Das Problem „Privacy Shield“
Grundlage für Datenübertragungen zwischen EU und USA unwirksam
Bereits den EU-US-Datenschutzdeal „Safe Harbor“ brachte der Europäische Gerichtshof (EuGH) 2015 auf Betreiben des Datenschutzaktivisten Max Schrems zu Fall. Der Grund: Die Daten europäischer Bürger waren nicht ausreichend vor unbefugten Zugriffen durch US-Behörden geschützt. Aus ähnlichem Anlass erklärt der EuGH nun auch den „Safe Harbor“-Nachfolger „Privacy Shield“ für unwirksam.
Datentransfers ade?
Schrems Klage richtete sich konkret gegen Facebook Irland. Die Europazentrale des sozialen Netzwerks leitete Daten an den Konzern in den USA weiter. Dort sei dieser verpflichtet, diese Daten ebenfalls US-Behörden (NSA, FBI) zugänglich zu machen – Betroffene könnten nichts tun. Durch die gegebenen Zugriffsmöglichkeiten durch US-Dienststellen sei der Rechts- und Datenschutz folglich unzureichend.
Solche Datentransfers fänden oft auf Basis sogenannter Standardvertragsklauseln (Standard Contractual Clauses, SCCs) statt. Diese sollen den angemessenen Schutz der Daten auch dann garantieren, wenn sie ins Ausland übermittelt werden. Aber obwohl solche SCCs bestehen blieben – anders als der „Privacy Shield“ –, müssten Unternehmen prüfen, ob die Grundsätze des europäischen Datenschutzrechts im Drittland, in das sie Daten übermittelten, eingehalten würden.
Im Falle der Vereinigten Staaten seien die SCCs nicht mit europäischem Datenschutzniveau vereinbar und somit genauso ungültig wie das EU-US-Datenschutzabkommen.
Lesen Sie in unserem Exkurs mehr über DSGVO, Standardvertragsklauseln und erforderliche Datentransfers.
Was bedeutet das Ende des „Privacy Shield“ für die Praxis?
Es bahnen sich Probleme für europäische Betriebe an, die sich Regeln des „Privacy Shield“ verschrieben hatten. Ohne den Schild existieren keine legalen Alternativen, Daten aus der EU in die USA zu transferieren. Demnach drohen Bußgelder nach der Datenschutz-Grundverordnung (DSGVO).
„Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.“
Max Schrems (Jurist und Datenschutzaktivist)
Ebenfalls spricht die derzeitige Lage, anders als 2015, gegen eine schnelle Lösung. Von der derzeitigen US-Regierung sei eher weniger zu erwarten, dass sie sich kooperativ zeige und EU-Bürgern einen höheren Rechtsschutz zugestehe, so SPIEGEL Netzwelt. Daher müssten Unternehmen nun überlegen, wie sie handeln wollen, während sie viele US-Dienstleister nicht einsetzen dürfen und sich vorerst unvermeidlich ein Rechtsvakuum bilden wird, welches Betriebe politisch allein lässt.
Im Folgenden mögliche Vorgehensweisen für Unternehmen:
- Eigene Verträge und Datenschutzerklärungen anpassen, „Privacy Shield“-Hinweise entfernen.
- Bei Beanspruchung von US-Dienstleistern auf EU-Server ausweichen und Daten dort speichern.
- Keine US-Dienstleister beziehungsweise Dienstleister mit US-Subunternehmen einsetzen, die Daten in den USA speichern. Die sicherste Methode.
- Vorher prüfen, ob das Datenschutzniveau des Drittlandes, dessen Dienste man beanspruchen möchte, dem europäischen entspricht und dann Standartvertragsklauseln abschließen. Eine risikomindernde Methode, denn es ist rechtlich sicherer, SCCs abzuschließen und aufheben zu können, als dass gar keine SCCs bestehen – SCCs werden im Zweifelsfall durch den EuGH geprüft.
- Die politische Entwicklung abwarten, aber Dienstleister nach Standartvertragsklauseln und deren Sicherheit für US-Transfers fragen. Eine potentiell risikomindernde Methode.
- Abwarten, wie die EU-Kommission und die Datenschutzbehörden entscheiden. Eine mit einem Risiko verbundene Methode.
Fazit
Wie US-Konzerne wie Facebook, Google, Microsoft, Apple und Co. auf das EuGH-Urteil reagieren werden, wird sich zeigen. Zusammenfassend führt das Urteil aber zu großer Unsicherheit und fordert nunmehr die Politik, Klarheit und neue Rahmenbedingungen für EU-US-Datentransfers zu schaffen.
Deutsche und europäische Unternehmen wiederum müssen überlegen, was das unwirksame Abkommen für ihre eigenen Werbemaßnahmen, Dienstleistersysteme und -tools und internationalen Beziehungen bedeutet. Wer auf Nummer sicher gehen möchte, müsste deutsche beziehungsweise europäische Dienstleister einsetzen, die sicherstellen können, dass keine Daten in die USA oder sonstige Drittländer mit unzureichendem Datenschutzniveau übergeben werden.