Schon seit einigen Jahren läuft der Kampf zwischen dem österreichischen Datenschützer Max Schrems und Facebook. Nun hat Schrems mit dem aktuellen Urteil des EuGH zum Thema „Privacy Shields“ den nächsten Sieg erzielt.
Grundlage des langjährigen Konflikts ist eine Beschwerde von Schrems gegenüber der irischen Datenschutzbehörde. Dabei geht es dem Österreicher insbesondere um die Übermittlung persönlicher Daten von Facebook-Irland an den US-amerikanischen Mutterkonzern. Sobald diese Daten in den USA landen, haben US-Behörden – wie das FBI oder die NSA – Zugang zu diesen.
In der Vergangenheit erfolgte der Datentransfer zwischen der EU und den USA auf Grundlage des “Privacy Shields” oder unter Verwendung sogenannter Standardvertragsklauseln. In Zusammenhang mit der Beschwerde Schrems wurde der EuGH nun mit der Frage konfrontiert, ob diese beiden Grundlagen überhaupt mit den europäischen Anforderungen an den Datenschutz in Einklang gebracht werden können.
Was ist das „Privacy Shield“ überhaupt?
Bevor wir uns mit der Entscheidung des EuGH befassen, werfen wir einen kurzen Blick auf die Entstehung des “Privacy Shields” und der Frage, warum diese Absprache überhaupt getroffen wurde.
Grundsätzlich werden unsere persönlichen Daten – als Bürger der EU – durch die DSGVO (Datenschutzgrundverordnung) geschützt, sofern die Datenverarbeitung innerhalb der EU stattfindet. Werden unsere Daten allerdings in ein Drittland – also ein Land außerhalb der EU – übermittelt, besteht dieser Schutz nicht mehr. Aufgrund dessen dürfen personenbezogene Daten nach der DSGVO nur dann in ein Drittland übermittelt werden, wenn in dem Drittland ein ausreichendes Schutzniveau gewährleistet wird.
Problematisch ist dies besonders in Bezug auf die USA, da die amerikanischen Datenschutzstandards aus EU-Sicht oftmals nicht als ausreichend empfunden werden. Nach der DSGVO dürften demnach keine personenbezogenen Daten von EU-Bürgern in die USA übermittelt werden.
Damit die Datenübermittlung zwischen Europa und den USA dennoch stattfinden kann, wurde 2016 eine Absprache zwischen der EU und den USA getroffen, welche die Einhaltung eines ausreichenden Schutzniveaus vorsieht. Diese ist auch bekannt unter dem Namen „Privacy Shield“. Nach dem „Privacy Shield“ müssen sich die Unternehmen in den USA, die personenbezogene Daten von EU-Bürgern verarbeiten, in eine entsprechende Liste eintragen und gleichwohl datenschutzrechtliche Regeln beachten. So soll ein angemessenes Datenschutzniveau gewährleistet werden.
Was sagt der EuGH nun zu dem „Privacy Shield“?
Mit dem aktuellen Urteil vom 16.07.2020 erklärt der EuGH die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA nun für ungültig. Begründet wird dies insbesondere damit, dass die Zugriffsmöglichkeiten der US-Behörden auf personenbezogene Daten in der Praxis den europäischen Datenschutzstandards entgegenstehen. Demnach sei ein ausreichender Schutz personenbezogener Daten nicht gewährleistet. Die bisherige Grundlage für die Datenübermittlung zwischen der EU und den USA auf Grundlage des “Privacy Shields” ist deswegen hinfällig!
Gibt es eine Alternative?
Im Zuge des Urteils befasste sich der EuGH zudem mit den sogenannten EU-Standardvertragsklauseln, welche eine weitere Möglichkeit des Datentransfers in die USA liefern. Hinter den EU-Standardvertragsklauseln verbergen sich von der EU-Kommission entwickelte Verträge, durch die sich die beteiligten Parteien verpflichten, angemessene Datenschutzstandards bei der Übermittlung einzuhalten.
Die EU-Standardvertragsklauseln bleiben nach der Entscheidung des EuGH grundsätzlich gültig. Aber auch hier gilt, dass Betroffene die Möglichkeit haben, die Rechtmäßigkeit der Standardvertragsklauseln von der zuständigen Datenschutzbehörde prüfen zu lassen. Ein angemessenes Schutzniveau muss also sichergestellt werden. Somit liefern auch die Standardvertragsklauseln keinen Freibrief für einen uneingeschränkten Datentransfer aus der EU in die USA.
Wie geht es weiter?
Wie es in Zukunft um den Datentransfer zwischen den USA und der EU bestellt ist, bleibt fraglich. Bereits 2015 erreichte Schrems die Beanstandung des “Privacy Shields”-Vorgängers “Safe Harbour” vor dem EuGH. Die EU-Kommission äußerte bereits vor wenigen Monaten, dass sie sich auf ein Scheitern der “Privacy Shields”vorbereite. Darüber, wie der Datentransfer zwischen der EU und den USA in Zukunft aussehen wird, kann zum jetzigen Zeitpunkt allerdings nur spekuliert werden.
Was bedeutet das Urteil für dich?
Spannend ist nun die Frage, welche Folgen das Urteil des EuGH für dich als Unternehmer hat. Von großer Bedeutung ist es, dass das getroffene Urteil nicht nur Facebook betrifft, sondern jeden von uns. Sofern du ebenfalls Daten in die USA übermittelst und dies auf Grundlage des Privacy Shields gemacht hast, solltest du nun schnell handeln:
Bis sich geklärt hat, wie der Datentransfer in Zukunft gegenüber der USA gestaltet werden kann, empfiehlt es sich:
- das eigene Datenschutzkonzept zu überprüfen und die Auswirkungen des Urteils auf den Status Quo des Unternehmens zu erfassen.
- zu evaluieren, welche der bisher genutzten Dienstleister und deren Subunternehmer sich auf das Privacy Shield gestützt haben, um das weitere Vorgehen zu planen.
- genau abzuwägen, ob man sich stattdessen auf die unsichere Lösung der Standardvertragsklauseln stützen möchte.
- wenn möglich, bei US-Anbietern auf EU-Server zurückzugreifen, anstatt die Daten auf US-Servern zu hosten.
- bei bestehenden Datenschutzerklärungen und Verträgen den Passus bezüglich des “Privacy Shields” zu entfernen, sofern dieser vorhanden war.
- keine Dienstleister zu verwenden, die selbst oder deren Subunternehmer die Daten in der USA verarbeiten.
Solltest du nicht auf den Datentransfer in die USA verzichten können, solltest du zumindest die Einwilligung deiner Nutzer einholen. In Zuge dessen musst du diese unbedingt transparent über den Datentransfer in die USA und die potentiellen Risiken aufklären.
Letztlich bleibt es aber spannend, wie schnell und inwiefern die Politik auf das Urteil des EuGH reagiert und welche Alternativlösungen möglicherweise entwickelt werden.
Über den Autoren
