In den letzten Tagen und Wochen hat sich die Aufregung um das Scheitern des EU-US Privacy Shield etwas gelegt. Jedoch ist zu beobachten, dass nun, knapp 7 Wochen nach dem „Urknall“, in vielen Köpfen die Erkenntnis gereift ist: Das Urteil geht an meiner Organisation nicht spurlos vorbei.
Wir möchten daher die Ereignisse der letzten Tage für Sie einordnen.
Was gibt es Neues von den Aufsichtsbehörden?
Weltlicher Bereich
Im weltlichen Bereich hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) in einer Orientierungshilfe [1] vom 24.08.2020 einen Vorstoß gewagt. Die darin enthaltenen Kernaussagen sind:
- Die DSGVO findet auch auf die Übermittlung personenbezogener Daten in ein Drittland in solchen Fällen Anwendung, in denen es aus Gründen der nationalen Sicherheit oder Verteidigung zu einem Zugriff durch Geheimdienste dieses Landes kommt. Die Ausnahmen aus Art. 2 Abs. 2 lit. a) bis d) DSGVO gelten nur für die Mitgliedsstaaten.
- Das EU-US Privacy Shield ist ab sofort [2] ungültig.
- Die Standardvertragsklauseln sind weiterhin gültig. Die Standardvertragsklauseln können allerdings die Behörden des Drittlandes nicht binden und stellen daher in den Fällen, in denen die Behörden nach dem Recht des Drittlandes befugt sind, in die Rechte der betroffenen Personen einzugreifen ohne zusätzliche Maßnahmen der Vertragspartner keinen angemessenen Schutz dar.
- Der Verantwortliche [3] muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren.
- Ist ein solches angemessenes Schutzniveau nicht sichergestellt, muss die Aufsichtsbehörde für den Datenschutz die Datenübermittlung aussetzen oder verbieten, wenn der Schutz nicht durch andere Maßnahmen hergestellt werden kann. Andere Maßnahmen können sein:
- Verschlüsselungen, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann (z.B. Hold Your Own Key – HYOK)
- Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann
Die wohl wichtigste Aussage verbirgt sich jedoch am Ende des Dokumentes. Der genaue Wortlaut lautet:
Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden. Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten. Wir werden die Entwicklung weiter beobachten und unsere Positionen dementsprechend laufend überprüfen und fortentwickeln.
Zusammenfassend lässt sich also aus der Orientierungshilfe schließen, dass das Thema beim LfDI Baden-Württemberg angekommen ist. Verantwortliche Unternehmen werden bei einer Prüfung in die Pflicht genommen, die Rechtmäßigkeit einer Übermittlung in Drittstaaten nachzuweisen. Im Falle von US-Dienstleistern müssen, dem Vernehmen nach, neben Standardvertragsklauseln auch zusätzliche Maßnahmen umgesetzt werden, die den Schutz der personenbezogenen Daten vor der Willkür von US-Behörden gewährleistet.
Kirchlicher Bereich
Auch im kirchlichen Bereich haben sich Neuigkeiten aufgetan. Der Beauftragte für den Datenschutz der EKD (BfD EKD) veröffentlichte jüngst eine umfangreiche Sammlung von FAQ [4], in derer er u.a. die (Nicht-)Anwendbarkeit der Standardvertragsklauseln erläutert und Stellung zu der Frage bezog, welche Folgen eine rechtswidrige Datenübermittlung haben kann.
Hier argumentiert der BfD EKD zu den Standardvertragsklauseln ähnlich wie der LfDI Baden-Württemberg: Standardvertragsklauseln mit US-Dienstleistern reichen für eine Datenübermittlung in die USA ohne zusätzliche Maßnahmen nicht aus. Und auch die kirchlichen Aufsichtsbehörden können Übermittlungen verbieten und sogar unter Umständen Bußgelder aussprechen, wenn sie illegale Übermittlungen von personenbezogenen Daten in Drittländer feststellen. Verantwortlichen Personen in kirchlichen Stellen wird ein Blick in die FAQ wärmstens empfohlen.
Was gibt es sonst noch Neues?
Auch Max Schrems bzw. seine Organisation NOYB war nicht untätig. Kurz nach dem Urteil hat er 101 Beschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedsstaaten eingereicht. Zuvor wurden die Quellcodes europäischer Webseiten durchsucht, um Anhaltspunkte für illegale Übermittlungen in die USA ausfindig zu machen. Hierzu ein Auszug aus der Mitteilung [5] vom 17.08.2020:
„Wir haben auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt. Diese Code-Schnipsel leiten Daten über jeden Besucher an Google oder Facebook weiter. Beide Unternehmen geben zu, dass sie die Daten aus der EU zur Verarbeitung in die USA übermitteln, wo sie gesetzlich verpflichtet sind, diese Daten US-Behörden wie der NSA zur Verfügung zu stellen. Weder Google Analytics noch Facebook Connect sind für den Betrieb dieser Webseiten notwendig und hätten daher inzwischen ersetzt oder zumindest deaktiviert werden können.“
Das den Worten auch Taten gefolgt sind, macht die im Artikel angehängte Liste [6] der „angeschwärzten“ Unternehmen deutlich. In Deutschland hat es gleich sieben Unternehmen getroffen, die nach Auffassung von NOYB auch nach dem EuGH-Urteil weiterhin Daten über Ihre Webseite an Google und Facebook übermittelt haben (netzwelt GmbH, Sky Deutschland, TV Spielfilm Verlag GmbH, DuMont.next GmbH & Co. KG, FUNKE Digital GmbH, Handelsblatt GmbH, Chefkoch GmbH). Wie mit den Beschwerden auf Seiten der Behörden verfahren wird bleibt abzuwarten – auch ob es nun Bußgelder hageln wird. Was jedoch bleibt ist der Reputationsschaden.
> 6. Sondernewsletter Ausgabe downloaden.
[1] Siehe https://portal.ak-datenschutz.de/confluence/pages/viewpage.action?pageId=113410059&preview=/113410059/113410057/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf, zuletzt abgerufen am 28.08.2020
[2] Mit „sofort“ ist vermutlich der 16.07.2020 gemeint, die Orientierungshilfe datiert vom 24.08.2020
[3] In den meisten Fällen das exportierende Unternehmen
[4] Siehe https://datenschutz.ekd.de/infothek-items/haeufig-gestellte-fragen-zum-urteil-des-eugh-vom-16-07-2020-schrems-ii/, zuletzt abgerufen am 28.08.2020
[5] Siehe https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht, zuletzt abgerufen am 28.08.2020
[6] Siehe https://noyb.eu/en/eu-us-transfers-complaint-overview, zuletzt abgerufen am 28.08.2020