Der Europäische Gerichtshof EuGH hat am 16. Juli 2020 das Datenschutzabkommen zwischen der Europäischen Union und den USA mit sofortiger Wirkung für ungültig erklärt (Urteil C-311/18, kurz Schrems II). Aus Sicht des EuGHs genießen personenbezogene Daten von EU-Bürgern in den USA kein Datenschutzniveau, das dem europäischen – Stichwort DSGVO – gleichgesetzt werden kann. Unter anderen deshalb, weil US-Behörden über weitreichende Zugriffsrechte auf diese Daten verfügen.

In Kapitel 5 hält die DSGVO fest, dass ein Transfer personenbezogener Daten an ein Drittland (Nicht-EU-Mitgliedstaat) nur dann erfolgen darf, wenn das betreffende Drittland ein vergleichbares Datenschutzniveau bietet. Mit dem EU-US-Privacy Shield-Abkommen hat die EU-Kommission dieses angemessene Schutzniveau für die USA festgestellt. Die Datenübermittlung war daher erlaubt und europäische Unternehmen konnten auf Basis dieses Abkommens personenbezogene Daten übermitteln.

Kein DSGVO-konformes Schutzniveau in den USA

US-Behörden verfügen über umfangreiche sicherheitsbehördliche und geheimdienstliche Befugnisse, die unter anderem auch nicht (wie in der DSGVO gefordert) auf das zwingend erforderliche Maß beschränkt sind. Gemäß den FISA Amendment Acts von 2008 ist es der US-Regierung erlaubt, gezielte Überwachung von Ausländern, die sich außerhalb der USA befinden, mithilfe von Anbietern elektronischer Kommunikationsdienste (also z.B. Facebook, Google und Microsoft) durchzuführen. Darüber hinaus haben betroffene Personen keine vor Gericht durchsetzbaren Rechte.

Diese damit verbundenen Eingriffe in die Grundrechte betroffener Personen sowie mangelnde Schutzmaßnahmen oder Garantien gegen solche Eingriffe führten dazu, dass der EuGH das Privacy Shield-Abkommen für ungültig erklärte. Für das Übermitteln von personenbezogenen Daten an die USA bzw. US-amerikanische Unternehmen fehlt daher die gültige Rechtsgrundlage und die Übertragung ist grundsätzlich nicht mehr erlaubt.

Max Schrems legt Beschwerde ein

Max Schrems, bekannter Datenschutzaktivist und Jurist, hat über seinen Verein NOYB – Europäisches Zentrum für digitale Rechte bei der irischen Datenschutzbehörde (Irland ist der EU-Sitz von Facebook) beanstandet, dass Facebook Irland seine personenbezogenen Daten an den Mutterkonzern in den USA weiterleitet. Daraufhin wendete sich ein irisches Gericht an den Europäischen Gerichtshof, der entscheiden sollte, ob die Standardvertragsklauseln und der EU-US-Datenschutzschild („Privacy Shield“) mit dem europäischen Datenschutzniveau vereinbar sind.

Die Luxemburger Richter erklärten das EU-US-Privacy Shield-Abkommen am 16. Juli 2020 für ungültig. Mit Blick auf die Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten von Nicht-US-Bürgern bzw. EU-Bürgern seien die Anforderungen an den europäischen Datenschutz-Standard nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.

Diese damit verbundenen Eingriffe in die Grundrechte betroffener Personen sowie mangelnde Schutzmaßnahmen oder Garantien gegen solche Eingriffe führten dazu, dass der EuGH das Privacy Shield-Abkommen mit sofortiger Wirkung für ungültig erklärte. Für das Übermitteln von personenbezogenen Daten an die USA bzw. US-amerikanische Unternehmen fehlt daher die gültige Rechtsgrundlage und der Datentransfer ist grundsätzlich nicht mehr erlaubt.

Welche „Lösungen“ bietet die EU?

Auch Standardvertragsklauseln, kurz SCC (Standard Contractual Clauses), können eine gültige Rechtsgrundlage für den Datentransfer an Drittländer darstellen. Deren Gültigkeit hat der EuGH im Zuge des Schrems II-Urteils grundsätzlich bestätigt. Wirklich rechtssicher sind Sie als Verantwortlicher oder Auftragsverarbeiter mit solchen Vereinbarungen jedoch nur dann, wenn Sie das Einhalten des europäischen Datenschutzniveaus gewährleisten.

Genau das werden Sie aber auch auf Basis von Standardvertragsklauseln de facto nicht können, denn dazu müssten entweder Sie als Datenexporteur oder das US-Unternehmen als Datenimporteur den Zugriff durch US-Behörden unterbinden. Wie wollen Sie das sicherstellen? Sie müssten dazu ja in gültiges US-Recht eingreifen. Auch der Datenimporteur wird das nicht können, denn er unterliegt diesen gültigen US-Gesetzen und muss sie befolgen.

Die EU-Kommission hat mittlerweile einen Entwurf für neue Standardvertragsklauseln vorgelegt und der Europäische Datenschutzausschuss EDPB hat ebenfalls einen Entwurf für Empfehlungen herausgegeben, um das Einhalten des europäischen Datenschutzniveaus sicherzustellen. Beiden Dokumenten mangelt es aber an praktikablen Lösungsansätzen, insbesondere für EPUs, kleine sowie mittelgroße Unternehmen. Beide Entwürfe erwecken den Eindruck nach dem Motto „more of the same“. Echte Lösungen sind darin – wenn in die finalen Versionen nicht noch Änderungen Einzug halten – nicht zu finden.

Vielleicht steckt die Lösung ja direkt in der DSGVO. Denn Artikel 49 der DSGVO behandelt unter der Überschrift Ausnahmen für bestimmte Fälle alternative Rechtsgrundlagen für den Datentransfer an Drittländer, zum Beispiel die ausdrücklich Einwilliung betroffener Personen (nach vorheriger Aufklärung über die mit dem Datentransfer an Drittländer verbundenen Risiken) oder die erforderliche Übermittlung zum Erfüllen eines Vertrages auf Antrag der betroffenen Person.

Juristen sind sich nicht wirklich einig darüber, wie restriktiv der Begriff „Ausnahmen“ ausgelegt werden muss, es sich also tatsächlich um eine Ausnahme vom regelmäßigen Datentransfer handeln muss, oder auch der übliche geschäftliche Datentransfer an Drittländer auf Basis von Artikel 49 erfolgen darf. Eher tendieren Datenschutz-Experten und Juristen zur Ansicht, dass Artikel 49 für den regelmäßigen Datentransfer an Drittländer KEINEN Lösungsansatz darstellt.

Was können Unternehmen derzeit tun?

Beim Nutzen von Diensten und Anwendungen von US-Anbietern (ebenso wie Anbietern aus anderen Drittländern) ist grundsätzlich davon auszugehen, dass personenbezogene Daten von diesen Anbietern verarbeitet (gespeichert) werden. Dabei spielt es keine Rolle, ob die Daten tatsächlich an die USA übermittelt, oder auf Servern in der EU gespeichert werden. US-Behörden haben in beiden Fällen Zugriffsrechte auf die Datenvon Nicht-US-Bürgern = EU-Bürgern.

Entfernen Sie Verweise auf das EU-US-Privacy Shield-Abkommen aus Ihren Datenschutzinformationen bzw. Datenschutzerklärungen. Dieses Abkommen ist definitiv ungültig, daher kann es keine Rechtsgrundlage für den Datentransfer mehr darstellen. Alternativ? Artikel 49 bietet sich nur in echten Ausnahmenfällen an. Noch eher wäre der Verweis auf die Standardvertragsklauseln denkbar, die der EuGH ja grundsätzlichfür weiterhin gültig erklärt hat. Nur werden Sie auf Basis der SCC das geforderte Datenschutzniveau wahrscheinlich auch nicht gewährleisten können (selbst wenn Ihnen namhafte US-Dienstleister diese als Rechtsgrundlage anbieten).

Betroffene Unternehmen – und das sind in der Praxis wohl fast alle – sollten (in dokumentierter Form) erheben, welche Dienste von US-Anbietern sie aktuell nutzen. Denn unter anderem bei …

• Office-Lösungen wie Microsoft Office 365,
• Cloud-Speicherdienste wie Dropbox oder Amazon (AWS),
• Applikationen von Apple & Google,
• sozialen Medien (Plugins!) wie Facebook & Co.,
• Analyse-Tools wie Google Analytics oder
• Newsletter-Tools wie MailChimp
• Video-Plattformen wie YouTube, Vimeo

… liegt die Vermutung nahe, dass eine Datenübertragung an die USA stattfindet. Genau genommen sollten Sie erheben, welche Dienste und Anwendungen von Anbietern in jeglichem Drittland Sie nutzen. Beachten Sie auch Datenübermittlungen an Unternehmen in der EU, die ihrerseits Daten an ein Nicht-EU-Unternehmen als Sub-Dienstleister (Auftragsverarbeiter) übermitteln könnten.

Achten Sie bei dieser Prüfung auf den Umfang der Daten, die Sie übermitteln. Es dürfen nur jene Daten übermittelt werden, die angemessen und relevant sind sowie im Hinblick auf die Verarbeitungszwecke, für die sie an das Drittland übermittelt und dort verarbeitet werden, notwendig sind.

Überlegen Sie sich, zu welchen Diensten von US-Anbietern es europäische Alternativen gibt! Sie werden leider feststellen, dass es technisch gleichwertige und vom (zeitlichen sowie finanziellen) Aufwand her angemessene Alternativen oft nicht gibt. Zu Cloud-Speicherdiensten, Webanalyse- oder Newsletter-Tools gibt es hingegen europäische, wenn nicht sogar österreichische Alternativen. Wechseln Sie zu diesen Anbietern, wenn es Ihnen nur irgendwie möglich ist. Sie reduzieren damit das datenschutzrechtliche Risiko.

Wenn Sie unsicher sind oder es keine europäische Alternativen gibt, können Sie mittels Nachfrage erheben, ob personenbezogene Daten außerhalb der EU verarbeitet werden, oder verlangen, dass personenbezogene Daten nicht mehr an die USA übermittelt werden. Als letzten Schritt können Sie eine Beschwerde bei der Datenschutzbehörde einreichen, die dann ggf. eine Einzelfallprüfung durchführt und den Datentransfer an die USA untersagt. Dokumentieren Sie diese Schritte, um bei eventueller Nachfrage durch die Datenschutzbehörde nachweisen zu können, dass Sie Ihr Möglichstes getan haben. (Quelle dieser Schritte sowie frei nutzbare Textbausteine: NOYB, Nächste Schritte für Nutzer & FAQs)

Datentransfer in letzter Konsequenz einstellen

Können Sie auch durch zusätzliche Maßnahmen (z.B. Verschlüsselung, Pseudonymisierung) den gleichwertigen Schutz der an das Drittland übertragenen Daten nicht gewährleisten, müssen Sie den Datentransfer strenggenommen vermeiden bzw. einstellen. Das ist aus aktueller Sicht die einzige wirklich rechtskonforme Lösung – auch wenn das den gänzlichen Verzicht auf Software und Dienstleistungen von US-amerikanischen Anbietern wie Microsoft, Google & Co. bedeuten würde.

---

Rechtshinweise/Disclaimer: Die vorstehenden Inhalte stellen einen verkürzten und unverbindlichen Überblick hinsichtlich des vom EuGH für ungültig erklärten EU-US-Privacy Shield Abkommens dar. Es handelt sich um KEINE VOLLSTÄNDIGE UND ABSCHLIESSENDE INFORMATION sowie um KEINE RECHTSBERATUNG! Eine individuelle Betrachtung sowie ggf. die Inanspruchnahme von spezialisierten (Rechts-)Beratern kann durch die Inhalte nicht ersetzt werden. Die Inhalte beruhen auf zuverlässigen Quellen und geben den Wissens- und Erfahrungsstand des Verfassers Andreas Dolezal im Dezember 2020 wieder. Der Autor und Betreiber dieser Internetseite schließt jede Haftung für Handlungen, die auf diesen Inhalten beruhen, ausdrücklich aus.

---

Dokumente zum Thema (PDFs zum Download):

• EuGH Pressemitteilung 91_20
• EU-Kommission: standard contractual clauses for the transfer of personal data to third countries
• EU-Kommission: standard contractual clauses for the transfer of personal data to third countries_ANNEX
• EDPB: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
• WKO Checkliste Privacy-Shield

---