EuGH kippt den EU-US Privacy Shield

von MarkusD

Was ist privat und was nicht?

Bild: Postkasten, Privat

Der sichere Umgang mit Daten ist ein heiß umstrittenes Thema. Indem der EuGH die Privacy Shield Verordnung kippte ist ein wichtiger Schritt in Richtung Datensicherheit.

Der Europäische Gerichtshof (EuGH) hat am 16. Juli den EU-US Privacy Shield für ungültig erklärt (C-311/18).

Die DSGVO sieht vor, dass personenbezogene Daten die EU grundsätzlich nicht verlassen dürfen – wenn doch, ist ein adäquates Schutzniveau sicherzustellen. Bisher galt der Privacy Shield als zentraler Genehmigungstatbestand der Datenübermittlung in die USA und wurde von vielen US-Unternehmen gleichsam als „Pauschallösung“ herangezogen. Der EuGH stieß sich daran, dass die in den USA geltenden Gesetze zur Terrorismusbekämpfung und Spionageabwehr (z. B. der Foreign Intelligence Surveillance Act – FISA) keine wirksamen Rechtsbehelfe und Garantien für EU-Bürger vorsehen, das Grundrecht auf Datenschutz sei daher nicht sichergestellt. Durch den Wegfall des Privacy Shields gilt die USA nun als herkömmlicher Drittstaat ohne privilegierte Datenübermittlung. Verantwortliche (Unternehmen, Organisationen), die Daten exportieren wollen, müssen die Angemessenheit des Schutzniveaus im Einzelfall beurteilen, so der EuGH.

Was heißt das konkret? Solange Datenübertragungen zur Vertragserfüllung notwendig sind („notwendige“ Datenübermittlungen) oder die betroffene Person eingewilligt hat, ist alles in Ordnung. Wenn jedoch personenbezogene Daten im Rahmen der Inanspruchnahme einer Dienstleistung (z. B. Datenhosting, E-Mail-Dienst) an Unternehmen in den USA übermittelt werden, muss der Verantwortliche sicherstellen, dass das erforderliche Schutzniveau besteht. Als „Ersatz“ für den Privacy Shield könnten SCCs – Standard Contractual Clauses – herangezogen werden. Das sind Klauseln, die von der Europäischen Kommission formuliert wurden und, sofern sie unverändert Verwendung finden, ein taugliches Instrument zur rechtmäßigen Datenübermittlung in Drittstaaten darstellen.

Unserer vorsichtigen Einschätzung nach ist jedoch nicht davon auszugehen, dass SCCs bei Datenübermittlungen in die USA pauschal den Privacy Shield ersetzen können, da sich an der Grundproblematik des mangelnden Schutzniveaus durch die US-Gesetze nichts ändert. Gerade bei Unternehmen wie Microsoft, Facebook und Google, die definitiv von diesen US-Gesetzen betroffen sind, wird die alleinige Heranziehung der SCCs nicht ausreichen. Man müsste jedenfalls zusätzliche vertragliche Verpflichtungen vorsehen.

Bei strenger Betrachtung muss man schlussfolgern, dass zumindest gegenwärtig die Nutzung von Diensten vieler US-Unternehmen mit einem gewissen Risiko (Strafen nach DSGVO, Schadenersatz) verbunden ist. Datenschützer haben bereits angekündigt, auch die Verwendung von SCCs als Grundlage der Datenübertragung in die USA näher zu beurteilen und ggf. zu bekämpfen. Max Schrems’ Datenschutzorganisation Noyb hat mittlerweile gegen 101 europäische Unternehmen aus 30 EU-/EWR-Mitgliedsstaaten, die weiterhin Daten an die US-Unternehmen Facebook und Google auf Grundlage von SCCs übertragen, Beschwerde eingebracht. Ziel ist es, den Druck auf Unternehmen zu erhöhen und die Einhaltung der europäischen Datenschutzstandards sicherzustellen.

Wichtig: Die Konsequenzen eines Datentransfers an Unternehmen, die kein angemessenes Sicherheitsniveau herstellen oder herstellen können, trägt immer der Datenexporteur/das verantwortliche Unternehmen. Ob SCCs in ihrer jetzigen Form in Zukunft Bestand haben, bleibt abzuwarten. Wir empfehlen, dort auf Datenübertragungen in die USA zu verzichten, wo dies leicht möglich ist (z. B. Trackingsoftware bei Webseiten). Notwendige Datentransfers an US-Unternehmen gilt es nicht nur über SCCs, sondern über andere Maßnahmen abzusichern. Man ist hier auf die Unterstützung des Dienstleisters/Auftragsverarbeiters angewiesen.

Nach Mitteilungen der Europäischen Union bemüht sich EU-Kommissar Didier Reynders um Überarbeitung und Modernisierung der SCCs. Aufgrund der Bedeutung des europäischen Marktes für US-Unternehmen ist davon auszugehen, dass sich EU und USA auf ein sicheres Framework einigen werden – dies wird jedoch sicherlich noch einige Zeit in Anspruch nehmen. Es bleibt also spannend.