Mit dem Schrems-II-Urteil hat der EuGH dem EU-US-Privacy-Shield Abkommen eine klare Absage erteilt. Damit entfällt die wichtigste Legitimationsgrundlage für den Datentransfer von personenbezogenen Daten aus der EU in die USA. Viele Unternehmen sind nun zu Recht verunsichert und suchen nach Lösungen und Alternativen. In diesem Beitrag gehe ich unter anderem darauf ein, warum das Privacy-Shield-Abkommen für den Datentransfer in die USA so wichtig war, welche Auswirkungen das EuGH-Urteil auf die Praxis hat und insbesondere auch, welche alternativen Rechtsgrundlagen gemäß DSGVO existieren, um Angebote von US-Anbietern weiterhin rechtmäßig nutzen zu können.

Inhaltsverzeichnis
  1. Was ist das Privacy-Shield Abkommen und warum war es für Unternehmen so wichtig?
  2. Welche Auswirkungen hat das Schrems-II-Urteil auf die Praxis?
  3. Welche Alternativen kommen zu einem Angemessenheitsbeschluss in Betracht?
  4. Zusammenfassung, Praxishinweise und Handlungsempfehlungen
  5. Sie haben Fragen zum Schrems-II-Urteil des EuGH oder zu anderen datenschutzrechtlichen Themen?
  6. Möglicherweise interessante Beiträge für Sie?

Was ist das Privacy-Shield Abkommen und warum war es für Unternehmen so wichtig?

Nach Art. 45 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland nur vorgenommen werden, wenn die Kommission nach eingehender und umfangreicher Prüfung beschlossen hat, dass das betreffende Drittland  ein angemessenes Schutzniveau bietet. 

Liegt ein solcher sog. Angemessenheitsbeschluss vor, ist jedenfalls die Datenübermittlungen in das entsprechende Drittland legitimiert. Natürlich müssen ungeachtet dessen auch die sonstigen DSGVO-Bestimmungen berücksichtigt werden. Zu denken ist insbesondere an die Legitimation der Datenverarbeitung an sich.

Mit der Entscheidung der Europäischen Kommission vom 12. Juli 2016 über den sog. EU-US-Privacy Shield wurde mit Wirkung zum 1. August 2016 ein solcher Angemessenheitsbeschluss getroffen. Auf Grundlage dieses Beschlusses war der transatlantische Datentransfer zu US-Unternehmen nunmehr legitim (jedenfalls bis zum aktuelle Schrems-II-Urteil), sofern das jeweilige US-Unternehmen eine sog. Privacy-Shield-Zertifizierung besitzte.

Kaum war das Privacy Shield Abkommen geboren, äußerten viele Datenschützer und auch Datenschutzbehörden Kritik an diesem, da nach ihrer Auffassung das Abkommen kein ausreichendes Datenschutzniveau garantierte. Da jedoch der Angemessenheitsbeschluss der EU-Kommission bindend war, konnten sich Unternehmen zur Legitimation auf diesen stützen und taten dies auch, obwohl hierzulande oftmals davon abgeraten wurde, da wegen der massiven Kritik nicht von der Hand zu weisen war, dass die Wahrscheinlichkeit bestand, dass auch das Privacy Shield Abkommen für ungültig erklärt würde. Und genau dies ist nun geschehen…

Wesentlicher Akteur war auch diesmal wieder Maximilian Schrems. Bereits im Jahr 2013 hat er bei der irischen Datenschutzaufsicht ein Verfahren angestoßen, das in der Grundsatzentscheidung des EuGH vom 6. Oktober 2015 (auch bekannt als „Safe Harbor“ bzw. „Schrems I“-Urteil) mündete, mit der der EuGH den „Safe Harbor“-Angemessenheitsbeschluss aufhob, welcher wiederum der Vorgänger des Privacy Shield Abkommens war.

Nachdem die EU-Kommission das Privacy Shield Abkommen beschloss, zweifelte Schrems erneut die Rechtmäßigkeit von Datentransfer auf dessen Grundlage an. Er beanstandete vor der irischen Datenschutzbehörde den Transfer seiner personenbezogenen Informationen durch die nationale Facebook-Tochter an den Mutterkonzern in den USA und beantragte, alle Datenübermittlungen zwischen den beiden Unternehmen auszusetzen. Das Stammunternehmen sei verpflichtet, die erhaltenen Informationen etwa auf Basis von Paragraf 702 des Foreign Intelligence Surveillance Act (kurz FISA) US-Behörden wie der NSA und dem FBI zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen könnten.

Am 9. Mai 2018 legte der Irish High Court sodann dem EuGH mehrere Fragen zur Prüfung vor. Im Kern ging es darum, ob die Datenübermittlungen im Rahmen der Standardvertragsklauseln (auf die ich gleich noch genauer eingehe) und des Privacy Shields gegen die Artikel 7, 8, 47 und 52 der Charta der Grundrechte der Europäischen Union und die eben darin verbürgten Ansprüche auf Schutz der Privatsphäre und einen wirksamen Rechtsbehelf verstoßen.

Schließlich hat der EuGH diese Woche auch das Privacy Shield Abkommen für ungültig erklärt. Der EuGH ist dabei in vielen Punkten der Argumentation Schrems gefolgt, insbesondere was das unzureichende Schutzniveau anbelangt. Denn im Falle des Datentransferns in Drittländer muss das dort herrschende Schutzniveau zu jenem der EU gleichwertig sein. Laut EuGH sei dabei nicht nur auf mögliche vertragliche Regelungen abzustellen, sondern vielmehr auch auf die in dem Drittstaat herrschende Rechtslage. Und genau deshalb erklärte er den Privacy Shield Beschluss für ungültig. Gestützt hat er sein Urteil insb. auf § 702 FISA sowie die Executive Order 12333, welche die Rechtsgrundlage für die Überwachungsprogramme der US-Behörden bilden und laut EuGH zu weitreichend (beziehungsweise nicht auf das zwingend erforderliche Maß beschränkt) seien. Zudem habe der US-Gesetzgeber den Betroffenen keine Rechte verliehen, die sie gegenüber den amerikanischen Behörden gerichtlich durchsetzen könnten.

Kurzum: US-Behörden stehen Prüfungsrechte zu, ohne dass EU-Bürger sich dagegen gerichtlich wehren können. Das Privacy Shield Abkommen der EU-Kommission verstößt somit gegen den Kern der Grundrechte der EU-Bürger auf Privatleben, Datenschutz sowie auf einen wirksamen Rechtsbehelf.

Welche Auswirkungen hat das Schrems-II-Urteil auf die Praxis?

Wie erwähnt war das EU-US-Privacy Shield für viele Unternehmen eine nicht wegzudenkende Rechtsgrundlage, wenn es darum ging, personenbezogene Daten von der EU in die USA zu übertragen. Für die Praxis bedeutet das Schrems-II-Urteil erneut (wie bereits nach dem Schrems-I-Urteil) Rechtsunsicherheit und Ungewissheit, wie auf legitime Art und Weise mit US-Anbietern zusammengearbeitet werden kann.

Welche Alternativen kommen zu einem Angemessenheitsbeschluss in Betracht?

Die folgenden vier Alternativen zum Privacy Shield Abkommen kommen zur Rechtfertigung des Datentransfers in die USA in Betracht:

  1. Abschluss sog. Standardvertragsklauseln – Standardvertragsklauseln können wie ein Angemessenheitsbeschluss auch als Rechtgrundlage für einen Datentransfer in die USA oder ein sonstiges Drittland herangezogen werden. Diese von der EU-Kommission vorgefertigten Klauseln verpflichten den Vertragspartner zur Einhaltung des europäischen Datenschutzniveaus. Der EuGH schaute sich in seinem aktuellen Urteil auch die Standardvertragsklauseln an und die gute Nachricht ist, dass er diese grundsätzlich für wirksam und als ein geeignetes Instrument zu Herstellung eines gleichwertigen Datenschutzniveaus anerkannt hat. Jetzt aber zum Knackpunkt: auch im Falle der Standardvertragsklauseln ist der Datentransfer nur dann legitim, wenn das EU Datenschutzniveau in dem jeweiligen Drittland tatsächlich gewahrt wird. Genau an dieser Stelle liegt das Problem. Aufgrund der weitreichenden Überwachungsmöglichkeiten der US-Behörden und der mangelnden Rechtsschutzmöglichkeiten von EU-Bürgern dagegen, besteht die akute Gefahr, dass auch durch den Einsatz von Standardvertragsklauseln ein ausreichendes Datenschutzniveau nicht erreicht werden kann. Schließlich können die Standardsvertragsklauseln, welche nur inter partes, d.h. zwischen den Parteien gelten, grundsätzlich auch nichts daran ändern. Jedoch können über die Standardvertragsklauseln hinaus zusätzliche Maßnahmen bzw. vertragliche Regelungen zwischen den Parteien getroffen werden, welche das Schutzniveau etwas erhöhen. Zu denken sind insbesondere an solche Regelungen, welche den Umgang des US-Unternehmens mit Anfragen von US-Behörden regeln. Diese Möglichkeit könnte für einige Unternehmen durchaus – jedenfalls übergangsweise – eine Option darstellen. Auch wenn diese Option vor dem dargestellten Hintergrund mit einem gewissen Risiko bzw. einer gewissen Rechtsunsicherheit behaftet ist.
  2. Verbindliche interne Datenschutzvorschriften, sog. Binding Corporate Rules – Insbesondere größere Unternehmen und Konzerne können sich selbst verbindliche Regeln zum Datenschutz auferlegen, mit welchen unter anderem das EU Datenschutzniveau garantiert werden und ein Datentransfer in Drittländer gerechtfertigt werden soll. Diese können sodann in einem Kohärenzverfahren von der zuständigen Aufsichtsbehörde genehmigt werden. In mittelständischen und kleinere Unternehmen sehe ich in dieser Option aufgrund des damit einhergehenden Aufwandes keine wirklich umsetzbare Alternative. Zudem könnten unter Umständen auch hier die im Rahmen der Standardvertragsklauseln erwähnten Risiken zum Tragen kommen. Zwar ist der EuGH in seinem Urteil nicht weiter auf die Binding Corporate Rules eingegangen, doch lassen sich die Argumente, welche gegen eine Legitimation des Datentransfers in die USA aufgrund der Standardvertragsklauseln sprechen, teilweise auch gut auf die Binding Corporate Rules übertragen.
  3. Ausnahme für bestimmte Fälle – Die DSGVO sieht für bestimmte Fälle Ausnahmen vor, bei denen trotz eines fehlenden Angemessenheitsbeschluss sowie einer fehlenden sonstigen Garantie (wie z.B. durch die zuvor genannten Standardvertragsklauseln oder Binding Corporate Rules) eine Datenübermittlung in Drittländer zulässig ist. Wichtigste Ausnahme ist dabei wohl der sog. „Erforderliche Datentransfer“, das heißt wenn die Übermittlung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist. Das Merkmal der Erforderlichkeit ist jedoch sehr eng auszulegen. Zu denken ist insbesondere an solche Fälle, bei denen ein Service/eine Dienstleistung ohne einen Datentransfer in das Drittland nicht erbracht werden kann. Beispielsweise wenn ihr über ein Hotelreservierungssystem eine Übernachtung in einem Hotel in den USA bucht. In diesem Fall müssen natürlich eure Buchungsdaten von dem Hotelreservierungssystem an das Hotel weitergegeben werden. Ähnliches Szenario, wenn ihr über eBay, Amazon oder eine sonstigen Shopping-Plattform etwas bei einem US-Händler bestellt.
  4. Last but not least ist an die Einwilligung zu denken – Liegt eine wirksame Einwilligung vor, so könnt ihr ohne Bedenken personenbezogene Daten im Umfang der Einwilligung an US-Unternehmen übertragen. Problem ist nur, dass die Einwilligung mit einer Vielzahl an Fallstricken daherkommt. Grundsätzlich sollte die Einwilligung daher nicht die erste Wahl der Rechtsgrundlage sein. Um nur einige Nachteile der Einwilligung zu nennen: Einwilligungen können widerrufen werden und bürgen stets die Gefahr unwirksam zu sein, sei es wegen mangelnder Freiwilligkeit, wegen mangelnder Einwilligungsfähigkeit oder wegen fehlender Transparenz. Um das Problem weiter zu konkretisieren möge man nur an die Einwilligung bei Kindern denken. Laut Art. 8 DSGVO ist nämlich die Datenverarbeitung von personenbezogenen Daten eines Kindes unter 16 Jahren nur dann rechtmäßig, sofern und soweit diese durch die Eltern des Kindes oder mit deren Zustimmung erteilt wird. Dies kann mitunter zu praktischen Schwierigkeiten bei der Einholung der Einwilligung führen, insbesondere wenn man an Webseiten denkt. Welche Maßnahmen soll der Webseiten-Betreiber vornehmen, um sicherzustellen, dass der User auch tatsächlich Einwilligungsfähig ist?

Zusammenfassung, Praxishinweise und Handlungsempfehlungen

Zusammenfassend kann festgestellt werden, dass das EuGH-Urteil zu großer Rechtsunsicherheit führt und nunmehr insbesondere die Politik am Zug ist. Denn die sicherste und sinnvollste Lösung ist die Herbeiführung einer Änderung der aktuellen rechtlichen Situation in den USA. Ganz konkret bedeutet das, dass US-Behörden nicht so weitreichende Überwachungsmaßnahmen inne haben und auch EU-Bürgen Rechtsschutzmöglichkeiten eingeräumt werden. Bevor insoweit keine Änderungen eintreten, macht wohl auch ein erneuter Angemessenheitsbeschluss der EU Kommission – also soz. ein Dritter Versuch – keinen Sinn. Daher gehe ich davon aus, dass es zu unangenehmen Gesprächen zwischen der EU und den USA kommen wird. Bis dahin müssen sich Unternehmen mit alternativen Strategien und Möglichkeiten befassen. Folgende Optionen sehe ich aktuell für Unternehmen, die nicht auf Services/Dienstleistungen von US-Anbieter verzichten möchten oder können:

  • Fragt bei eurem jeweiligen US-Anbietern nach, ob ein Datentransfern in die USA vermieden werden und stattdessen auf EU-Server ausgewichen werden kann – Viele Anbieter wie z.B. Microsoft bieten eine solche Option an. Oftmals allerdings verbunden mit einem kleinen Aufpreis. Auch bzgl. dieser Option möchte ich darauf hinweisen, dass diese nicht immer frei von rechtlichen Bedenken ist. Entscheidend ist auch hier der jeweilige Einzelfall und die konkrete technische und vertragliche Gestaltung.
  • Standardvertragsklauseln verhandeln – Wie dargestellt besteht ganz grundsätzlich weiterhin die Möglichkeit im Verhältnis zum US-Anbieter die von der EU-Kommission entwickelten Standardvertragsklauseln zu Grunde zu legen. Falls dies eine Option für euch ist, empfehle ich zusätzlich, diese um noch weitergehende vertragliche Maßnahmen bzw. Regelungen zu erweitern, insbesondere was den Umgang des US-Anbieters mit Anfragen von US-Behörden angeht. Wie bereits dargestellt sehe ich in dieser Option ein gewisses Risiko und es bleibt auch abzuwarten wie sich insoweit die Datenschutzbehörden positionieren. Mit weitergehenden vertraglichen Regelungen wird das Risiko jedoch etwas mitigiert.
  • Binding Corporate Rules sind wie dargestellt eine weitere Option, die aber eher für große Unternehmen und Konzerne in Betracht kommen und meines Erachtens nach auch Risiken in sich birgen.
  • Zudem sollte geprüft werden, ob mögliche Ausnahmetatbestände einschlägig sind, z.B. die Erforderlichkeit des Datentransfers etwa im Rahmen der Buchung eines Hotelzimmers über ein Hotelreservierungssystem.
  • Last but not least kommt noch die Einwilligung in Betracht. Diese sollte wegen der Vielzahl an Fallstricken grundsätzlich die letzte Wahl sein. Falls ihr dennoch die Einwilligung als Rechtfertigungsgrund heranziehen möchtet, solltet ihr an eine elegante und für den User nicht störende Integration auf eurer Webseite/in eurem Service denken, ohne dass dadurch natürlich die Wirksamkeit der Einwilligung entfällt.

Soweit und soviel zum Schremm-II-Urteil des EuGH. Ich hoffe euch einen guten Überblick über das Urteil, dessen Hintergründe und vorallem auch dessen Auswirkungen auf die Praxis gegeben zu haben. Nutzt doch gleich die Gelegeneheit und prüft, ob die dargestellten Alternativen zum Privacy Shield für euch in Betracht kommen. In jedem Fall solltet ihr aber prüfen, inwieweit euch das Urteil betrifft und insoweit auch tätig werden.

Update: Die EU Kommission hat am 12.11.20 einen Entwurf über neue Standardvertragsklauseln veröffentlicht. Ein Kurüberblick über die wesentlichen Neuerungen kann hier nachgelesen werden.

Sie haben Fragen zum Schrems-II-Urteil des EuGH oder zu anderen datenschutzrechtlichen Themen?

Als Rechtsanwalt und Informatiker mit Fokus auf das IT-Recht und Datenschutzrecht berate ich Sie gerne umfassend zu diesem Thema. Rufen Sie mich unter 0711 – 25 25 23 40 (bundesweite Beratung) an oder nutzen Sie gerne das Kontaktformular.

Rufen Sie gerne an
Zum Kontaktformular

Möglicherweise interessante Beiträge für Sie?