Das Ende des Privacy Shields

Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) das wichtigste Datenschutz-Abkommen, das Privacy Shield, zwischen der EU und den USA für ungültig erklärt. Damit ist nun ein Großteil der Datenübermittlungen in die USA unzulässig. Das Urteil hat weitreichende Konsequenzen für alle EU-Unternehmen, die Cloud-Dienste von US-Anbietern nutzen oder allgemein personenbezogene Daten in die USA übermitteln. 

Das Urteil des EuGHs spielt nur dann eine Rolle für Sie, wenn Ihr Unternehmen personenbezogene Daten außerhalb der EU in einem sogenannten “Drittland” verarbeitet.

Ihr Unternehmen ist daher von dem Urteil betroffen, wenn Software-Dienste (gilt auch für die Website) genutzt werden, die auf US-Servern oder durch US-Anbieter betrieben werden oder wenn Ihr Unternehmen Teil eines internationalen Konzerns ist und personenbezogene Daten mit Konzerngesellschaften in den USA geteilt werden.

Die DSGVO gibt vor, dass die Verarbeitung personenbezogener Daten nur dann außerhalb der EU erfolgen darf, wenn in dem Drittland ein angemessenes Datenschutzniveau herrscht (vgl. Art. 44 DSGVO). Das Gesetz bietet verschiedene Möglichkeiten an, dieses angemessene Datenschutzniveau zu gewährleisten:

• Die EU-Kommission kann das angemessene Datenschutzniveau eines Drittlandes oder eines Sektors im Drittland prüfen und offiziell feststellen (Art. 45 DSGVO). Solche Angemessenheitsbeschlüsse gibt es für Andorra, Argentinien, Kanada (commercial organisations), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, und Uruguay.
• Für die USA wurde kein angemessenes Datenschutzniveau festgestellt, aber US-Unternehmen konnten sich bislang unter dem EU-US Privacy Shield zertifizieren lassen, um ein angemessenes Datenschutzniveau zu erlangen. Dieses Instrument wurde vom EuGH nun für ungültig erklärt.
• Wenn kein Angemessenheitsbeschluss vorliegt, können Unternehmen die Standarddatenschutzklauseln abschließen (Standard Contractual Clauses (SCC), Art. 46 Abs. 2 Buchst. c DSGVO). Dabei handelt es sich um Standardvertragsklauseln, die von der EU-Kommission vorgegeben werden und den Vertragspartner im Drittland vertraglich zu einem Datenschutz auf EU-Niveau verpflichten. Wichtig ist, dass der Vertragspartner diese Pflichten auch tatsächlich einhalten kann.
• Für Konzerne besteht die Möglichkeit, sich verbindliche interne Datenschutzvorschriften zu geben (Binding Corporate Rules (BCR), Art. 47 DSGVO). Dies ist ein aufwändiges Verfahren, welches zudem von den Aufsichtsbehörden genehmigt werden muss. Auch diese Regelungen müssen tatsächlich eingehalten werden können.
• Ohne weitere Voraussetzungen zulässig sind Datenübermittlungen, die für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich sind (Art. 49 DSGVO). Diese Ausnahme greift z.B. bei Reisebuchungen in den USA.
• Die Datenübermittlung ist mit Einwilligung der betroffenen Person zulässig (Art. 49 DSGVO). Die Anforderungen an wirksame Einwilligungen sind aber hoch und es muss u.a. über die möglichen Risiken von Datenübermittlungen in Drittländer ohne Angemessenheitsbeschluss und ohne geeignete Garantien aufgeklärt werden.
• Es gibt in den Art. 46 und 49 DSGVO weitere Ausnahmen, die aber kaum praktische Relevanz haben.

Der EuGH hat das EU-US Privacy Shield-Abkommen für ungültig erklärt. Grund sind die weitreichenden Rechte von US-Sicherheitsbehörden, die mit der DSGVO nicht in Einklang zu bringen sind. Insbesondere fehlt es an durchsetzbaren Rechten und wirksamen Rechtsbehelfen für EU-Bürger, um sich gegen die Datenverarbeitung durch Behörden und Geheimdienste zu wehren. So erlaubt z.B. Section 702 des Foreign Intelligence Surveillance Act (FISA 702) den Zugriff auf elektronische Kommunikationsdaten von Nicht-US-Bürgern ohne richterlichen Beschluss und ohne Rechtsschutz.

Der EuGH hat zudem erklärt, dass die EU-Standardvertragsklauseln („SCC“) weiterhin gültig sind.

Allerdings macht der EuGH eine wesentliche Einschränkung: EU-Unternehmen dürfen den SCC nicht blind vertrauen, sondern müssen (ggf. zusammen mit dem Datenimporteur im Drittland) prüfen und gewährleisten, dass die vertraglichen Abreden aus den SCC im Drittland auch eingehalten werden können. Denn nur dann kann auch ein angemessenes Schutzniveau gewährleistet werden.

Eine solche Prüfung erfolgt

• am Maßstab der vertraglichen Regelungen der SCC,
• anhand der besonderen Umstände der Datenübertragung und
• der im Drittland geltenden Rechtsordnung.

Und hier liegt ein großes Problem, denn Aufgrund der Entscheidung zum Privacy Shield müssen wir in vielen Fällen davon ausgehen, dass US-Unternehmen auch die EU-Standardvertragsklauseln nicht einhalten können. Es muss daher im Einzelfall und von Dienst zu Dienst geprüft werden, ob US-Sicherheitsgesetze eine wirksame Durchführung der Vertragsklauseln erlauben.

Das Urteil des EuGHs hinterlässt ein Vakuum. Wie sollen Unternehmen also reagieren und welche Maßnahmen können jetzt ergriffen werden, um Risiken zu reduzieren?

Folgende Handlungsoptionen erkennen wir derzeit:

• Einige Anbieter bieten ihren EU-Kunden die Möglichkeit an, Serverstandorte in der EU zu wählen und verbindlich festzulegen. Hierzu zählen beispielsweise Google Cloud, Microsoft und Amazon Web Services (AWS). Auch bei dieser Option müssen Sie mit Rechtsunsicherheiten aufgrund der US-Gesetzgebung leben. Der EuGH hat sich mit den diesbezüglichen „Risikogesetzen“ (insbesondere CLOUD ACT) aber nicht beschäftigt, weshalb es nach unserer derzeitigen Ansicht eine vertretbare Lösung ist. Kritisch bleibt es hingegen, wenn ein Zugriff auf die Daten aus den USA erfolgen kann, z.B. durch US-Personal des Anbieters. Ein besonderes Augenmerk ist daher auf das Berechtigungskonzept des Dienstes zu legen.
• Eine wirksame Lösung ist der Verzicht auf die Datenverarbeitung in den USA. Dafür müssen Sie sich von Diensten verabschieden, die keine Datenspeicherung in der EU anbieten. Je nach Zweck des Dienstes ist es ggf. möglich, nur auf die Verarbeitung personenbezogener Daten zu verzichten. Vollständig anonymisierte Daten oder aggregierte Datensätze unterfallen nämlich nicht der DSGVO.
• Sie können auf bestehende Standardvertragsklauseln setzen bzw. verhandeln, dass die Standardvertragsklauseln einbezogen werden. Aufgrund des Urteils besteht zudem Hoffnung, dass US-Dienstleister die Standardvertragsklauseln zunehmend proaktiv in ihre AGB integrieren werden. Beachten Sie bei dieser Handlungsoption bitte die besonderen Anforderungen bei Standardvertragsklauseln weiter unten.
• Theoretisch können Sie von jeder betroffenen Person die Einwilligung in die Übermittlung der Daten in die USA einholen. Wie bereits oben beschrieben, sind die Anforderungen aber sehr hoch (insbesondere wegen des Transparenzgebots), weshalb sich die Einwilligung nur in sehr begrenzen Ausnahmefällen anbietet.
• Nichts tun und abwarten möchten wir der Vollständigkeit halber auch nennen, wenngleich diese Option das größte Risiko birgt (zu den Risiken kommen wir noch) und wir von ihr dringend abraten müssen.

Eine weitere Schwierigkeit stellen Unterauftragnehmer dar. Cloud-Dienste werden häufig nicht allein durch den Anbieter erbracht, sondern durch eine Vielzahl von Unterauftragnehmern. Wenn diese ihren Sitz in den USA haben oder die Daten in den USA verarbeitet werden, muss auch dort das angemessene Datenschutzniveau gewährleistet werden. Bedenken Sie, dass Ihr Unternehmen als Verantwortlicher der Datenverarbeitung (Art. 4 Nr. 7 DSGVO) auch für die Datenverarbeitung der Auftrags- und Unterauftragsverarbeiter verantwortlich ist.

Der Haken: Die Standardvertragsklauseln müssen direkt zwischen Ihrem Unternehmen als Verantwortlichen und jedem einzelnen Unterauftragnehmer geschlossen werden („Controller to Processor“). Es gibt schlicht keine Standardvertragsklauseln für die Konstellation Auftragsverarbeiter zu Unterauftragsverarbeiter („Processor to Processor“). Das bedeutet, dass der Cloud-Dienst keine Standardvertragsklauseln mit seinen Unterauftragnehmern schließen kann. Die EU-Kommission arbeitet derzeit an neuen Standardvertragsklauseln, die dieses Problem hoffentlich lösen, aber das hilft hier und heute nicht weiter.

Als Workaround halten wir es für vertretbar, den Auftragsverarbeiter zu bevollmächtigen, im Namen Ihres Unternehmens die Standardvertragsklauseln mit seinen Unterauftragnehmern zu schließen. Es bleibt aber freilich bei den oben dargestellten Risiken, die den Standardvertragsklauseln bei US-Datentransfers nun innewohnen.

• Die Einhaltung der DSGVO wird von den Datenschutz-Aufsichtsbehörden der einzelnen Bundesländer überwacht. Gegen unzulässige Datenübermittlungen in Drittländer können die Behörden gemäß Art. 58 DSGVO vorgehen, indem sie z.B. die Nutzung von Diensten oder Dienstleistern untersagen. Möglich sind auch Bußgelder, die bis zu 20.000.000 EUR oder 4% des Jahresumsatzes (je nachdem was höher ist) betragen können.¹ Auch wenn das Privacy Shield-Abkommen aus Sicht der EU mit sofortiger Wirkung unbrauchbar geworden ist, werden die Behörden den Unternehmen wohl eine Schonfrist gewähren, um die Prozesse anzupassen und Verträge mit US-Dienstleistern neu zu verhandeln. So haben wir es zumindest 2015 erlebt, als der EuGH das Safe Harbor-Abkommen für ungültig erklärt hat (das war das Vorgänger-Abkommen des Privacy Shield). Aber: Der EuGH hat in seiner neuen Entscheidung ausdrücklich betont, dass die Aufsichtsbehörden unzulässige Datenübermittlungen verbieten müssen. Zu lange können die Behörden daher nicht untätig bleiben.
• Kunden, Nutzer, Beschäftigte und sonstige Personen, die von unzulässigen Datenverarbeitungen betroffen sind, können Ihr Unternehmen kostenpflichtig abmahnen lassen und Schadensersatz fordern. Beides kommt bislang nur selten vor, aber die ersten Gerichte haben immateriellen Schadensersatz wegen DSGVO-Verstößen zugesprochen.² Die Kosten für eine Abmahnung liegen schnell im vierstelligen Bereich. Hinzukommen Unterlassungserklärungen, an die Sie jahrelang gebunden sind.
• Zumindest denkbar sind Abmahnungen mit Unterlassungserklärungen durch Verbraucherschutzverbände und Wettbewerber. Die Rechtslage ist aber unklar und liegt seit Kurzem dem EuGH zur Klärung vor. Bisher war das Risiko solcher Abmahnungen eher gering.

¹ Eine Übersicht zu bereits erlassenen Bußgeldern finden Sie unter https://www.datenschutzkanzlei.de/datenschutz-radar/
² z.B. 2.000 EUR wegen unzulässiger Videoüberwachung; 5.000 EUR wegen verspäteter und unvollständiger Auskunft