Das vom Europäischen Gerichtshof am 16. Juli 2020 mit sofortiger Wirkung gekippte EU-US-Privacy Shield-Abkommen sorgt weiterhin für Ratlosigkeit. Die Folgen des kurz als Schrems II bezeichneten EuGH-Urteils sind weitreichend. Der Datentransfer an die USA ist nicht mehr erlaubt, genau genommen an alle Drittländer, die kein europäisches Datenschutzniveau gewährleisten. Wie konnte es zu diesem Dilemma kommen?
US-Behörden verfügen über umfangreiche sicherheitsbehördliche und geheimdienstliche Befugnisse. Gemäß den FISA Amendment Acts aus dem Jahr 2008 ist es der US-Regierung erlaubt, gezielte Überwachung von Ausländern, die sich außerhalb der USA befinden, mithilfe von Anbietern elektronischer Kommunikationsdienste (also z.B. Facebook, Google und Microsoft) durchzuführen. Der Datenzugriff muss nicht auf das erforderliche Ausmaß beschränkt werden und betroffene Personen haben keine vor Gericht durchsetzbaren Rechte.
Und das hat die EU „übersehen“?
All diese Tatsachen sollten – um nicht zu sagen müssen – dem europäischen Gesetzgeber doch bekannt gewesen sein als die Europäische Kommission im Jahr 2012 erstmals einen Entwurf für die Datenschutz-Grundverordnung DSGVO vorgelegt hat. Dass die USA ihren Datenhunger auch im Ausland bzw. mit personenbezogenen Daten von EU-Bürgern stillen, konnte der EU jedenfalls nicht neu sein. Denn beispielsweise ist das zwischen der EU und den USA ausverhandelte Passenger Name Record-Abkommen PNR, welches die Grundlage für das Speichern und Übermitteln von Fluggastdaten aus Europa ist, seit dem Jahr 2012 in Kraft.
Der europäische Gesetzgeber musste also ganz genau wissen, welche Datenkrake die USA sind, welche weitreichenden Befugnisse US-Behörden haben, und dass in die USA übermittelte Daten folglich kein Schutzniveau genießen können, dass dem Europäischen gleichgestellt ist. Trotzdem werden in Artikel 44 der DSGVO folgende Allgemeine Grundsätze der Datenübermittlung festgeschrieben:
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland (…) verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die (…) Bestimmungen dieser Verordnung einhalten, (…) Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Spitz formuliert könnte man sagen, dass die EU-Kommission wider besseres Wissen von verantwortlichen Unternehmen fordert, beim Datentransfer an die USA für ein Datenschutzniveau zu sorgen, dass schlichtweg nicht gewährleistet werden kann. Und belegt Verstöße gegen die nicht einzuhaltenden Pflichten der DSGVO oben drauf mit enormen Strafen von bis zu 20 Millionen Euro (oder vier Prozent des weltweilten Umsatzes).
Datenschutz war nie wirklich gewährleistet
Aus diesem Blickwinkel ist bzw. war das EU-US-Privacy Shield-Abkommen ohnehin nicht mehr als ein Feigenblatt. Denn US-Unternehmen, die ihre Dienstleistungen in der EU anbieten, konnten sich auf Basis einer Selbstzertifizierung dem europäischen Datenschutzniveau unterwerfen. Doch auch elektronische Kommunikationsdienstleister wie Google, Microsoft & Co. können den Datenzugriff von US-Behörden nicht wirksam unterbinden. Das EU-US-Privacy Shield-Abkommen war vielleicht von Beginn an kaum das Papier wert auf dem es gedruckt wurde.
Unmittelbar nach Veröffentlichung des Schrems II-Urteils im Juli 2020 waren Stimmen zu hören, die fragten, ob der Datenschutzaktivist Max Schrems den europäischen Unternehmen einen Bärendienst geleistet hat, indem auf seine Initiative hin das EU-US-Privacy Shield-Abkommen für ungültig erklärt wurde. Immerhin ist jetzt der Datentransfer an die USA offiziell nicht mehr erlaubt. Max Schrems hat den Schlamassel allerdings nicht verursacht, sondern lediglich ans Tageslicht befördert. Und zwingt die EU-Kommission damit, sich jetzt endlich mit einer echten Lösung zu beschäftigen.
Echte Lösung nicht in Sicht
Der Europäischen Datenschutzausschuss EDPB hat am 10. November 2020 einen Entwurf mit Empfehlungen zu Maßnahmen, die die Übertragungsinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten sicherzustellen veröffentlicht. Um es kurz zu machen: auch dieses 38-seitige Dokument nährt nicht die Hoffnung, dass es in der finalen Fassung echte Lösungen – vor allen solche, die einem verantwortlichen Unternehmer zuzumuten sind – bieten wird.
Das Privacy Shield-Abkommen ist bis auf Weiteres Geschichte. Alternativ kann der Datentransfer grundsätzlich auf die so genannten Standardvertragsklauseln gestützt werden. Für diese hat die Europäische Kommission bereits einen Neuentwurf veröffentlicht. Aber auch über dieses Dokument lässt sich sagen: More of the same. Lösungen sind darin nicht zu finden. Verantwortlichen Unternehmen wird erneut die Pflicht auferlegt, in Drittländern (und das sind nicht nur die USA!), in die personenbezogene Daten übermittelt werden, für ein der DSGVO gleichwertiges Datenschutzniveau zu sorgen.
Als Unternehmer sollen Sie unter anderem gewährleisten, dass US-Behörden nicht von ihrem gesetzlichen Recht auf Datenzugriff Gebrauch machen. Was der EU selbst nicht gelingt, sollen also die für die Datenverarbeitung verantwortlichen Unternehmer bewerkstelligen. Mich persönlich macht so viel Realitätsferne einfach nur sprachlos.
Ich bin sehr gespannt, wie sich die EU aus diesem Schlamassel wieder herauswinden wird. Und zwar so, dass nicht unmittelbar das EuGH-Urteil Schrems III zu erwarten ist …
Weitere interessante Beiträge: