• 4. August 2020

    Der Europäische Gerichtshof (EUGH) hat den EU-US Privacy Shield für ungültig erklärt. Die Erklärung bedeutet in der Praxis, dass seit dem 16.07.2020 Verantwortliche und Auftragsverarbeiter auf der Basis des Shields keine personenbezogenen Daten mehr in den USA verarbeiten lassen dürfen.

    Lesen Sie hier eine erste Einschätzung zu dieser Thematik von Datenschutzpraktiker Dirk Wolf:

    Die Standardvertragsklauseln hingegen wurden vom EUGH nicht für ungültig erklärt. Allerdings betont der EUGH, dass sie nur deshalb nicht pauschal für ungültig erklärt wurden, weil sie – entgegen dem Shield – keine abschließende, rechtsverbindliche Untersuchung beinhalte, ob die bestehenden Gesetze u.a. hinsichtlich der Zugriffe von Behörden aus Gründen eines nationalen Sicherheitsinteresses mit Blick auf die EU-Gesetzgebung als angemessen zu erachten seien.

    Damit liegt der Ball wieder im Feld der Verantwortlichen und Auftragsverarbeitern in der EU, die sich über die Standardvertragsklauseln vertraglich abgesichert hatten. Denn, so stellt das Gericht fest, die in den Standardvertragsklausen vorgesehenen Schutzmechanismen wären ja grundsätzlich erweiterbar und könnten so ein angemessenes Schutzniveau herstellen.

    In der Praxis heißt das wohl, dass Verantwortliche und Auftragsverarbeiter für jeden Datenexport in ein Drittland zu untersuchen haben, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten, was angesichts des Cloud Acts jedenfalls für die USA praktisch unmöglich ist. Zwar gibt es theoretisch die Möglichkeit, dass US-Unternehmen sich gegen die Herausgabe von personenbezogenen Daten aufgrund des Cloud Acts wehren können, wenn diese Nicht-US-Bürgern gehören bzw. diese nicht in den USA leben und das Unternehmen damit das Recht einer anderen Nation verletzen würde. Allerdings gilt das ausschließlich für Staaten, die mit den USA ein Abkommen über den Cloud Act abgeschlossen haben. Dies hat, außer Großbritannien, bisher kein einziges Land oder Staatenbund getan, also auch nicht die Europäische Union.

    Es geht sogar noch weiter. Stellen der Verantwortliche oder der Auftragsverarbeiter fest, dass die vereinbarten Standarddatenschutzklauseln von dem Importeur nicht einzuhalten sind, hat er dies seiner zuständigen Datenschutzaufsichtsbehörde zu melden. Gleichzeitig ist selbstverständlich jeglicher Export personenbezogener Daten sofort zu unterlassen.

    Fazit und Rat:

    Exportieren Sie derzeit personenbezogene Daten in die USA auf Grundlage des EU-US Privacy Shields, also der Zertifizierung US-Amerikanischer Unternehmen zu diesem Shield, richten Sie sich darauf ein,  den Export sofort (hoffentlich vorübergehend) einzustellen! Das betrifft praktisch alle großen US-Amerikanischen Unternehmen der Internetwirtschaft, also Google, Facebook, Apple, Zoom & Co.

    Versuchen Sie mit Vertragspartnern, die Sie beeinflussen können, Standarddatenschutzklauseln zu vereinbaren.

    Arbeiten Sie mit Standarddatenschutzklauseln, rate ich dazu, zumindest einen hohen Datensicherheitsstandard mit dem Vertragspartner zu vereinbaren. Die Standarddatenschutzklauseln dürfen zwar nicht verändert werden, aber es darf durchaus etwas zusätzliches vereinbart werden. Die Nutzung einer sicheren europäischen Cloud wäre eine wirksam Maßnahme, die eine Chance hat, bei deutschen Aufsichtsbehörden die Ernsthaftigkeit der Bemühungen um die Herstellung des – unter den gegebenen Umständen – bestmöglichen Schutzes der personenbezogenen Daten von Betroffenen zu gewährleisten. Im Zweifel wird eine europäische Datenschutzaufsichtsbehörde genau so etwas verlangen. Und wenn Sie den Nachweis nicht erbringen können, zusätzliche Sicherheitsmaßnahmen ergriffen zu haben ist der Vorwurf des Organisationsversagens nicht weit.

    Noch einmal zurück zum eigentlichen Thema: Erscheint Ihnen der erste Absatz zu dem EU-US Privacy Shield ein wenig dünn? Nun, mehr ist in der Tat darüber (fast) nicht zu sagen. Der Shield ist ungültig. Ein früherer Bundeskanzler hätte gesagt: Basta! Fast bedeutet natürlich, dass denn doch noch ETWAS zu sagen ist. Der EUGH hat es durchaus offen gelassen, einen weiteren Versuch zu starten, doch noch ein allgemein-verbindliches Instrument zu schaffen. Er hat es jedoch mit seiner offenen, ja fast arrogant zu nennenden, Kritik an der ältesten Demokratie der Welt den USA nicht leichter gemacht, ihre Gesetze an die Erfordernisse europäischer Datenschutzvorstellungen anzupassen. Der EUGH, der Europäische Gerichtshof, stellt nämlich lapidar fest, dass die Überwachungsprogramme durch US-Sicherheitsbehörden nicht verhältnismäßig seien. Die USA müssen sich bewegen, aber auch Europa muss sich geschmeidig zeigen. Ohne ernsthafte Bemühungen beider Seiten machen sich entweder sämtliche US-amerikanische Unternehmen, die europäische personenbezogene Daten verarbeiten oder sämtliche europäische Unternehmen, die Daten durch US-amerikanische Unternehmen verarbeiten lassen strafbar. Das kann nicht im Interesse einer gedeihlichen Zusammenarbeit zwischen den USA und de EU liegen. Derzeitige Machtverhältnisse ändern daran nichts.

    Ohne jedes Patentrezept zur Lösung dieser Probleme, aber immerhin mit einem gewissen Durchblick zur Sachlage des Drittländerverkehrs stehe ich Ihnen gern mit Rat und Tat zur Verfügung. Das Kapitel V der DS-GVO, also die Artikel 44 bis 50 enthalten so manche kleine Überraschung, die eine Übermittlung unter Umständen doch noch rechtmäßig möglich machen kann.

    Kontakt:

    Dirk Wolf
    Tel.: +49 511 54294-44
    Mobil/Telegram: +49 171 3831577
    E-Mail: dirk.wolf@skriptura.de
    Stand: 03.08.2020