Schrems II, Privacy Shield, EuGH - Unsicherheit bei der Datenübermittlung in die USA

Mitte Juli 2020 haben wir bereits auf dem Blog der Website-Check GmbH, dem Legal Tech Unternehmen der DURY GRUPPE, über das Ende des EU-US Privacy Shield-Abkommens zwischen der EU und den USA berichtet. Bei dem EU-US Privacy Shield Abkommen handelte es sich seit dem Jahr 2016 um die formelle Rechtsgrundlage für die Übertragung (Verarbeitung) von personenbezogenen Daten in die USA. Zuvor hatten die EU und die USA breits das sog. Safe-Harbor Abkommen abgeschlossen, das aber im Oktober 2015 - ebenfalls vom EuGH - gekippt wurde. Bereits 2016 unkten viele Experten - u.a. auch von DURY LEGAL - dass das Nachfolgeabkommen "EU-US Privacy-Shield" genauso auf Sand gebaut sei, wie Safe-Harbor.

Der Europäische Gerichtshof (EuGH) urteilte dementsprechend am 16.07.2020 in der Rechtssache „Schrems II“ (C 311/18) - wie von den meisten Fachkreisen seit langer Zeit erwartet - dass das EU-US Privacy-Shield Abkommen nicht das Papier wert ist, auf dem es gedruckt war.

Seit dem 16. Juli 2020 haben also alle Unternehmen, die auf Cloud- und SaaS-Dienste von Unternehmen aus den USA oder deren Tochtergesellschaften gesetzt haben, ein ernsthaftes Problem; jedenfalls wenn von den Verarbeitungsvorgängen personenbezogene Daten betroffen sind. Dies betrifft insb. auch den Einsatz von Amazon-Webservices (AWS), Google-Cloud-Platform (GCP) und Microsoft-Azure, aber auch die Nutzung von Content-Delivery-Networks, wie z.B. Cloudfront, oder die Einbindung von Facebook-Services. De facto hat also auch jeder Betreiber einer Internetseite, der Google-ReCaptcha oder Google-Fonts nutzt ein ernsthaftes Problem.

Wie das Internet vor diesem Hintergrund weiter funktionieren kann, beschäftigt seitdem nicht nur die Datenschutz-Aufsichtsbehörden, sondern auch die gesamte Datenschutz-Beraterwelt, so auch die Anwälte von DURY LEGAL, die Datenschutz-Berater von DURY CONSULT und das Business-Development der Website-Check GmbH.

Immer neue Stellungnahmen der Datenschutz-Aufsichtsbehörden und einschlägige Expertenmeinungen wurden seit dem 16.07.2020 veröffentlicht. Eine einheitliche Linie kristalisiert sich immer weiter heraus.

Dies haben wir nun zum Anlass genommen, unseren Mandanten sowie den Kunden der Website-Check GmbH eine fundierte rechtliche Einschätzung zum aktuellen Stand in Bezug auf "Schrems II" zur Verfügung zu stellen und weitergehende verfügbare Informationen zu "Schrems II" zu verlinken, um einen zentralen Anlaufpunkt für eine aktuelle Übersicht über die Entwicklungen rund um das Thema "Datentransfer in die USA" bereit zu stellen.

Empfehlung | Executive Summary | Zusammenfassung:

Allgemein lässt sich zusammenfassen, dass die Nutzung von IT-Services mit Wurzeln in den USA - für die Verarbeitung personenbezogener Daten - ab sofort nur noch in sehr engen Anwendungsfällen überhaupt noch nach der DSGVO rechtlich zulässig ist.

Darüber, ob bzw. wie schnell die in Deutschland zuständigen Aufsichtsbehörden entsprechende Verstöße gegen die DSGVO verfolgen wollen bzw. können, herrscht bislang keine Klarheit.

Es ist aber klar. dass die Verarbeitung personenbezogener Daten unter Nutzung von IT-Services von US-Unternehmen nun in fast allen Fällen ohne ausreichende Rechtsgrundlage i.S.d. DSGVO erfolgt. Spätestens jetzt sollte man nach Europäischen Alternativen Ausschau halten und dies auch dokumentieren. Wenn dann eine zuständige Aufsichtsbehörde anfragt und nachforscht, steht man nicht komplett ohne Verteidigungslinie da und kann belegen, dass man aktiv geworden ist und sich bemüht, sich datenschutzkonform aufzustellen.

Grundsätzlich gilt aber "KEINE PANIK". Setzen Sie auf einen geordneten Umbau Ihrer IT-Services! Dann besteht eine sehr gute Chance, dass Sie im Fall einer aufsichtsbehördlichen Intervention glimpflich davon kommen.

Bei Unternehmen, die besonders sensible Daten i.S.d. Art. 9 DSGVO in den USA verarbeiten lassen, sollten jedoch alle Alarmglocken klingeln.

Hier ist eine gewisse Dringlichkeit in der Umstellung der IT-Services geboten.

Auf die lange Bank sollte kein Unternehmen die Umstellung seiner IT schieben, es sei denn, es werden über die Systeme mit Datenverarbeitungsschritten in den USA oder in US kontrollierten Unternehmen, keine personenbezogene Daten verarbeitet oder man kann zusätzliche Schutzmaßnahmen einführen, die das Europäische Datenschutzniveau wieder herstellen.

Soweit sich ein Datenverarbeitung auf Binding Corporate Rules (BCR) stützt, halten wir dies momentan noch für zulässig, solange die zuständige Aufsichtsbehörde die konkreten BCR nicht für ungültig erklärt und seine bereits erteilte Genehmigung nicht zurückgezogen hat.. Gleichwohl ist auch bei BCR damit zu rechnen, dass diese nun nach und nach gekippt werden. Das EDPB hat am 26.07.2020 bereits angekündigt, dass BCR äquivalent zu SCC | SDPC behandelt werden sollen.

So oder so, sollten Sie eine Exit-Strategie fahren.

Was hat sich durch den Wegfall des EU-US Privacy-Shields für die Übermittlung personenbezogener Daten in die USA geändert?

Grundsätzlich ist festzuhalten, dass alle regelmäßigen Übermittlungen personenbezogener Daten in einen Staat außerhalb von Europa einer Rechtsgrundlage abseits der Einwilligung gem. Art. 6 Abs. 1 lit.a DSGVO bedürfen. Grundpfeiler der DSGVO ist nämlich der Schutz des Betroffenen. Daten dürfen nur dann in einen Drittstaat außerhalb der EU übermittelt werden, wenn sichergestellt ist, dass die Datenverarbeitung in dem jeweiligen Drittland nicht das von der DSGVO vorgeschriebene Schutzniveau untergräbt (vgl. Art. 44 S. 2 DSGVO).

Damit nicht jeder Datenexporteur bei jeder Übermittlung den Schutz überprüfen muss, kann die EU-Kommission so genannte Angemessenheitsbeschlüsse erlassen. Ein solcher (Teil-) Angemessenheitsbeschluss stellte das EU-US Privacy Shield dar.

Die eigentlich dem Datenexporteur übertragene Aufgabe, das Datenschutzniveau im Empfängerland einzuschätzen, wurde somit von der EU-Kommission übernommen und überwacht. Der Verantwortliche konnte daher bei Vorliegen eines Privacy Shield Eintrags von einem angemessenen Datenschuzniveau ausgehen (vgl. Art. 45 Abs. 3 DSGVO).

Mit Wegfall des „EU-US-Privacy Shields“ ist der (Teil-)Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA entfallen. Für Exporte personenbezogener Daten in die USA muss daher ab dem 16.07.2020 eine neue Rechtsgrundlage gefunden werden.

Ein Ausweichen auf die Rechtsgrundlage der "Einwilligung" i.S.d. Art. 6 Abs.1 lit.a DSGVO dürfte in der Praxis nicht möglich sein.

Die Betroffenen mit Einwilligungsorgien abzuschrecken ist nämlich nicht nur kaum mit dem Transparenzgebot des Art. 12 DSGVO zu vereinbaren, sondern ist angesichts der Regelung des Art. 49 DSGVO auch nur in Ausnahmefällen zulässig, nämlich, wenn die Datentransfers in das "unsichere Drittland" (USA) nur "gelegentlich", d.h. also "nicht regelmäßig" erfolgt.

In den allermeisten Fällen scheidet das Mittel der Einwilligung daher komplett aus, insb. bei der Einbindung von Webservices oder SaaS-Lösungen in bestehende Geschäftsprozesse oder wenn die Datenerhebung nicht bei dem Betroffenen erfolgt, z.B. bei der Nutzung der Google-Mail-Services (Gmail)  bzw. wenn Dokumente in der "GSuite" von Google bearbeitet werden. Es verwundert daher, wenn einzelne IT-Recht-Kanzleien, die Einwilligung nun als neues Allheilmittel propagieren.

Wenn man aber nicht auf die untaugliche Einwilligung springt, liegt die Schwierigkeit für die Unternehmen darin, dass es meist schlichtweg nicht möglich ist, IT-Services mit Wurzeln in den USA kurzfristig ohne Weiteres mit einem rechtskonformen Äquivalent (z.B. aus Europa) zu ersetzen. Budgets für eine Umstrukturierung der IT-Services haben die meisten Unternehmen nicht eingeplant (obwohl die Entscheidung des EuGH spätestens nach Inkrafttreten des US-Cloud-Acts ab März 2018 absolut vorhersehbar war), APIs existieren nicht oder bestehende US-IT-Services sind so tief mit anderen, ggf. auch internen IT-Services und Prozessen vernetzt, dass es nicht gerade kleiner IT-Projekte bedarf, um die Datenflüsse in die USA aus den eigenen Geschäftsprozessen zu eliminieren.

Selbst die Nutzung von Microsoft Office365 gerät somit - je nach Art der verarbeiteten Daten - zum Ritt auf der datenschutzrechtlichen Rasierklinge.

Wie positionieren sich die Aufsichtsbehörden?

Die Stellungnahmen der einzelnen nationalen Datenschutz-Aufsichtsbehörden Europas (inkl. der deutschen Landesdatenschutzzentren) fallen teilweise uneinheitlich aus.

Die Deutsche Datenschutzkonferenz (DSK), ein informeller Zusammenschluss der Landesdatenschutzbeauftragten und des Bundesdatenschutzbeauftragten hat zwar am 28.07.2020 eine scheinbar abgestimmte Pressemitteilung herausgegeben, diese erschöpft sich aber darin, den jeweiligen Verantwortlichen (z.B. den Betreibern einer Internetseite) aufzuerlegen, "zusätzliche Maßnahmen" (neben dem Abschluss von Standardvertragsklauseln) zu ergreifen, die eine Einhaltung des Europäischen Datenschutzniveaus gewähleisten.

Dies läuft auf den Einsatz einer vorgeschalteten Anonymisierungsstufe hinaus, z.B. durch Nutzung einer wirksamen Verschlüsselung, die auch nicht von dem jeweiligen US-Anbieter ausgehebelt werden kann.

Dies ist aber bei der Nutzung standartisierter Webservices, wie z.B: Salesforce, Google-Recaptcha, etc. technisch überhaupt nicht umsetzbar. Zum Verdruss vieler Mandanten ist dies aber rechtlich vollkommen irrelevant.

Die Stellungnahme des European Data Protection Board (EDPB) vom 04.09.2020 ist sehr vage und hilft in der Praxis auch nicht weiter.

Letztlich handelt es sich nur um einen kurze Meldung, dass das EDPB nun auch nicht genau weiß, wie es weitergehen soll und man eine "Taskforce" gegründet habe, um weitere Handlungsanweisungen zu erarbeiten und sich europaweit abzustimmen.
Auch die bereits am 24.07.2020 vom EDPB veröffentlichten FAQ zu den Auswirkungen des EuGH-Urteils in der Rechtssache "Schrems II" (311-18) helfen in der Praxis nur bedingt weiter.

Kann ich meine Verarbeitung nicht auf eine andere Rechtsgrundlage stützen, z.B. die Standard-Datenschutzklauseln (SCC / SDPC) BCR oder eine Einwilligung?

Standard-Datenschutzklauseln (SCC / SDPC)

Liegt kein Angemessenheitsbeschluss gemäß Art. 45 Abs. 3 DSGVO vor, können Datenübermittlungen in Drittländer auch auf Basis anderer geeigneter Garantien im Sinne des Art. 46 DSGVO erfolgen. Hierzu zählen auch die aktuell oft erwähnten Standardatenschutzklauseln (Standard Contractual Clauses – SCC – bzw. Standard Data Protection Clauses – SDPC) sowie konzerninterne Regelungen, sog. Binding Corporate Rules (BCR)..

Der EuGH führt in seinem Urteil zwar aus, dass SCC | SDPC zwar theoretisch weiterhin Grundlage für geeignete Garantien sein können, dass dies aber nur gilt, wenn diese im Einzelfall dazu geeignet sind, ein angemessenes Datenschutzniveau gem. Art. 44, 45 DSGVO zu gewährleisten. Dies ist bei einem Datenexport in die USA allerdings nur schwer denkbar, denn aufgrund der weitgehenden Zugriffsbefugnisse staatlicher Stellen in den USA (vgl. z.B. US-Cloud Act) ist es abwegig, davon auszugehen, dass sich US-Auftragsverarbeiter (z.B. Google, Microsoft, Facebook, etc.) unter Berufung auf irgendwelchen datenschutzrechtlichen, vertraglichen Vereinbarungen mit einem Deutschen Unternehmen (z.B. SCC | SDPC) gegen einen Datenzugriff staatlicher US-Stellen wehren könnten. 

Wie schätzen die Aufsichtsbehörden die Wirksamkeit von SCC | SDPC ein?

Doch was bedeutet das EuGH-Urteil nun für die Anwendung von Standarddatenschutzklauseln und wie schätzen die Aufsichtsbehörden die Möglichkeit ein, einen Export von personenbezogenen Daten in die USA über SCC | SDPC zu legitimieren?

Unzweifelhaft ist, dass der EuGH geurteilt hat, dass SCC | SDPC als Rechtfertigungsinstrument für Datenexporte in unsichere Drittländer weiterhin grundsätzlich in Betracht kommen.

Ob und wie sie jedoch im Einzelfall Anwendung finden können, extrem Zweifelhaft. Die Stellungnahmen der Aufsichtsbehörden in Europa und innerhalb von Deutschland weichen zum größten Teil stark voneinander ab und bilden keine einheitliche Linie. Da die DSGVO europaweit einheitlich gelten soll und auch einen gleichen Schutzstandard gewähren soll, ist diese Entwicklung bedauerlich. Der einzelne Unternehmer wird damit wieder in die Situation vor der DSGVO versetzt, in der er je nach Land vollkommen verschiedene Rechten und Pflichten bezüglich des Datenschutzes beachten muss.

Das European Data Protection Board (EDPB) führt in seinen FAQ vom 24.07.2020 wie folgt aus:

Der Gerichtshof stellte fest, dass das US-Recht (d. h. Paragraph 702 FISA und Paragraph EO 12333) kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet.

Ob Sie personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermitteln dürfen oder nicht, hängt vom Ergebnis Ihrer eigenen Prüfung ab, wobei die Umstände der Übermittlungen und etwaige zusätzliche Maßnahmen zu berücksichtigen sind. Die  zusätzlichen Maßnahmen zusammen mit den Standardvertragsklauseln müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das von ihnen gewährleistete angemessene Schutzniveau nicht beeinträchtigt.
Falls Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, sind Sie verpflichtet, die  Übermittlung personenbezogener Daten auszusetzen oder zu beenden. Beabsichtigen Sie dagegen, die Daten trotz dieser Schlussfolgerung weiterhin zu übermitteln, müssen Sie dies Ihrer zuständigen Aufsichtsbehörde mitteilen.

In Europa nehmen die einzelnen nationalen Datenschutzbehörden bislang folgende Standpunkte verbreitet:

Europa:
Dänemark, Frankreich, Italien, Liechtenstein, Litauen, Rumänien, Slowenien, Spanien und die Schweiz weisen allein darauf hin, dass SCC | SDPC weiter als rechtmäßig betrachtet werden; konkrete Handlungsempfehlungen für eine Anpassung oder die weitere Vorgehensweise werden (zum derzeitigen Zeitpunkt) nicht gegeben.

Der EDPB, Bulgarien und die Tschechische Republik weisen darauf hin, dass SCC zwar weiter in Betracht kommen, die Verwendung aber zu einem angemessenen Datenschutzniveau im Drittland führen muss. Dies erfordert eine entsprechende Überprüfung durch den Verantwortlichen, um die Anforderungen im Einzelfall zu ermitteln. Teilweise wird darauf verwiesen, dass gegebenenfalls zusätzliche Maßnahmen zu ergreifen sind.

Estland, Irland, Niederlande, Norwegen, Polen und das UK weisen auf die Notwendigkeit einer sorgfältigen Prüfung hin, ob die SCC | SDPC ein angemessenes Datenschutzniveau im Importland garantieren. Ist dies nicht der Fall, müssen Datenübertragungen unverzüglich ausgesetzt werden. Vor allem der Export in die USA sei streng zu beurteilen!

Deutschland:
Die Datenschutzaufsichtsbehörden der Länder vertreten teilweise unterschiedliche Auffassungen an die erforderlichen Maßnahmen seitens des Verantwortlichen.

Der Bundesbeauftragte für Datenschutz und Informationssicherheit verweist darauf, dass

„für den Datenaustausch mit den USA […] besondere Schutzmaßnahmen ergriffen werden [müssen]“. Zudem muss nach Ansicht des BfDI eine „Überarbeitung der Standardvertragsklauseln durch die Europäische Kommission“ erfolgen und die „Notwendigkeit der USA, die Gewährleistung der Grundrechte der europäischen Bevölkerung“

noch einmal besonders betont werden.

Grundsätzlich erkennt der BfDI aber an, dass eine „komplexe Aufgabe“ im Hinblick auf die rechtskonforme Umsetzung des Urteils bevorsteht.

Ein zweites wichtiges deutsches Gremium, nämlich die DSK führt aus, dass „die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield“ unzulässig ist und unverzüglich eingestellt werden muss. Im Hinblick auf die Verwendung von Datenschutzklauseln führt die DSK aus, dass „Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus[reichen]“. Wie diese zusätzlichen Maßnahmen aussehen müssen, ist Einzelfallabhängig.

Während einige Bundesländer sich der Meinung des EDPB im Bezug auf eine Einzelfallentscheidung angeschlossen haben (so z.B. Baden-Württemberg, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, NRW), gibt es auch Bundesländer, die dies kritischer sehen (so z.B. Berlin, die einen vollständigen Übermittlungsstopp sehen oder Thüringen, die nicht davon ausgehen, dass eine Übermittlung in die USA auf SCC gestützt werden kann)

Einen guten Überblick über die Einordnung der Stellungnahmen der Deutschen Datenschutz-Aufsichtsbehörden halten die Kollegen von CMS Hasche Sigle bereit

Um Wiederholungen zu vermeiden,verweisen wir auf die dortigen detaillierten Aufstellungen.

Kann man den Datentransfer dann wenigstens noch mit sog. Binding-Corporate-Rules (BCR) gem. Art. 46 Abs. 2 lit. b DSGVO legalisieren, wenn sie denn im Einzelfall bereits von der zuständigen Aufsichtsbehörde im Kohärenzverfahren gem. Art. 47 DSGVO i.V.m. Art. 63 DSGVO genehmigt wurden?

Aus den am 24.07.2020 vom EDPD veröffentlichten FAQ zu dem Schrems II Urteil des EuGH geht in Ziffer 6 hervor, dass das EDPB sog. Binding-Corporate-Rules (BCR) scheinbar nicht als egenständige Garantien ansieht, sondern davon ausgeht, dass sie - aufgrund des EuGH-Urteils i.S. Schrems II -  genauso wie die SCC | SDPC zu behandeln sind, also zusätzlicher Schutzmaßnahmen bedürfen.

Insoweit behandelt sie der EDPB in seinen FAQ vom 24.07.2020 exakt gleich, wie Standard-Datenschutzklauseln (also sog. SCC bzw. SDPC).

Wir halten diese Stelle (Ziffer 6) in den FAQ des EDPB zu BCR allerdings für nicht überzeugend begründet, denn BCR unterliegen im Gegensatz zu SCC | SDPC einer individuellen Genehmigung der im Einzelfall zuständigen Aufsichtsbehörden (im Kohärenzverfahren mit dem EDPB gem. Art. 63 DSGVO; vgl. hierzu die diversen Working Papers des EDPB). BCR werden also nur dann von der Aufsichtsbehörde genehmigt, wenn sie »sofern diese sämtliche Grundprinzipien und durchsetzbaren Rechte enthalten, die geeignete Garantien für die Übermittlungen beziehungsweise Kategorien von Übermittlungen personenbezogener Daten bieten.« (ErwG 110 der DSGVO).

Das BCR-Genehmigungsverfahren dient dementsprechend gerade dazu, dass Unternehmen Rechts- und Handlungssicherheit (!) erhalten.

So lange also eine konkrete Genehmigung für BCR besteht, die noch nicht aufgehoben wurde, halten wir es für zu pauschal, davon auszugehen, alle BCR bei denen der Verwender in den USA seinen Sitz hat, benötigten nun automatisch weitergehender Schutzmaßnahmen.

Das Schrems-II Urteil des EuGH sagt auch nichts ausdrücklich zu BCR. Ein obiter dictum zu BCR enthält das EuGH-Urteil Schrems II nicht.

Auffällig ist auch, dass das EDPB noch am 22.07.2020, also 6 Tage nach dem EuGH Urteil Schrems II und 2 Tage vor Veröffentlichung der FAQ zu Schrems II mit einer eindeutigen Stellungnahme,  davon ausgegangen ist, dass erst noch rechtlich geprüft werden muss, welche Auswirkungen das EuGH Urteil auf das Schicksal des Rechtsintruments BCR hat (vgl. Disclaimer am Anfang des Dokuments "Information note on BCRs for Groups of undertakings/enterprises which have ICO as BCR Lead SA", abrufbar unter: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_informationnoteforgroupswithicoasbcrleadsa_20200722.pdf - „analysis currently undertaken" … "on the consequences of the CJEU judgment DPC v Facebook Ireland and Schrems for BCRs as transfer tools“.

Unsere Berater in der DURY GRUPPE sind daher der Ansicht, dass die zuständigen Aufsichtsbehörden nun erst einmal alle genehmigten BCR im Lichte der EuGH-Rechtsprechung prüfen müssen und jedes konkret genehmigte BCR-Werk erst einmal widerrufen müssen, wenn Sie der Meinung sind, dass aufgrund des Schrems-II Urteils des EuGH ein bereits genehmigtes BCR-Werk nicht mehr genehmigungsfähig ist und daher keine taugliche Rechtsgrundlage für einen Datentransfer in die USA mehr sein kann.

Solange das nicht passiert, halten wir es für vertretbar, sich zunächst einmal weiterhin auf aufsichtsbehördlich genehmigte BCR als anwendbare Rechtsgrundlage zu berufen, weisen aber zugleich darauf hin, dass absehbar ist, dass auch bereits genehmigte BCR nun nach und nach von den zuständigen Aufsichtsbehörden gekippt werden könnten.

Vor diesem Hintergrund sollten sich verantwortliche Datenverarbeiter, die regelmäßig personenbezogene Daten in die USA übermitteln, schnellstmöglich - auch wenn man sich momentan ggf. noch auf bestehende BCR berufen kann - nach rechtskonformen Alternativen umsehen und ihre Erwägungen dokumentieren.

Falls dann doch einmal die Aufsichtsbehörde anklopfen sollte, sollten Sie sich von erfahrenen Experten beraten lassen und gut überlegen, wie Sie der Aufsichtsbehörde antworten.

Einwilligungserklärungen als Rechtsgrundlage für den Datentransfer in die USA:

In bestimmen Fällen, in denen weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen, können Datenübermittlungen in Drittländern ausnahmsweise doch rechtmäßig sein (Art. 49 DSGVO).

Insbesondere besteht hier als Rechtfertigungsgrund die Möglichkeit der Einwilligung seitens des Betroffenen. Als Ausfluss der datenschutzrechtlichen Dispositionsmaxime kann auch ein freiwilliger, informierter, unmissverständlicher und konkreter Willensakt (Einwilligung) Rechtsgrundlage für eine Datenübermittlung in Drittländer sein.

Dies führt aber in der Praxis zu weiteren Umsetzungsschwierigkeiten und Problemen. Insbesondere darf die "Einwilligungskrücke" nicht für "regelmäßige" Datentransfers genutzt werden, d.h.  „die Übermittlung darf nicht wiederholt erfolgen“. Dies ist aber gerade beim Einsatz von Webservices und SaaS-Lösungen der Fall. Zudem darf "nur eine begrenzte Zahl von betroffenen Personen“ von der Verarbeitung erfasst werden.

Im Regelfall wird es dem Verantwortlichen also nicht gelingen, eine Interessensabwägung so durchzuführen und auch so zu dokumentieren, dass man stets auf die "Einwilligung" ausweichen kann. Als weiterer Punkt zur Einwilligung bestehen eine Anzeigepflicht bei der Aufsichtsbehörde und eine zusätzliche Informationspflicht ergänzend zu Art. 13 und 14 DSGVO.

Dies alles macht die "Einwilligung" zu einer Pseudo-Lösung", auch wenn zahlreiche Datenschutzberater und Anwälte diese nun als Allheilmittel und Wundermedizin predigen.

Zwischen-Fazit zur Berufung auf alternative Rechtsgrundlagen nach Wegfall des EU-US-PrivacyShields:

Der Datenexport in die USA macht es auch bei bestehenden SCC | SDPC und ggf. auch bei bestehenden BCR notwendig, flankierende "geeignete Maßnahmen" zur Herstellung eines vergleichbaren Datenschutzniveaus einzuführen..

Als "geeignete Maßnahme" zur Absicherung der SCC | SDPC kommen allenfalls der Einsatz von starken Verschlüsselungstechniken in Betracht.

Dies mag bei der Nutzung reiner Datenbanken und Data-Stores (z.B. MS-One-Drive oder Google-Drive) noch möglich sein, spätestens bei der Einbindung standardisierter Webservices (z.B. Cloudfront, Facebook-Connect, Google-Fonts) und SaaS-Lösungen (z.B. Salesforce, Azure-AD, etc.) kommen solche Klimmzüge aber an ihre Grenzen, denn die Services bieten im Regelfall keine entsprechenden Verschlüsselungsebenen an, die die verarbeiteten Inhalte gegen Zugriff des Anbieters selbst absichern.

Daher wird eine Risiko-Analyse des Verantwortlichen im Regelfall anhand der neuen EuGH Rechtsprechung ergeben müssen, dass das konkrete Schutzniveau für die betroffenen personenbezogenen Daten in den USA nicht dem allgemeinen Datenschutzniveau der EU entspricht, auch wenn das US-Unternehmen den Abschluss von SCC | SDPC anbietet.

Wenn bislang von der zuständigen Aufsichtsbehörde genehmigte BCR verfügbar sind, ist die Lage (noch) etwas entspannter. Der Entzug von Genehmigungen bei bestehenden BCR ist aber naheliegend.

Das Mittel der "Einwilligung" kann nur in Ausnahmefällen herangezogen werden, nicht aber in standardisierten Datenverarbeitungsprozessen.

Wie fällt die Reaktion von Google, Facebook & Co, d.h. der betroffenen US-Unternehmen aus?

Wie bereits festgestellt, funktioniert die Pseudo-Lösung "Standarddatenschutzklauseln - SCC | SDPC" nicht, auch wenn immer mehr US-Unternehmen sich darauf berufen.

US-Amerikanische Unternehmen, die Dienste in der EU anbieten, stützen sich momentan trotzdem vorwiegend weiter auf die bereits geschlossenen Standardvertragsklauseln (SCC | SDPC). Ihnen schein nichts besseres einzufallen. Ihr Geschäftsmodell ist in schwere Fahrwasser geraten.

So geht Microsoft von einer weiterhin zulässigen Datenübermittlung auf Grundlage ihrer SDPC aus. Auch Google geht - entgegen der Einschätzung der deutschen Datenschutzbehörden (frei nach Pipi Langstrumpf: ich mach mir die Welt, wie sie mir gefällt) - von der generellen Anwendbarkeit der verwendeten Standardvertragsklauseln aus.

Eine sehr gute Übersicht, über die teilweise grotesken Rückmeldungen und Einschätzungen diverser US-Unternehmen haben die Kollegen von Kremer Rechtsanwälte zusammengestellt - LINK: Kremer Rechtsanwälte.

Um Wiederholungen zu vermeiden,verweisen wir auf die dortigen detaillierten Aufstellungen.

Wie soll ich mich nun als Website-Betreiber verhalten? Was kann ich tun, wenn ich die GSuite von Google nutze oder MS-Office365? Welche konkreten Möglichkeiten bestehen nun?

Die praktische Anpassung von Datenexporten unterliegt - wie vorstehend dargestellt - einer erheblichen rechtlichen Unsicherheit, die aller Wahrscheinlichkeit nach nicht von den Aufsichtsbehörden aufgelöst werden wird. Stattdessen stehen Unternehmen nun vor der Aufgabe umgehend Lösungsansätze zu entwickeln, da das EuGH-Urteil nun einmal unmittelbare Wirkung entfaltet und einzelne Aufsichtsbehörden zumindest bei fortgesetzten Verstößen bereits angekündigt haben, die Sanktionsmechanismen des DSGVO - bis hin zur Verhängung von Bußgeldern - zu nutzen (z.B: Pressemitteilung des Landesdatenschutzbeauftragten Rheinland-Pfalz vom 24.07.2020).

Baden-Württemberg hat mit seiner Orientierungshilfe eine erste Hilfeleistung gegeben. Erster Schritt eines jeden Unternehmens sollte deswegen eine Due Dilligence sein, in deren Rahmen jegliche Datenverarbeitungsvorgänge, bei denen es zu Datenübermittlungen in Drittländer kommt, zu erfassen und zu überprüfen sind.

Dementsprechend sollten Verantwortliche:

1. Verarbeitungstätigkeiten dokumentieren, bei denen Drittlandexporte von personenbezogenen Daten stattfinden;
2. Rechtsgrundlage der jeweiligen Datenübermittlung ermitteln (Angemessenheitsbeschluss, SCC | SDPC, BCR);
3. Rechtmäßigkeit der Exporte auf dieser Grundlage bewerten; vor allem das Datenschutzniveau im Empfängerdrittland analysieren und bewerten;
4. Alternativen evaluieren und Auswahlkriterien dokumentieren;
5. Restrukturierung der IT-Services hin zu Europäischen / rechtskonformen Anbietern als IT-Projekt starten und dokumentieren.

Zusätzliche Maßnahmen zu Standardvertragsklauseln, die ggf. in Betracht kämen, sind technisch-organisatorische und rechtliche Maßnahmen (Verschlüsselung). So kann der Einsatz einer Ende-zu-Ende-Verschlüsselung oder die Verwendung eines starken Kryptoalgorithmus zur Anonymisierung der übertragenen Daten zur Zulässigkeit eines Datenexports führen, indem die Personenidentifizierbarkeit ausgeschlossen wird.

Die Orientierungshilfe aus Baden-Württemberg schlägt darüber hinaus als rechtliche Maßnahme Ergänzungen zu den SCC-Klauseln 4f, 5d i), 5d, 7 I und die Aufnahme einer Entschädigungsklausel vor.

Durch vertragliche Vereinbarungen können Zugriffsbefugnisse von staatlich-behördlichen Stellen (wie im Fall der USA; zum Ablauf der Eingriffe unter FISA siehe: https://www.dni.gov/files/icotr/Section702-Basics-Infographic.pdf) jedoch nicht ausgeschlossen – sondern wenn überhaupt lediglich deren Auswirkungen durch Informations-, Abwehr- und Entschädigungspflichten des Datenimporteurs abgemildert werden. Ob dies jedoch für eine Angleichung des Datenschutzniveaus ausreicht und somit eine Übermittlung zulässig werden lässt, ist weiterhin ungeklärt.

Als risikofreundlichste Variante wäre das komplette Aussetzen der Datenübermittlungen in unsicheres EU-Ausland – insbesondere und vor allem in die USA – zu nennen.

Die Umsetzung des EuGH wird hierdurch rechtssicher gewährleistet und das - momentan wohl noch abstrakte - Bußgeldrisiko entfällt.

Die Praxistauglichkeit eines solchen Vorgehens muss jedes Unternehmen für sich selbst beantworten.

Eine Exit-Strategie hin zu unzweifelhaft rechtskonformen Anbietern, z.B EU-interne Anbieter ohne Verbindung zu US-Mutterkonzernen oder Anbietern aus sicheren Drittländern (d.h. Länder mit Angemessenheitsbeschluss der EU-Kommission), sollte zumindest mittelfristig umgesetzt sein.

Fazit und Auswirkungen auf Website-Rechtstexte

Die derzeitige Situation bei Datenexporten in die USA ist weiter unklar. Vor dem praktischen Bedürfnis, weiter Daten exportieren zu können und der bußgeldbewehrten Pflicht, die Vorgaben der DSGVO einzuhalten, ist ein einfaches „Abwarten“ nicht zu empfehlen.

1. Ein Datenexport, der ausschließlich auf dem EU-US-Privacy-Shield basiert sollte möglichst bald eingestellt werden. Rein rechtlich dürfte er schon jetzt unzulässig sein. Bußgelder sind jederzeit möglich, wenn wohl auch nicht kurzfristig zu erwarten.

2. Sofern das amerikanische Unternehmen SCCs | SDPCs verwendet, muss sichergestellt werden, dass das Datenschutzniveau europäischen Standards entspricht. In diesem Schritt sollte man auch mit den amerikanischen Unternehmen in Kontakt treten und diese zu einer Stellungnahme auffordern, ob die personenbezogenen Daten einem ausreichenden Schutzniveau unterliegen.

3. Bereits jetzt sollten Unternehmen sich überlegen, welche Tools für Sie absolut notwendig sind. Eine Exit-Strategie sollte wenn möglich geplant und dokumentiert werden.

4. Insbesondere wenn besonders sensible personenbezogene Daten i.S.d. Art. 9 DSGVO verarbeitet werden, sollte man rasch handeln.

5. Die Berufung auf bestehende und akzeptierte BCR schafft etwas Entspannung. Es ist aber wohl nur eine Frage der Zeit, bis einzelne BCR von Aufsichtsbehörden wieder "gekippt" werden. Bis dahin kann man sich ggf. auf bestehende BCR berufen.

WICHTIGER HINWEIS:

Kunden der Website-Check GmbH, die ein Update-Paket für die Rechtstexte auf ihrer Website gebucht haben, erhalten ohne Zusatzkosten aktuallisierte Datenschutzerklärungen.
Bitte beachten Sie dabei allerdings die Auslieferungshinweise.

Falls Sie Beratung benötigen, melden Sie sich einfach bei uns unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder nutzen Sie unser Kontaktformular.

Unsere Experten in diesem Rechtsbereich sind:

- Rechtsanwältin Sandra Dury - Datenschutzauditorin (TÜV-Rheinland | CIPP)

- Rechtsanwalt Martin Kerz - IT-Sicherheits-Auditor (TÜV-Rheinland | CIPP)

- Rechtsanwalt Michael Pfeiffer - Fachanwalt für IT-Recht

- Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht

- Dimplomjurist Benjamin Schmidt - Datenschutzbeauftragter (TÜV Rheinland)

Co-Autor: ref. jur Fabian Huber

Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht

Kanzleiinhaber, Fachanwalt für IT-Recht

Autoren-Info:

Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY LEGAL Rechtsanwälte.