EuGH kippt Privacy Shield: Datenschutz im Geschäftsverkehr mit amerikanischen Unternehmen (Deprived Privacy)

Erstellt von PD Dr. Jens Thomas Füller | |  Baker Tilly Digital

Am 16. Juli 2020 (RS C-311/18) hat die große Kammer des Europäischen Gerichtshofs (EuGH) eine transatlantische Bombe im Datenschutz gezündet. Diese Beschreibung ist kaum übertrieben, wenn man den 5. Leitsatz des Urteils zitiert: „Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.“ Doch was hat dieses Urteil für Auswirkungen auf Unternehmen?

Die Vorgeschichte des Urteils ist bemerkenswert. Ein bekannter österreichischer Datenschutzaktivist wandte sich gegen das Datenschutzgebaren von Facebook. Bei der Anmeldung und Registrierung auf dieser Seite erklären sich die Nutzer damit einverstanden, dass Facebook Irland personenbezogene Daten ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Darauf legte der Datenschutzaktivist eine Beschwerde bei der irischen Datenschutzbehörde ein, die diese im Jahr 2013 als „frivol“ zurückwies. Damals galt das Safe-Harbour-Abkommen. Danach billigte die Europäische Kommission (durchaus blauäugig) das amerikanische Zertifizierungssystem. Sofern ein amerikanisches Unternehmen sich datenschutzrechtlich selbst zertifiziere oder nach amerikanischem Recht zertifiziert sei, sei auch das europäische Datenschutzniveau gewährleistet. Hierauf berief sich die irische Datenschutzbehörde und ging der Beschwerde nicht nach, obwohl die Kommission in der Zwischenzeit selbst Mängel an Safe Harbour einräumte. Über den irischen High Court gelangte das Verfahren zum EuGH, der im Jahre 2015 (C-362/14) das Safe-Harbour-Abkommen aufhob und die irische Datenschutzbehörde dazu verpflichtete, der Beschwerde nachzugehen.

Auf Safe Harbour folgte Privacy Shield

Nunmehr trat das Privacy-Shield-Abkommen in Kraft, dessen Bestandteil der eingangs zitierte Durchführungsbeschluss der Europäischen Kommission ist. Hierin erklärte die Kommission erneut das amerikanische Datenschutzniveau für angemessen. Dieser Angemessenheitsbeschluss rechtfertige bislang nach Art. 45 DSGVO Datentransfers in die USA. Auch diesen Beschluss (und weitere Regeln) hielt der Datenschutzaktivist für rechtswidrig. Darauf veranlasste die nunmehr deutlich kooperativere und kritischere irische Datenschutzbehörde, dass der irische High Court die Sache dem EuGH vorlegt. Nebenher bemerkt: Facebook hielt das Verfahren vor dem EuGH für unzulässig, eine verständliche Einlassung. Auch das Vereinigte Königreich hielt das Verfahren aus Rechtsgründen für unzulässig. Die Bundesregierung schloss sich dem an. Datenschutz für Bürgerinnen und Bürger schien mit transatlantischen Interessen zu kollidieren. Der EuGH hielt das Verfahren jedoch für zulässig. 

Kein angemessenes Schutzniveau durch Privacy Shield

Im Jahr 2016 hatte die europäische Kommission einen Durchführungsbeschluss gefasst, in dem sie davon ausging, dass in den USA ein mit dem in Europa vergleichbares Datenschutzniveau herrsche. Bislang war dieser Beschluss die Grundlage für eine rechtskonforme Übermittlung von Daten in die USA. Der EuGH erklärte diesen Beschluss insgesamt für ungültig. Er stützt dies darauf, dass in den USA kein Rechtsschutz gegen die Datenverarbeitung bestehe, der mit dem Schutzniveau nach Art. 47 der Grundrechtscharta vereinbar ist. Tatsächlich haben amerikanische Geheimdienste sowie das FBI nach dem Foreign Intelligence Surveillance Act die Befugnis, ohne Anlass und richterlichen Beschluss auf personenbezogene Daten zuzugreifen, die in den USA gespeichert sind. Die amerikanische Ombudsperson hat keine Handhabe gegen die Geheimdienste und kann daher nicht gegen die Datenabfrage vorgehen oder die Löschung der Daten verlangen. Dies wurde auch außerhalb des Verfahrens von interessierten Kreisen gerügt und es überrascht daher wenig, dass sich der EuGH dem anschloss.

Garantien bei der Datenübermittlung

Fehlt ein Angemessenheitsbeschluss, können personenbezogene Daten in ein Drittland übermittelt werden, wenn die verarbeitende Stelle geeignete Garantien nach Art. 46 DSGVO vorsieht. Auch diese Garantien müssen ein vergleichbares Schutzniveau wie in der Europäischen Union gewährleisten. Hierzu hat man in der Vergangenheit auf Standarddatenschutzklauseln zurückgegriffen, die die Europäische Kommission erlassen hatte (Art. 46 Abs. 2 lit. c DSGVO). Diese Standardklauseln können keine ausländische Behörde binden. Vielmehr muss sich das in der Union ansässige Unternehmen selbst vergewissern, ob im Ausland ein ausreichendes Schutzniveau herrscht. Genau hierin besteht ein erhebliches Risiko für die Beteiligten. Erkennt etwa ein deutsches Unternehmen, dass in den USA kein der EU vergleichbares Datenschutzniveau besteht, ist es dazu verpflichtet, die Weitergabe der personenbezogenen Daten zu unterlassen und muss dafür Sorge tragen, dass die in das Drittland gelangten Daten zurückgeschickt und dort vernichtet werden. Bei einem Verstoß hiergegen drohen Schadensersatzansprüche Dritter. Anders formuliert: Die Standardvertragsklauseln können tatsächlich kein angemessenes Schutzniveau für die betroffenen Personen garantieren. Der EuGH formuliert lapidar, dass auf der Grundlage von Standardvertragsklauseln ein Transfer möglich sei. Tatsächlich ist er das nicht, da diese keine Rechtsdurchsetzung gegenüber amerikanischen Behörden vermitteln können. Der Gerichtshof hat den betroffenen Unternehmen daher Steine statt Brot gegeben.  

Gibt es einen Ausweg?

Der Mittelstand wird durch diese Rechtsprechung erheblich belastet. Lagert er Daten auf Cloud-Dienste aus, deren Server in den USA steht, ist dies datenschutzwidrig. Arbeitet ein deutsches Unternehmen mit einem amerikanischen zusammen und werden dabei Kundenlisten übergeben, erfüllt sich ein weiterer Verstoß gegen die DSGVO. Künftig müssen Unternehmen besonders sorgfältig prüfen, ob irgendwelche personenbezogenen Daten in die USA gelangt sind oder gelangen können. Falls ja, müssen die Daten zurückgefordert werden. Anderenfalls drohen Bußgelder. Ein Ausweg besteht im Moment nur darin, eine umfassende Einwilligung von den betroffenen Personen einzuholen, deren Daten in die USA gelangt sind (Art. 49 DSGVO). Das sorgt für einen deutlichen Aufwand, wobei auch bisher der Datenschutz, wie ihn die DSGVO verlangt, erhebliche personelle Kapazitäten im Unternehmen gebunden hat.

Wichtig ist eine zeitnahe Bestandsaufnahme

Zuerst sollte man sich darüber vergewissern, welche amerikanischen Dienste genutzt werden und ob dort personenbezogene Daten gespeichert werden. In erster Linie sind dies Social Media Dienste wie Facebook, Twitter, Instagram, Tumblr, LinkedIn oder Pinterest. Hinzu kommen verschiedene Tracking-Dienste und Anbieter von Ads (Google Analytics, WordPress Stats, Google Ads und weitere Google Dienste). Verwenden Sie für Ihre Newsletter an Kunden MailChimp, müssen Sie ebenso Maßnahmen ergreifen. Die üblichen Musik- und Videoplattformen sind ebenso betroffen wie die Nutzung von bestimmten Programmen für Videokonferenzen. Dies sind namentlich Zoom, Skype for Business, GoToMeeting, Microsoft Teams, Google Hangouts und Google Meet. Gerade die letztgenannten Programme sind in pandemischen Zeiten aus gutem Grund besonders beliebt. Kundengespräche hierüber sollten Sie künftig unter Umständen unterlassen.

Was ist dann zu tun?

Sie sollten in jedem Fall Ihre Datenschutzerklärung überarbeiten, wenn diese noch auf dem Privacy-Shield-Abkommen beruht. Dieses vermittelt nunmehr kein angemessenes Schutzniveau. Außerdem zwingt das Urteil nun dazu, Daten in einer europäischen Cloud zu speichern. Bis Rechtssicherheit herrscht, sollten Sie so weit wie möglich auf amerikanische Dienste verzichten und sich nach europäischen Alternativen umsehen. Das mag im Einzelfall schwer bis unmöglich sein, ist aber die Konsequenz des Urteils. Geht es nicht anders, mag eine besondere Einwilligung formuliert werden. Inwieweit die Datenschutzbehörden Bußgelder verhängen werden, bleibt abzuwarten. Man könnte das als unfair empfinden, da die inländischen Behörden und die Bundesregierung bislang keine Bedenken gegenüber Privacy Shield hegten und letztere sogar das Verfahren vor dem EuGH für unzulässig hielt. Indes geht es hier nicht um Fairness, sondern um die Bändigung von Datenkraken. Damit bleibt am Ende zu hoffen, dass im Inland betroffene Unternehmen nicht die Versäumnisse auf der politischen Ebene ausbaden müssen. 

Sollten Sie Fragen zum Thema haben oder diesbezügliche Beratung wünschen, sprechen Sie gerne mich oder meinen Kollegen Stephan Zuber an.

Zurück