiteren äußert sich der EuGH dahingehend, dass der Beschluss zu Standardvertragsklauseln keine Anhaltspunkte für eine Unwirksamkeit enthält:
„Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.“
Daneben statuiert das Gericht, dass die Datenschutzaufsichtsbehörden dazu angehalten sind, von ihren Befugnissen des Art. 58 Abs. 2 lit. f DSGVO Gebrauch zu machen, wenn Grund zur Annahme besteht, dass der Datenimporteur die Vorgaben an das geforderte Datenschutzniveau nicht erfüllt. Die Norm enthält die Befugnis, die jeweilige Verarbeitung zu Beschränken oder gar ganz zu verbieten.
Eher versteckt ergibt sich aus dem Urteil eine Anforderung, auf die der Kollege Dr. Carlo Piltz auf Twitter aufmerksam macht:
„Für den Einsatz von SCC wird diese Vorgabe des EuGH mE besondere Relevanz haben: Rz 134: „It is therefore, above all, for that controller or processor to verify, on a case-by-case basis and,… whether the law of the third country of destination ensures adequate protection…“
Es soll somit im Einzelfall geprüft werden müssen, ob die nationale Gesetzgebung eine angemessene Sicherheit auch im Hinblick auf die abgeschlossenen Standarddatenschutzklauseln bietet.
Weitreichende Folgen für viele Unternehmen
Die für den Praktiker drängendste Frage wird nun sicherlich die sein, welche unmittelbaren und auch langfristigen Folgen sich aus dieser Entscheidung für Verantwortliche ergeben, die auf einen Datentransfer in die USA angewiesen sind. Neben klaren Einschränkungen des Datenverkehrs in die USA bestehen nun auch Unsicherheiten bezüglich des Datenverkehrs in andere Drittstaaten wie Russland oder China.
Wir fassen die drängendsten Fragen in der gebotenen Kürze zusammen.
Wer ist betroffen?
Das Urteil hat Relevanz für all jene Unternehmen, die personenbezogene Daten in die USA übermitteln, beispielsweise bei der Nutzung von Cloud-Services oder im Rahmen des konzerninternen Datenverkehrs. Besonderes Augenmerk muss auf diejenigen Übermittlungen gerichtet werden, die sich ausschließlich auf den EU-US Privacy Shield stützen.
Mittelbar ebenso betroffen sind all jene Unternehmen, die Daten in andere Drittländer auf Grundlage von Standarddatenschutzklauseln übermitteln, da auch diese zukünftig wohl auf den Prüfstand gestellt werden müssen.
Hat das Urteil Auswirkungen auf Datentransfer in andere Drittländer?
Ja und nein. Die Entscheidung hinsichtlich des Privacy Shield betrifft unmittelbar nur solchen Datentransfer, der sich in die USA richtet.
Allerdings drückt der EuGH ebenso deutlich aus, dass Unternehmen beim Einsatz von Standarddatenschutzklauseln grundsätzlich zu prüfen haben, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vorgaben der Vertragsklauseln einzuhalten.
Im Ergebnis würde dies bedeuten, dass in jedem Einzelfall geprüft werden müsste, ob ein Adressat im Drittland anhand der örtlichen Gegebenheiten überhaupt in der Lage ist, die Pflichten aus den Standarddatenschutzklauseln einzuhalten.
Inwieweit diese Pflicht tatsächlich besteht oder auch von den Behörden durchgesetzt werden wird, steht derzeit noch in den Sternen. Eine konkrete Aussage über die faktischen Auswirkungen auf internationalen Datenverkehr kann hier deshalb nicht seriös getroffen werden. Es gilt jedoch, dieses überaus heiße Thema im Blick zu behalten.
Welche Konsequenzen könnten drohen?
Mit dem Fall des Privacy Shield muss davon ausgegangen werden, dass der Datenverkehr, der sich auf diese Grundlage stützt, als unzulässig betrachtet werden muss, soweit nicht eine andere Garantie aus den Art. 44 ff. DSGVO vorliegt.
Damit drohen gegebenenfalls Sanktionen seitens der Aufsichtsbehörden, welche neben Beschränkungen der Übermittlung auch komplette Übermittlungsverbote oder weitere Maßnahmen bis hin zu Bußgeldern verhängen können.
Was muss nun unternommen werden?
Zunächst gilt: Keine Panik. Ob und welche Maßnahmen seitens der Behörden konkret getroffen und welche Anforderungen formuliert werden, steht noch in den Sternen. Bereits nach dem Fall des Safe-Harbor-Urteils einigte man sich etwa auf eine Übergangsfrist, um die Datenübertragung zwischen den USA und der EU neu zu regeln.
Kurzfristig sollten Unternehmen, die von der Thematik betroffen sind, ihre internen wie externen Datenflüsse unter die Lupe nehmen.
- Es sollten alle Datenempfänger, welche ihren Sitz in den USA haben, auf geeignete Garantien i.S.d. Art. 44 ff. DSGVO überprüft werden. Vor allem sollten solche Unternehmen herausgefiltert werden, die sich bislang ausschließlich auf den EU-US Privacy Shield stützen.
- Mit Datenempfängern im Drittland sollten kurzfristig die passenden Standarddatenschutzklauseln geschlossen werden. Hierbei sollte beachtet werden, dass diese nicht nach Gutdünken verändert werden dürfen, sondern im Wesentlichen wortgenau zu übernehmen sind.
- Mittelfristig sollten Sie sich Gedanken über alternative Rechtsgrundlagen machen. Obwohl die Einführung von „Binding Corporate Rules“ zeit- und kostenintensiv ist, stellen diese durchaus eine geeignete Maßnahme zur Sicherstellung zumindest des konzerninternen Datenverkehrs vor.
- In Entscheidungen über den Wechsel von Dienstleistern oder die Aufnahme von Vertragsbeziehungen zu Dritten sollten nun auch die hier dargelegte Problematik mit aufgenommen werden. Fakt ist, dass der Datenverkehr in ein Drittland außerhalb der EU durch das heutige Urteil nicht einfacher, sondern um einiges komplizierter geworden ist.
Abschließend raten wir zur Besonnenheit, auch wenn die Hände nun sicherlich nicht in den Schoß gelegt werden sollten. Es wird sich zeigen, wie sich die europäischen Behörden zu dieser Thematik positionieren, welche Maßnahmen seitens großer Anbieter im Ausland getroffen werden und wie sich auch die US-amerikanische Politik äußern wird. Das Urteil ist jedenfalls ein klares Signal an die grassierenden Überwachungsmechanismen auf der anderen Seite des großen Teichs. Es bleibt abzuwarten, ob und welches Umdenken hierdurch möglicherweise sogar gefördert werden kann.
Was ist nun eigentlich noch mit dem US-Schweiz Privacy Shield?
Das Urteil des EuGH gilt unmittelbar nur für die Datenübermittlung aus Europa, entfaltet somit zumindest keine direkte Wirkung für Schweizer Unternehmen. Allerdings muss davon ausgegangen werden, dass zumindest mittelbar dieselben Folgen zu erwarten sind.
Art. 6 DSG trifft hier Regelungen, die im Grundsatz den Art. 44 ff. DSGVO ähneln. Insbesondere wird in Absatz 1 klargestellt, dass die Persönlichkeit der betroffenen Personen nicht schwerwiegend gefährdet werden dürfe, „namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet“.
Gerade diese Thematik hat der EuGH in seinem Urteil letztendlich betrachtet. Es ist also zumindest mittelfristig zu erwarten, dass auch Schweizer Unternehmen vor derselben Problematik stehen werden. Dies insbesondere deshalb, da die Schweiz und die EU einen gemeinsamen Datenraum bilden, der auf freien Datenverkehr ausgerichtet ist.
Und dann gibt es ja noch den CLOUD Act (Clarifying Lawful Overseas Use of Data Act)… Das US-Gesetz besagt kurz gesagt, dass US-Behörden z.B. zur Strafverfolgung auf beliebige (personenbezogene und nicht personenbezogene) Daten zugreifen dürfen, sofern es sich um US-amerikanische Firmen handelt, ungeachtet dessen, ob der Speicher-Ort auf US-amerikanischem Territorium liegt oder nicht.
Damit werden sowohl etwaige Standarddatenschutzklauseln als auch Binding Coporate Rules außer Kraft gesetzt.
Ist es nicht aus diesem Gesichtspunkt heraus juristisch fast unmöglich, personenbezogene Daten auf den Big Playern des Cloud-Hostings (Amazon, Google, Microsoft etc.) zuzulassen?
Mich wundert, dass der Begriff CLOUD-Act in Ihrem Artikel keine Erwähnung findet und die Zusammenhänge mit dem kürzlichen Urteilsspruch nicht beleuchtet werden.
Trotzdem vielen Dank für diese sehr gute Zusammenfassunge!
Vielen Dank für diesen wichtigen Hinweis. Der Artikel hat sich bewusst nicht detailliert mit einzelnen Gesetzen in den USA beschäftigt, da hier der Rahmen schnell gesprengt werden konnte. Sie haben aber sicherlich recht, dass der CLOUD-Act zumindest hätte erwähnt werden können.
Momentan stellt es sich tatsächlich so dar, dass eine Datenübermittlung an die „Big Player“ allein auf Grundlage von Standarddatenschutzklauseln nur schwer vertretbar sein wird, wenn man dem Urteil streng folgt. Denn auch Standarddatenschutzklauseln stellen nur eine geeignete Garantie dar, wenn diese vom Datenimporteur auch umgesetzt werden können. Hieran bestehen grundlegende Zweifel, wie das Urteil des EuGH selbst ja feststellt. Mittelfristig kann es allerdings durchaus ein Weg sein, sich neben Standarddatenschutzklauseln Gedanken über zusätzliche Sicherungsmaßnahmen beim Export an US-amerikanische Unternehmen zu machen. Zu denken wäre beispielsweise an umfassende Pseudo- oder Anonymisierungen vor einem Versand.
Ob und wie die Aufsichtsbehörden und Gerichte in dieser Sache Stellung nehmen und auch rein tatsächlich vorgehen werden, wird nun abzuwarten sein.
Grundsätzlich ist das Urteil natürlich zu begrüßen. Allerdings frage ich mich schon, wie sollen denn internationale Konzerne zukünftig arbeiten??
Zitat von Dr. Datenschutz: „… Mittelfristig kann es allerdings durchaus ein Weg sein, sich neben Standarddatenschutzklauseln Gedanken über zusätzliche Sicherungsmaßnahmen beim Export an US-amerikanische Unternehmen zu machen. Zu denken wäre beispielsweise an umfassende Pseudo- oder Anonymisierungen vor einem Versand…“ – echt jetzt????
WIe soll das denn funktionieren?
Vielleicht sollte man sich in diesem Zusammenhang mal Gedanken über ein Konzernprivileg machen, oder zumindest einen einfacheren und günstigeren Weg Binding Coporate Rules zu etablieren.
Dass diese Entscheidung die Arbeit im internationalen Konzern signifikant verändern und wahrscheinlich auch erschweren wird, ist wohl leider zu erwarten. Auch ein internationales Konzernprivileg oder ein einfacherer Weg zu BCR wäre zwar begrüßenswert, löst allerdings auch nicht die grundlegende Problematik der hier in Frage stehenden US-amerikanischen Sicherheitspolitik. Denn selbst mit internen Regeln eines Unternehmens ist die Gefahr eines unkontrollierten Zugriffs von Behörden ohne die Möglichkeit eines Rechtsbehelfs nicht aus der Welt.
Ein aus unserer Sicht tauglicherer Weg wäre es, die Daten so zu übermitteln, dass sie selbst bei einem Zugriff von Behörden schlicht nicht ausgelesen werden können, etwa aufgrund einer entsprechenden Pseudonymisierung. Dass dies nicht bei allen Verarbeitungstätigkeiten Sinn macht oder abbildbar ist, liegt natürlich auch auf der Hand.
Würde dann in letzter Konsequenz heißen, das Thema „Internationaler Konzern“ ist gestorben. Jede Firmeneinheit des Konzerns müsste wieder für sich selbst arbeiten – amerikanische Daten bleiben in Amerika, deutsche Daten in Deutschland. Rechtlich sicher bin ich dann lediglich im europäischen Raum – ob das wirklich gewollt ist??
Ich glaube nicht.
Um nochmal auf die Pseudonymisierung zu kommen; mich würde echt mal interessieren, welchen Anwendungsfall sie im Sinn haben??
Im geschäftlichen Umfeld werden im Konzern hauptsächlich Kundendaten und u.U. Personaldaten ausgetauscht. Diese zu pseudonymisieren oder gar zu anonymisieren macht nicht wirklich Sinn.
Für übereilte Prognosen über die zukünftige Machbarkeit von internationalem Datenverkehr ist es unserer Ansicht nach noch zu früh. Es dürfte aber unstreitig sein – und diese Ansicht wird auch von den europäischen Datenschutzbehörden getragen -, dass vertragliche Vereinbarungen zwischen Datenverarbeitern nicht geeignet sind, nationale Sicherheitsgesetze zu beeinflussen. Hierzu werden wohl sowohl Standarddatenschutzklauseln als auch Binding Corporate Rules zählen.
Welche Maßnahmen in Zukunft ergriffen werden müssen und welche Optionen sich für Unternehmen ergeben werden, ist derzeit Inhalt diverser Arbeitsgruppen auf europäischer und nationaler Ebene. Hier gilt es, aufmerksam die kommenden Stellungnahmen und Veröffentlichungen des EDSA sowie der jeweils zuständigen Aufsichtsbehörden zu verfolgen.
Klar kommuniziert wird seitens der Aufsichtsbehörden derzeit auch, dass zusätzliche Maßnahmen getroffen werden sollen, um die Datenverarbeitung im Drittland sicher zu gestalten. Hier können in manchen Anwendungsfällen, in denen es nicht auf den konkreten Personenbezug ankommt, Maßnahmen wie eine Pseudo- oder Anonymisierung denkbar sein. Auch der Einsatz einer Verschlüsselung, die von den Sicherheitsbehörden nicht entschlüsselt werden kann, könnte eine solche Maßnahme sein.
Dass viele dieser Maßnahmen und Regelungen mit Blick auf die tägliche Arbeit in internationalen Konzernen nur wenig Sinn machen, dürfte auf der Hand liegen. Dies ändert jedoch nichts an der Rechtslage, die durch das Urteil sicherlich nicht einfacher geworden ist.
..immer die bösen Amis, andere machen das ja nicht. Trotzdem wird jeder weiter mit Microsoft365 und der Gsuite arbeiten. Was sich ändert, werden nur Worte auf Papier sein. Wer kann schon garantieren, dass sich technisch wirklich etwas ändert. Von daher ziemlich viel Gequatsche an der Realität vorbei. Wie mein Vorredner schon sagt, ist es auf Grund des CLOUD Act schon fast unmöglich, konform zu sein. Der ganze Aufwand bringt doch nur den Juristen was. Am Ende wird man eh nur noch mit Einwilligung des Betroffenen arbeiten können.
Wie verhält es sich mit reinen Leserechten, welche einem in USA ansässigen Unternehmen eingeräumt werden, um auf einen Server/Datenbank mit pb Daten zuzugreifen? Und der Server ausschließlich von einem deutschen Unternehmen betrieben wird. Dann greifen doch USA Gesetze wie zb Cloud Act nicht, richtig?
Der Cloud Act bezieht sich nach seinem Wortlaut auf US-amerikanische Telekommunikationsanbieter oder Cloud-Dienstleister, welche verpflichtet werden können, (1) den Inhalt einer kabelgebundenen oder elektronischen Kommunikation oder (2) sonstige Aufzeichnungen, die sich in Verwahrung oder unter Kontrolle dieses Dienstleisters befinden, offenzulegen.
Ein europäischer Server, der zudem von einem deutschen Unternehmen betrieben wird, dürfte hierunter nicht fallen. Allerdings kann so pauschal nicht ausgeschlossen werden, dass ein Zugriff nicht unter die „Kabelgebundene oder elektronische Kommunikation“ i.S.d. Cloud Act fällt. Wir wird es leider – wie so oft – auf den Einzelfall ankommen. Auch dürfte es davon abhängen, ob der Dienstleister als Telekommunikations- oder Cloud-Dienstleister klassifizieren lässt.