Der EUGH kassierte den sogenannten EU-US Privacy Shield. Doch was bedeutet das für die Unternehmen? Christian Köhler, Leiter Datenschutz, erklärt die Hintergründe und gibt Antworten.
Die Datenschutz-Grundverordnung ist streng. Sehr streng. Denn sie soll den Missbrauch von Daten soweit wie möglich einschränken. Andere Länder haben deutlich liberalere Regelungen. Da stellt sich natürlich die Frage: Wie ist das zu regeln, wenn beispielsweise Daten aus Europa nach Amerika übertragen werden sollen? Müssen sich die Amerikaner an das europäische Recht halten oder gelten die dortigen Standards?
In der Praxis werden die meisten Datentransfers durch ein zweistufiges System legitimiert. Im ersten Schritt hat die Datenschutz-Kommission für Drittländer das Datenschutzniveau überprüft. Im Fall der USA wurde im Jahr 2016 der sogenannte EU-US Privacy Shield geschaffen. Der Privacy-Shield war der Nachfolger des bereits 2015 für ungültig erklärten Safe-Harbour-Abkommen. Man sieht das Thema Datentransfer in Drittstaaten, insbesondere den USA, hat eine längere Geschichte. Der Privacy-Shield diente bis heute vielen, wenn nicht gar den meisten Unternehmen, als gesetzliche Grundlage der Datenübermittlung in die USA. Im zweiten Schritt ist eine Datenübermittlung zulässig, wenn die verantwortlichen Unternehmen geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorgesehen haben. Folgende zwei Garantien kommen in Betracht:
Verbindlich: die „Binding Corporate Rules“
Verbindliche interne Datenschutzvorschriften (BCR) wurden schon bisher in der Praxis verwendet und sind in der DS-GVO als Möglichkeit für Datenübermittlungen in Drittländer geregelt. Sie werden vor allem bei international tätigen Konzernen mit internem Datenfluss (auch) in Drittländer eingesetzt.
Standarddatenschutzklauseln
Schließen Unternehmen einen Vertrag unter Verwendung der Standarddatenschutzklauseln (sog. Standard Vertragsklauseln oder SCCs) der Kommission, ist der darauf basierende Datentransfer ohne weitere Genehmigung durch die Aufsichtsbehörde zulässig (vorbehaltlich der weiteren Anforderungen nach der DS-GVO).
Und hier hat der EUGH die erste Variante, also den Privacy-Shield, für nicht mehr zulässig erklärt. Zurückzuführen ist der Entscheid auf einen langjährigen Rechtsstreit des österreichischen Anwalts und Datenschutz-Aktivisten Max Schrems mit Facebook.
Der Hauptgrund: EU-Bürger sind vor Zugriffen auf ihre Daten durch US-Behörden nicht ausreichend geschützt. Damit bedeutet der Entscheid, das Teile des internationalen Datenverkehrs aktuell unwirksam legitimiert sind. Praktisch betrachtet stehen viele Konzerne, wie z.B. die Anbieter Google, Facebook, SAP, Microsoft, Telekom aber auch z.B. Aldi vor einem großen Problem, wenn sie Daten der EU-Bürger in den USA verarbeiten wollen.
Die Folge: Wir stehen wieder in einem rechtsleeren Raum, bei dem das Einlenken der USA die einzige Lösung zu sein scheint.
Was bedeutet die Entscheidung des EUGH für die Praxis?
Für die Praxis bedeutet die Entscheidung erneut Rechtsunsicherheiten, mit denen Unternehmen allein gelassen werden. Folgende Punkte sollten Sie nun beachten.
Bei Anbietern auf EU-Server ausweichen: Viele Anbieter bieten vor Nutzungsbeginn die Möglichkeit an, dass Daten auf EU-Servern oder innerhalb von Deutschland gespeichert werden. Aufgrund der aktuell unklaren rechtlichen Situation ist dies die sicherste Variante.
Keine US-Dienstleister einsetzen: Keine Dienstleister einsetzen, die Daten in den USA verarbeiten (d. h. vor Nutzung nach den Serverstandorten fragen). Zumindest sollten Sie eine Überprüfung veranlassen, um im Fall der Fälle zumindest nachweisen zu können, dass Sie sich um Alternativen bemüht haben.
Keine Dienstleister mit US-Subunternehmern einsetzen: Keine Dienstleister einsetzen, deren Subunternehmer die Daten in den USA verarbeiten.
Verträge und Datenschutzhinweise anpassen: Verträge und Datenschutzerklärungen anpassen und Hinweise auf das Privacy-Shield entfernen.