EuGH kippt Privacy Shield: US-Dienste weiterhin nutzen – FAQ zu Schrems II

Der Europäische Gerichtshof (EuGH) entschied im Juli 2020, dass die USA kein angemessenes Datenschutzniveau böten (Az.: C-311/18, „Schrems II“). Er erklärte den Beschluss der Europäischen Kommission für ungültig, der die Übermittlung personenbezogener Daten in die USA auf Grundlage des EU-US Privacy Shield ermöglichte. Seitdem sind viele Unternehmen verunsichert. Wie können US-Dienste weiterhin genutzt werden? Dieser Artikel bietet Ihnen einen ersten Leitfaden, um einen Überblick über die Problematik zu gewinnen. Aufgrund der Tragweite des Urteils empfehlen wir allerdings dringend eine individuelle Beratung.

Was ist das EU-US Privacy Shield?

Das EU-US Privacy Shield ist ein Abkommen zwischen der EU und den USA, welches Aspekte des Datenschutzes und der Datensicherheit bei der Übermittlung von personenbezogenen Daten in die USA regelt. Auf Basis dieses Abkommens entschied die Europäische Kommission 2016, dass die USA ein angemessenes (also gleichwertiges) Datenschutzniveau wie die EU böten (sogenannter Angemessenheitsbeschluss). Liegt ein gültiger Angemessenheitsbeschluss nach Art. 45 DSGVO für ein Land außerhalb der EU (sogenanntes Drittland) vor, dürfen personenbezogene Daten dorthin übermittelt werden, ohne dass es zusätzlicher Maßnahmen bedarf. Innerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) dürfen Daten ohne weiteres übertragen werden.

Was hat der EuGH geurteilt?

Der EuGH entschied, dass der Angemessenheitsbeschluss der Europäischen Kommission ungültig sei. Die USA böten kein angemessenes Datenschutzniveau. Begründet hat der EuGH dies mit den Zugriffsrechten der US-Behörden für Zwecke der nationalen Sicherheit nach Gesetzen wie FISA 702, E.O. 12333 oder PPD-28. Die damit verbundenen US-Überwachungsprogramme seien nicht auf das zwingend notwendige Maß beschränkt und böten keine ausreichenden Rechtsschutzmöglichkeiten, die dem EU-Recht gleichwertig seien. Auch ein beim EU-US Privacy Shield vorgesehener Ombudsmechanismus sei nicht geeignet, die Mängel beim Rechtsschutz auszugleichen.

Wann liegt eine zulässige Übermittlung mit geeigneten Garantien vor?

Ohne Angemessenheitsbeschluss ist eine Übertragung aufgrund geeigneter Garantien nach Art. 46 DSGVO zulässig, wenn auch bei diesen ein angemessenes Datenschutzniveau gewährleistet wird. Hierzu müssen neben einer geeigneten Garantie wie beispielsweise den Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO auch durchsetzbare Rechte und wirksame Rechtsbehelfe existieren (Art. 46 Abs. 1 DSGVO). Berücksichtigt werden müssen dabei auch die vertraglichen Vereinbarungen und die Rechtsordnung im Drittland, insbesondere der Zugriff durch Behörden. Dies hat der EuGH in seinem Urteil deutlich gemacht.

Sind die Standardvertragsklauseln weiterhin gültig?

Zwar sind die Standardvertragsklauseln gemäß dem EuGH-Urteil weiterhin gültig, auch wenn sie die Behörden im Drittland nicht binden (sie gelten nur inter partes – zwischen den Vertragsparteien). Es obliege allerdings dem Verantwortlichen, gegebenenfalls zusätzliche Maßnahmen zu ergreifen, um die Einhaltung eines angemessenen Datenschutzniveaus sicherzustellen. Dies bedeutet eine Prüfpflicht für Unternehmen mit einer entsprechenden Dokumentation. Darüber hinaus stellte der EuGH klar, dass die Standardvertragsklauseln ohne zusätzliche Maßnahmen mitunter kein angemessenes Datenschutzniveau herstellen und damit die Übertragung unzulässig wäre.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Welche Pflichten haben Vertragspartner von Standardvertragsklauseln?

Der EuGH beschäftigte sich in seinem Urteil auch mit den Pflichten, die aus den Standardvertragsklauseln hervorgehen. So verpflichteten die Vertragspartner sich gegenseitig, dass die Übermittlung im Einklang mit dem Datenschutzrecht, also vor allem der DSGVO, erfolgen muss. Der Auftraggeber hat insbesondere die Pflicht, die Übermittlung auszusetzen und die Daten zurückzufordern oder zu löschen, wenn die Standardvertragsklauseln nicht eingehalten werden können. Der Auftragnehmer muss den Auftraggeber insbesondere informieren, wenn er die Pflichten aus den Standardvertragsklauseln nicht einhalten kann, wenn er Gesetzen unterliegt, welche die Pflichterfüllung unmöglich machen, oder wenn ihn nachteilige Änderungen nationaler Gesetze betreffen.

Muss die Behörde eine unzulässige Übermittlung in Drittländer untersagen?

Sofern eine Übermittlung ins Drittland auf Standardvertragsklauseln gestützt wird, müsse die Aufsichtsbehörde diese Übermittlung laut dem EuGH aussetzen oder verbieten, wenn die Standardvertragsklauseln im Drittland nicht eingehalten werden (können) und der erforderliche Schutz personenbezogener Daten nicht durch andere Mittel gewährleistet werden kann. Die Verhängung von Bußgeldern allerdings liegt weiterhin im Ermessen der Behörde.

Wie haben die deutschen Aufsichtsbehörden reagiert?

Die Datenschutzkonferenz (DSK), ein Zusammenschluss der einzelnen Aufsichtsbehörden in Deutschland, teilte in einer Stellungnahme Ende Juli mit, dass Datenübermittlungen, die nur auf das EU-US Privacy Shield gestützt werden, unverzüglich eingestellt werden müssten. Darüber hinaus reichten Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus. Die Wertung des Urteils betreffe auch andere geeignete Garantien aus Art. 46 DSGVO wie verbindliche interne Datenschutzvorschriften. Ausnahmen zur Übermittlung nach Art. 49 DSGVO seien weiterhin möglich.

Am 07.09.2020 veröffentlichte der Baden-Württembergische Datenschutzbeauftragte seine aktualisierte Orientierungshilfe für die Datenübermittlung in die USA nach dem EuGH-Urteil, in der er insbesondere auf mögliche zusätzliche Maßnahmen eingeht, die zu den Standardvertragsklauseln ergriffen werden können. Dabei erläutert er sowohl organisatorische als auch technische Maßnahmen, etwa mögliche Ergänzungen der Standardvertragsklauseln oder die Verschlüsselung und das eigene Schlüsselmanagement zum Schutz der Daten.

Welche Grundlage ist die richtige zur Übermittlung ins Drittland?

Für jede Datenübermittlung, die in die USA oder ein anderes Drittland (alle Länder außerhalb des Europäischen Wirtschaftsraums) erfolgt, muss die Grundlage nach den Art. 45 ff. DSGVO geprüft werden. Gibt es einen Angemessenheitsbeschluss, darf die Übermittlung unproblematisch erfolgen. Liegen verbindliche interne Datenschutzvorschriften oder Standardvertragsklauseln vor oder können abgeschlossen werden, müssen bei diesen das Schutzniveau geprüft und gegebenenfalls zusätzliche Maßnahmen ergriffen werden. Ist danach kein angemessenes Datenschutzniveau gewährleistet oder sind geeignete Garantien nicht vorhanden, bleibt nur das Ausweichen auf die Ausnahmen nach Art. 49 DSGVO. Hier ist vor allem die ausdrückliche Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO relevant, die etwa im Websitebetrieb zur Anwendung kommen kann. In bestimmten Fällen kann die Übermittlung auch zur Durchführung vorvertraglicher Maßnahmen oder zur Erfüllung eines Vertrags nach Art. 49 Abs. 1 S. 1 lit. b, c DSGVO erforderlich sein. Das nachfolgende Schema gibt einen Überblick über die Prüfungsschritte:

Für welche Länder gibt es einen Angemessenheitsbeschluss?

Für folgende Länder existiert ein Angemessenheitsbeschluss, aufgrund dessen die Übermittlung in dieses Drittland ohne weitere Prüfung erfolgen darf (Stand 09/2020):

  • Europa: Andorra, Färöer-Inseln, Guernsey, Isle of Man, Jersey, Schweiz
  • Nordamerika: Kanada (private Unternehmen)
  • Südamerika: Argentinien, Uruguay
  • Asien: Israel, Japan
  • Ozeanien: Neuseeland

Die aktuelle Liste der Angemessenheitsbeschlüsse kann hier eingesehen werden.

Welche zusätzlichen Maßnahmen können bei geeigneten Garantien beispielsweise ergriffen werden?

Unternehmen sollten zunächst eine risikobasierte Prüfung für die Datenübermittlung durchführen, bei der sie die Datenverarbeitung, die Art der verarbeiteten Daten und die Wahrscheinlichkeit eines Behördenzugriffs erörtern. Hierbei sollte auch auf die Gefahr eingegangen werden, welche eine Offenlegung der Daten hätte. Darüber hinaus können Fragebögen an Dienstleister geschickt werden, etwa inwiefern sie von FISA 702 betroffen sind, und Regelungen zum Umgang mit Behördenzugriffen getroffen werden, etwa die Übersendung von Transparenzberichten. Zudem sollten Informationspflichten geklärt werden. Auch kommt die Ergänzung der Standardvertragsklauseln in Betracht.

Als technische Maßnahmen kommen etwa Anonymisierung oder Pseudonymisierung (Zuordnungstabelle ist nicht im Drittland) der Daten in Betracht. Darüber hinaus ist auch eine Transport- und Inhaltsverschlüsselung relevant. Hierbei muss besonders auf eine Verwaltung des Schlüssels zur Verschlüsselung beim Auftraggeber geachtet werden. Darüber hinaus kommt auch die Wahl des Standorts der Datenspeicherung und des Supports in der EU in Betracht.

Für alle Maßnahmen gilt, dass sie dokumentiert werden müssen. Es herrscht Nachweispflicht. Aktuell kann man aber bisher bei keiner Maßnahme sagen, dass sie mit Sicherheit ausreichend ist. Es bleibt in vielen Fällen ein Restrisiko bestehen. Deswegen ist Beratung dringend empfohlen.

Was passiert bei Sub-Auftragsverarbeitern?

Standardvertragsklauseln gelten grundsätzlich nur inter partes zwischen den zwei Unternehmen, die sie abschließen. Allerdings gelten für Sub-Dienstleister dieselben Anforderungen, Prüf- und Nachweispflichten wie für den Auftragsverarbeiter. Es gibt verschiedene Möglichkeiten, wie auch mit diesen Standardvertragsklauseln abgeschlossen werden können: Der Auftraggeber könnte eigene Standardvertragsklauseln mit dem Sub-Dienstleister abschließen. Daneben kommt auch der Beitritt zu den Standardvertragsklauseln des Auftragsverarbeiters mit dem Sub-Dienstleister in Betracht. Auch könnte der Auftragsverarbeiter durch den Auftraggeber ermächtigt werden, für ihn Standardvertragsklauseln abzuschließen. Hier sollte in der Beratung die beste Vorgehensweise gemeinsam erörtert werden. Denn der Einsatz von Sub-Dienstleistern stellt eine häufig unterschätzte Problematik im Rahmen der Übermittlung in Drittländer dar.

Was muss bei der ausdrücklichen Einwilligung beachtet werden?

Die ausdrückliche Einwilligung als Ausnahme nach Art. 49 Abs. 1 S. 1 lit. a DSGVO kommt als Grundlage zur Übermittlung ins Drittland neben oder statt geeigneter Garantien in Betracht. Sie ist vor allem für den Websitebetrieb relevant und kann dort etwa mithilfe eines Cookie-Banners eingeholt werden. Insbesondere muss für die ausdrückliche Einwilligung im Cookie-Banner und in der Datenschutzerklärung darüber aufgeklärt werden, dass die eingeholte Einwilligung auch die Datenübermittlung umfasst. Zudem müssen die Risiken aufgezeigt werden, die sich durch die Übermittlung in ein Drittland ohne Angemessenheitsbeschluss ergeben.

Was muss bei der Ausnahme des Vertrags beachtet werden?

Der Vertrag als Ausnahme nach Art. 49 Abs. 1 S. 1 lit. b, c DSGVO umfasst nur gelegentliche Datenübermittlungen und kann nicht für wiederkehrende, dauerhafte Leistungen verwendet werden. Damit ist diese für dauerhaft aktive Tools auf Websites eher ungeeignet. Die Übermittlung muss im Rahmen des Vertrags objektiv erforderlich sein. Das ist etwa bei Reisebuchungen oder dem Zahlungsverkehr der Fall. Nicht zulässig im Rahmen dieser Ausnahme ist ausweislich der Stellungnahme des Europäischen Datenschutzausschusses, an dem sich die Aufsichtsbehörden orientieren, die Auslagerung der Lohn- und Personalabteilung ins Drittland.

Wie reagierten die großen US-Anbieter?

Beispielsweise reagierte Google auf die Entscheidung des EuGH, indem seit dem 12. August Standardvertragsklauseln auch für Produkte wie Google Ads, Google Marketing Platform, Google Analytics, Google Tag Manager sowie Google AdMob, Google AdSense und Google Ad Manager angeboten werden. Nicht von den Standardvertragsklauseln umfasst sind Google Fonts, Google Maps und Google reCAPTCHA. Hier müssen sich Websitebetreiber in jedem Fall auf alternative Grundlagen zur Datenübermittlung stützen.

Microsoft nahm im August weitere Produkte in die Liste der „Core Onlinedienste“ der Online Services Terms auf, weshalb nun insbesondere auch für Customer Insights und Cortana die Standardvertragsklauseln gelten. Bereits zuvor gehörten Produkte wie Dynamics 365 und Office 365 dazu. Nicht umfasst sind etwa Bing-Dienste wie Bing Maps.

Ob für das konkrete Produkt oder den jeweiligen Dienst Standardvertragsklauseln verfügbar sind und welche zusätzlichen Maßnahmen für die Nutzung erforderlich sind, muss individuell geprüft werden.

Wann gibt es eine Nachfolge für das EU-US Privacy Shield?

Aktuell verhandelt die EU mit den USA über eine Nachfolgeregelung für das EU-US Privacy Shield. Wann eine solche fertiggestellt wird, bleibt allerdings noch offen. Jedoch wurde bereits mitgeteilt, dass es voraussichtlich keine schnelle Lösung geben wird.

Wie hoch ist das Risiko für Bußgelder?

Neben der Pflicht der Aufsichtsbehörden, unzulässige Datenübermittlungen zu untersagen, können sie nach ihrem Ermessen auch Bußgelder verhängen. Die Datenschutzbehörde von Rheinland-Pfalz machte allerdings deutlich, dass sie am ehesten im Falle anhaltender und nachhaltiger Verstöße Bußgelder verhängen werde. Andere Behörden äußerten sich bisher nicht konkret zum Bußgeldrisiko. Deswegen ist das Risiko aktuell als hoch anzusehen.

Fazit: Unternehmen sollten aktiv werden

Insgesamt ist festzustellen: Es ist keine gute Idee, einfach abzuwarten. Denn es besteht bei einer unzulässigen Übermittlung in Drittländer wie den USA das Risiko, dass die Übermittlung untersagt wird oder sogar Bußgelder verhängt werden. Rechtssicher wäre es aktuell nur, keine US-Dienstleister mehr zu nutzen. Auch wenn dies für viele Unternehmen wohl kurzfristig wegen der Kosten und des Aufwands nicht praktikabel ist, wäre die Wahl europäischer Dienstleister langfristig aus datenschutzrechtlicher Sicht wohl empfehlenswert.

Am ehesten kommt für eine Übermittlung ins Drittland der Abschluss von Standardvertragsklauseln in Betracht und die Prüfung zusätzlicher Maßnahmen. Dies bietet einen Nachweis für die Bemühungen zur Umsetzung des EuGH-Urteils, birgt jedoch zugleich die Gefahr, dass die Maßnahmen aus Sicht der Behörden nicht ausreichend sind. Hier bleibt also ein Restrisiko. Sofern keine Standardvertragsklauseln oder andere geeignete Garantien verfügbar sind oder eine zusätzliche Grundlage für die Übertragung gesucht wird, stehen nur noch die Ausnahmen aus Art. 49 DSGVO für eine Übermittlung ins Drittland zur Verfügung. Bei diesen gelten erhöhte Informationspflichten. Zudem sind die Ausnahmeregelungen nicht für alle Fälle praktikabel.

Wegen der komplexen Situation und der vielfältigen Fragen bei Datenübermittlungen in Drittländer wie den USA ist deshalb eine individuelle Beratung dringend empfohlen. Wir unterstützen Sie und Ihr Unternehmen gerne bei der Umsetzung der Vorgaben des EuGH. Sprechen Sie uns an und wir erarbeiten gemeinsam mit Ihnen eine für Sie passende Lösung!

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.