Bereits in der vergangenen Woche haben wir Sie über die Entscheidung des Europäischen Gerichtshof (EuGH) zum EU-US Privacy Shield informiert. Da dies potenziell Auswirkung auf alle europäischen Unternehmen hat, möchten wir Sie in den kommenden Wochen regelmäßig über neue Entwicklungen informieren.
Was ist das EU-US Privacy Shield?
Das EU-US Privacy Shield ist ein transatlantisches Abkommen zwischen der Europäischen Kommission und den Vereinigten Staaten von Amerika. Es legitimiert den Austausch personenbezogener Daten zwischen beiden Staatengemeinschaften, in dem es Versprechungen zu Datenschutz und Datensicherheit manifestiert sowie ein angemessenes Datenschutzniveau gewährleisten soll (Angemessenheitsbeschluss).
Dies sah der EuGH in seinem Urteil vom 16.07.2020 jedoch anders und kippte das Abkommen.
Was ist passiert?
Am vergangenen Donnerstag erklärte der europäische Gerichtshof das transatlantische Abkommen zwischen der EU und den USA für ungültig. Ausschlaggebend für diese Einschätzung ist die „Schnüffelpraxis“ der amerikanischen Sicherheitsbehörden. Die Vereinbarungen im EU-US Privacy Shield können aufgrund der gesetzlich eingeräumten Möglichkeiten der US- Geheimdienste nicht durchgesetzt werden – ein Datenschutzniveau nach europäischen Maßstäben ist so nicht gewährleistet.
Neu ist diese Ansicht nicht. Bereits nach dem Scheitern des Safe Harbor-Abkommens und der Neuauflage unter einem anderen Namen (Privacy-Shield) wurden Bedenken laut. Sicherer schien von Anfang an der Abschluss von Standardvertragsklauseln. Diese kann man analog zu den innereuropäischen Verträgen zur Auftragsverarbeitung (AV-Vertrag) betrachten. Der Inhalt wird jedoch von der europäischen Kommission vorgegeben und Änderungen sind nur mit deren Erlaubnis möglich.
Im Grundsatz bestätigte der EuGH am Donnerstag die Gültigkeit der Standardvertragsklauseln – was nur logisch erscheint. Standardvertragsklauseln haben im Gegensatz zu dem EU-US Privacy Shield globale Gültigkeit. Sie regeln den Datenaustausch mit Drittstaaten und internationalen Organisationen weltweit. Und nicht wie das EU-US Privacy Shield, nur den Austausch mit den Vereinigten Staaten und den dort ansässigen Unternehmen.
Identisch zum EU-US Privacy Shield ist jedoch, dass die Standardvertragsklauseln ebenfalls ein Datenschutzniveau nach europäischen Maßstäben sicherstellen sollen. Und hier beißt sich die Katze in den Schwanz:
Standardvertragsklauseln können die Befugnisse der US-Geheimdienste nicht beschneiden. Selbst wenn ein US-amerikanisches Unternehmen zusichert, das europäische Datenschutzniveau zu wahren, unterliegt das Unternehmen weiterhin der amerikanischen Rechtsprechung. US-Geheimdienste können ohne richterlichen Beschluss Daten von z. B. europäischen Bürgerinnen und Bürgern anfragen. Was nun also für das Scheitern des EU-US Privacy Shield sorgt, kann im Zweifel auch für Standardvertragsklauseln mit US-amerikanischen Unternehmen gelten: Sie sind nicht wirksam und damit ungültig.
Was bedeutet das Urteil?
Es bedeutet vor allem, dass mindestens eine Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA weggefallen ist. Sofern die Übermittlung auf Basis von Standardvertragsklauseln beruht, könnte man nun argumentieren, dass diese zunächst weiter Bestand haben. Eine tiefergehende Prüfung könnte diese Ansicht jedoch zum Wanken bringen.
Im Zweifel bleibt als mögliche Rechtsgrundlage nur noch die informierte Einwilligung eines jeden Betroffenen – theoretisch möglich, in vielen Fällen wohl jedoch praxisfremd.
Was sollte kurzfristig getan werden?
Ruhe bewahren
Zunächst gilt es Ruhe zu bewahren. Die Entscheidung des EuGH in diesem Ausmaß kam überraschend – sowohl für Datenschützer wie auch für die Aufsichtsbehörden, die mit dem Urteil nun ebenfalls umgehen müssen.
Von Seiten der EU wurden bereits Stimmen laut, ein neues Abkommen aushandeln zu wollen. Sofern jedoch die amerikanische Rechtsprechung und die damit einhergehenden Befugnisse der Geheimdienste nicht beschnitten werden, ist ein potenziell neues Abkommen (z. B. ein Privacy Shield 2.0) auch nur ein Konstrukt auf Zeit. Nichtregierungsorganisationen könnten abermals Klage einreichen und ein solches Abkommen für nichtig erklären lassen.
US-Dienstleister identifizieren und Rechtsgrundlage für den Datenexport prüfen
Eine Datenverarbeitung ist zunächst weiterhin in Ordnung, wenn…:
- ein AV-Vertrag (DPA – Data Processing Agreement) mit EU-Standardvertragsklauseln (zumeist im Anhang) vorhanden ist und sofern die EU-Standardvertragsklauseln nicht durch den Dienstleister abgeändert wurden.
- Einwilligungen für den Datenexport von den betroffenen Personen vorhanden sind. Zum Beispiel über Consent Manager für Cookies und Co. Eine Anpassung der Datenschutzerklärung auf der Webseite sollte überprüft werden.
Eine Datenverarbeitung ist nicht mehr in Ordnung, wenn…:
- der Datenexport nur auf das EU-US Privacy Shield gestützt wird; der Dienstleister also keinen AV-Vertrag bzw. DPA mit rechtskonformen EU-Standardvertragsklauseln anbietet. Stoppen Sie, wenn möglich, diese Verarbeitungen (z. B. durch Entfernen der entsprechenden Cookies oder Plugins auf Ihrer Webseite).
Was sollte mittelfristig getan werden?
Die Reaktionen der Behörden und deren Umgang mit der neuen Situation sollten genauestens beobachtet werden. Es ist nicht unwahrscheinlich, dass ein neues Abkommen zwischen der EU und den USA entstehen könnte. Wie jedoch bereits eingangs erläutert, wäre ein neues Abkommen vermutlich ebenfalls nur ein Abkommen auf Zeit.
- Prüfen Sie, ob einzelne Datenverarbeitungen selbst oder durch in der EU ansässige Unternehmen durchgeführt werden könnten.
- Überprüfen Sie alle Datenschutzerklärungen und sonstige Informationspflichten, wie z.B. das Auskunftsersuchen. Da das EU-US Privacy Shield keine legitime Rechtsgrundlage mehr ist, kann sich hierauf nicht mehr berufen werden.
- Fragen Sie Ihre Dienstleister in den USA an, ob zwischenzeitlich EU-Standardvertragsklauseln angeboten werden. Schließen Sie diese ab.
- Prüfen Sie vorhandene EU-Standardvertragsklauseln. Änderungen durch den Dienstleister sollten nicht vorgenommen worden sein. Falls doch gilt es zwingend die Gültigkeit überprüfen zu lassen.
Selbstverständlich halten wir unsere Kunden über die weiteren Entwicklungen auf dem Laufenden.
Lesen Sie zusätzlich in unserem PDF-Sondernewsletter die ersten Reaktionen und Stimmen dazu!
> Sondernewsletter Ausgabe downloaden.