Als der Europäische Gerichtshof (EuGH) am 16. Juli dieses Sommers mit Urteil in der Rechtssache „Schrems II“ das EU-US Privacy Shield für ungültig erklärte, gab es eine große Bandbreite spontaner Reaktionen: Die Panik, dass dem Internet aus Datenschutzgründen der Stecker gezogen werde, war ebenso wahrnehmbar wie ein billigendes Schulterzucken. Die Wahrheit liegt dazwischen, der Handlungsbedarf für Unternehmen bleibt groß. Inzwischen haben sich nämlich die Beteiligten diesseits und jenseits des Atlantiks in Stellung gebracht und die Debatte weiter angefacht.
Hintergrund: Das Urteil in der Rechtssache „Schrems II“
Fünf Jahre, nachdem der EuGH das Safe-Harbor-Abkommen für ungültig erklärte, hat das Gericht auch den Nachfolger, das Privacy Shield, für unvereinbar mit dem europäischen Recht erklärt. Das Gericht begründet die wegweisende Entscheidung mit dem Umstand, dass das Abkommen den Erfordernissen der nationalen Sicherheit der USA und der Einhaltung von US-Recht Vorrang einräume. Daher sei durch das Privacy Shield kein angemessener Schutz personenbezogener Daten in den USA sichergestellt.
Sämtliche Datentransfers in Länder außerhalb der Europäischen Union müssen nach den Vorgaben der DSGVO durch bestimmte Instrumente gewährleisten, dass das Datenschutzniveau im Zielland dem der EU entspricht. Das Privacy Shield stellte ein oft genutztes Instrument zur Legitimierung von Datentransfers in die USA dar. Unternehmen, die ihre Transfers auf das Privacy Shield stützten, müssen nun entweder eine alternative Rechtsgrundlage finden oder entsprechende Datenübermittlungen aussetzen. Viele Alternativen bleiben dabei jedoch nicht.
Standard Contractual Clauses (SCC): Fluch und Segen
Neben dem Privacy Shield existieren weitere Möglichkeiten zur Legitimierung von Datentransfers in die USA. Eine Möglichkeit ist ein Angemessenheitsbeschluss der Europäischen Kommission. Ein solcher existiert aber für wichtige Drittländer – etwa Indien, China, die USA oder die Philippinen – nicht.
Für Datenübermittlungen in die USA wurden bislang überwiegend das EU-US Privacy Shield oder Standard Contractual Clauses (SCC) genutzt. Bei den SCC handelt es sich um eine Vereinbarung zwischen Datenexporteur und dem im EU-Ausland ansässigen Datenimporteur, welche ein adäquates Datenschutzniveau herstellen sollen. Der EuGH fordert, dass der Datenimporteur darin enthaltenen Verpflichtungen tatsächlich einhalten kann. Da das Gericht im Rahmen der Prüfung des Privacy Shield feststellte, dass die Rechtslage in den USA kritisch zu bewerten ist, sind US-Datentransfers aber mit Rechtsrisiken behaftet. Ein Datentransfer in die USA oder andere unsichere Drittländer allein auf Grundlage dieser Klauseln ist jedenfalls ohne weitere Schutzmaßnahmen nicht (mehr) möglich.
Die SCC bieten nur dann ausreichende Garantien, wenn der Datenexporteur bei einer Einzelfallprüfung feststellt, dass diese, insbesondere unter Berücksichtigung des Rechts des Drittstaats, ein adäquates Datenschutzniveau herstellen. Hierzu müssen Unternehmen zunächst identifizieren, in welchen Prozessen und auf welcher Rechtsgrundlage sie Daten ins EU-Ausland transferieren. Mittels eines Fragebogens sollte ermittelt werden, welchen Risiken – insbesondere behördlichen Datenzugriffen – die Verarbeitung beim Dienstleister ausgesetzt sein kann. Anhand dieser Risiken, der Natur des Services und der Art der Daten müssen risikoadäquate Maßnahmen technischer und organisatorischer sowie vertraglicher Natur implementiert werden.
Ein weiteres Mittel für Datentransfers innerhalb einer Unternehmensgruppe stellen Binding Corporate Rules dar. Sie bedürfen allerdings der Genehmigung durch die Datenschutzaufsicht, sind zeit- und kostenintensiv und für Transfers an konzernexterne Stellen untauglich. Vor allem aber ist der Maßstab ihrer Wirksamkeit mit denen von SCC vergleichbar. Dasselbe Problem, welches sich für SCC stellt, stellt sich also auch hier.
Aktuelle Entwicklungen
Datenschutzaufsichtsbehörden kündigten unmittelbar nach Urteilsspruch an, Unternehmen keine Schonfrist zu gewähren. Tatsächlich hat es etwas gedauert: Am 9. September erließ die irische Datenschutzaufsicht gegenüber Facebook eine Anordnung, Datentransfers an den US-Mutterkonzern zu stoppen. Facebook reagierte mit der Drohung, sich aus dem europäischen Markt zurückzuziehen. Die Berliner Datenschutzaufsicht empfahl Bürgern, auf Schadensersatz zu klagen, wenn ein Unternehmen ihre Daten verarbeitet und in diesem Rahmen in die USA transferiert, und die Nichtregierungsorganisation „noyb“ legte Beschwerden gegen über 100 europäische Unternehmen, welche die Dienste von Google und Facebook einsetzen, ein.
Die EU-Kommission verkündete nunmehr, an einem Update der SCC zu arbeiten sowie zu einem Privacy-Shield-Nachfolger zu verhandeln. Ob bei der derzeitigen US-Administration eine Einschränkung geheimdienstlicher Befugnisse zugunsten der Grundrechte europäischer Bürger zu erwarten ist, muss bezweifelt werden. In jedem Fall helfen auch diese Instrumente nicht über die Herausforderungen internationaler Datentransfers in andere Drittländer hinweg.
Fazit und Ausblick
Nähme man den EuGH beim Wort, hätte das Urteil den globalen Datenverkehr zum Erliegen gebracht. Letztlich ist die Entscheidung vor allem ein politisches Signal: Indem ein ausländisches Recht, das die Grundrechte von EU-Bürgern achtet, erzwungen wird, avanciert Datenschutz zum Exporteur europäischer Grundrechte. Angesichts der bei den Aufsichtsbehörden laufenden Verfahren und der steigenden Zahl ziviler Klagen wegen Datenschutzverstößen besteht für alle europäischen Unternehmen, die Dienste aus den USA oder anderen Drittländern einsetzen, ein hoher Handlungsbedarf.
Zu hoffen ist daher, dass die Behörden allgemeingültige Kriterien für jedes Drittland entwickeln und konkrete Maßnahmen vorschlagen, sodass auch kleine Unternehmen die steigenden Herausforderungen bewältigen können. Ansonsten wäre das Urteil nur Wasser auf die Mühlen jener, die ohnehin über den Datenschutz schimpfen – und hätte dem Grundrechtsschutz europäischer Bürger einen Bärendienst erwiesen.
Alexander Golland ist Rechtsanwalt in der Datenschutzpraxis von PwC Legal und berät Konzerne zum Datenschutzrecht. Er promovierte zur Datenschutz-Grundverordnung und ist Certified Information Privacy Professional Europe (CIPP/E). Daneben forscht er schwerpunktmäßig zu datenschutzrechtlichen Grundsatzfragen innovativer Technologien und ist Schriftleiter der Fachzeitschrift „Datenschutz-Berater“.
