Das Ende des EU-US Privacy Shield

Der aufgehobene EU-US Privacy Shield stellt zahlreiche europäische Unternehmen vor ein Dilemma.

Mitte Juli 2020 hob der EuGH den EU-US Privacy Shield auf und erklärte auch Datentransfers in die USA unter Standardvertragsklauseln für problematisch. Über Nacht wurden die meisten Unternehmen der EU dadurch datenschutzrechtlich non-compliant. Da Datenschutzaktivisten bereits begonnen haben, Unternehmen für die Verwendung von Google Analytics oder Facebook Connect anzuzeigen, ist die Verunsicherung groß.

Der EuGH hat bereits im Jahr 2015 in der Rechtssache Schrems/Data Protection Commissioner den Datentransfer in die USA auf Basis der Safe-Harbour-Entscheidung der Kommission ausgehebelt. Im Juli 2020 hat das Höchstgericht auch die Nachfolgeregelung — den sogenannten EU-US Privacy Shield — für ungültig erklärt (16.07.2020, C-311/18). Die Entscheidung kam wenig überraschend, hat sich doch am Problem des intransparenten und nicht gerichtlich überprüfbaren Zugriffs verschiedener US-Behörden wenig geändert. Viele wichtige US-Unternehmen stützten sich bisher in ihren Geschäften mit europäischen Unternehmen auf den EU-US Privacy Shield. In diesen Fällen — und leider nicht nur in diesen — liegt nun ein datenschutzrechtlicher Verstoß vor.

Was war der EU-US Privacy Shield?

Datenübermittlungen aus der EU in ein Drittland sind nur dann zulässig, wenn das Schutzniveau der DSGVO nicht untergraben wird. Es gibt verschiedene Wege, um das sicherzustellen. In der Praxis werden oft Standardvertragsklauseln benutzt, welche die DSGVO „simulieren“. Mit diesem Vertrag zwischen Verantwortlichem und dem Empfänger im Drittland unterwirft sich der Empfänger zivilrechtlich einklagbar Regeln, die denen der DSGVO sehr nahekommen. Weitere Lösungen wären etwa Einwilligungen aller betroffenen Personen oder Binding Corporate Rules, die heute sehr viel einfacher zu schaffen sind als noch vor wenigen Jahren. Diese beiden Lösungen haben aber einen kleineren Anwendungsbereich. Einwilligungen sind regelmäßig bei Mitarbeiterdaten keine Option, und Binding Corporate Rules sind nur innerhalb eines Unternehmensgeflechts anwendbar.

Für einige wenige Länder wie z. B. die Schweiz, Israel, Japan, Kanada, Neuseeland oder Argentinien gibt es angesichts des dortigen starken Datenschutzes einen Angemessenheitsbeschluss der Europäischen Kommission. Hier kann man sich als EU-Unternehmen auf den lokalen Datenschutz verlassen und muss keine weiteren Maßnahmen ergreifen. Ein solcher Angemessenheitsbeschluss bestand auch für jene US-Unternehmen, die Mitglieder des EU-US-Privacy-Shield- Abkommens sind (Durchführungsbeschluss der Kommission [EU] 2016/1250).

Was bedeutet das für Unternehmer?

Datentransfers in die USA auf Basis des EU-US-Privacy-Shield-Abkommens sind nun nicht mehr möglich. Der EuGH äußerte sich aber auch sehr kritisch zu Standardvertragsklauseln bei US-Unternehmen. Der Inhalt dieser Standardklauseln stellt kein ausreichendes Mittel dar, um in der Praxis den wirksamen Schutz personenbezogener Daten zu gewährleisten, wenn das Recht des Drittlandes seinen Behörden gestattet, in die Rechte der betroffenen Personen einzugreifen. In den USA sind diese Möglichkeiten in den Jahren der Trump-Administration noch gestiegen, insbesondere durch den CLOUD Act aus dem Jahr 2018. Dieses Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

Der US-Empfänger der Daten müsste daher das Daten übermittelnde EU-Unternehmen darauf hinweisen, dass er die Bedingungen der Standardvertragsklauseln nicht einhalten kann, und das EU-Unternehmen müsste den Transfer stoppen. Wenn datenschutzrechtliche Einwilligungen nicht möglich sind, was häufig der Fall ist, dann stellt diese Entscheidung die Verantwortlichen vor erhebliche datenschutzrechtliche Probleme. Diese Herausforderungen müssen entweder in den USA oder in der EU auf legislativer Ebene gelöst werden.

Wie reagieren die Unternehmen, wie die Behörden?

Einige Unternehmen haben sich in letzter Zeit entschieden, Datentransfers insbesondere an Google und Facebook/Instagram im Rahmen von Cookies auf der Homepage zu unterbinden. Das schränkt moderne Marketing- und Vertriebsaktivitäten stark ein, aber dieser Schritt ist leicht umsetzbar und auch leicht wieder aufzuheben, sobald sich eine Lösung abzeichnet. Praktisch viel schwieriger ist es, wenn umfangreichere IT-Dienstleistungen in die USA ausgelagert sind und eine Änderung mit erheblicher Vorlaufzeit und Kosten verbunden ist. Die Datenschutzbehörde war 2015 und 2016 nach der Safe-Harbour-Entscheidung bei laufenden Datentransfers zurückhaltend. Es besteht eine gewisse Chance, dass das wieder so ist, weil viele Unternehmen nun unverschuldet in einem Dilemma sind. Zwar schreibt die Datenschutzbehörde auf ihrer Website, dass sie keine Schonfrist gewähren könne, aber sie kann ihre knappen Ressourcen in einem gewissen Ausmaß so einsetzen, wie sie es für optimal hält. Sowohl die österreichische Datenschutzbehörde als auch das European Data Protection Board sind etwas ambivalent in ihrer Kommunikation. Beide Stellen betonen aber die Bedeutung von Standardvertragsklauseln, auch wenn das keine vollständige Lösung des Dilemmas bedeutet.