Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 16.7.2020 in der Rechtssache C-311/18 “Schrems II” das EU/US-Privacy Shield für ungültig erklärt. Zudem hat der EuGH mit diesem Urteil die Vereinbarung von Standardvertragsklauseln zum Schutz von personenbezogenen Daten mit US-Unternehmen de facto unmöglich gemacht.
Der Hauptgrund dafür ist, dass in den USA Geheimdienste auf personenbezogene Daten von EU-Bürgern zugreifen können, ohne dass die betroffenen Personen darüber informiert werden und ohne dass die betroffenen Personen rechtlich dagegen vorgehen können.
Damit fallen – aus gutem Grund – die zwei wichtigsten Möglichkeiten zum Export von personenbezogenen Daten in die USA weg. Für viele EU-Unternehmen kommt dies unerwartet und ungelegen. Etablierte Marketingmethoden lassen sich nur schwer sofort umstellen.
Wir zeigen in diesem Artikel, wie Sie die Situation lösen und teilweise US-Dienste weiter nutzen können.
Möglichkeiten zum Export von Daten in die USA
Angemessenheitsbeschluss – EU/US-Privacy Shield
Der EU/US Privacy Shield bestand aus einem informellen Abkommen zwischen der Europäischen Union und der US-Regierung, welches bestimmte Zusicherungen der US-Regierung in Sachen Datenschutz enthielt, sowie einem darauf aufbauenden Angemessenheitsbeschluss der EU-Kommission, welcher aussagte, dass US-Unternehmen, welche sich freiwillig dem EU/US-Privacy Shield unterwarfen, dem Datenschutzniveau der EU entsprachen.
Damit war ein Datenexport zu diesen Unternehmen problemlos möglich. Der EU/US-Privacy Shield bzw. der darauf aufbauende Angemessenheitsbeschluss der EU-Kommission wurde nun durch den EuGH ersatzlos für ungültig erklärt:
„Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.“
Ein rascher Ersatz ist nicht zu erwarten. Dazu müsste die US-Regierung weitreichende Zugeständnisse an die EU machen. Dies entspricht jedoch rein gar nicht der bisherigen Linie der aktuellen US-Regierung, welche gemäß ihrem Motto „America first“ genau gegenteilig ein internationales Abkommen nach dem anderen auflöst.
Standardvertragsklauseln
Die Standardvertragsklauseln sind Muster für Datenschutzklauseln, welche durch einen Beschluss der EU-Kommission vorgegeben werden. Die Standardvertragsklauseln müssen individuell vertraglich vereinbart werden. Die Klauseln werden in der Regel in Verträgen zwischen mehreren gemeinsam für eine Datenverarbeitung verantwortlichen Unternehmen und im Rahmen von Auftragsverarbeiterverträgen abgeschlossen.
Auf Basis von Verträgen mit Standardvertragsklauseln zum Schutz personenbezogener Daten ist der Export von Daten in Drittstaaten zulässig, allerdings nur, wenn das Datenschutzniveau tatsächlich gewahrt wird.
Der EuGH hat die grundsätzliche Gültigkeit der Standardvertragsklauseln bestätigt:
„Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.“
Die Standardvertragsklauseln gelten daher weiterhin, allerdings wie schon bisher unter der Einschränkung, dass diese nicht nur am Papier vereinbart wurden, sondern dass die Vereinbarung der Standardvertragsklauseln tatsächlich dazu führt, dass US-Unternehmen ein mit der EU vergleichbares Datenschutzniveau aufweisen.
Genau diese Anforderung wird jedoch nicht erfüllt, wie aus dem Urteil deutlich hervorgeht. US-Unternehmen können aufgrund der rechtlichen Möglichkeiten der US-Geheimdienste kein mit der EU vergleichbares Datenschutzniveau sicherstellen. Daher hat das Urteil die Standardvertragsklauseln zwar einerseits für grundsätzlich weiter gültig erklärt, aber andererseits indirekt für die USA deren Unanwendbarkeit ausgesprochen.
Binding Corporate Rules
Eine weitere Möglichkeit zum Export von Daten in Drittstaaten stellen verbindliche interne Datenschutzvorschriften eines Unternehmens dar. Diese Möglichkeit wurde in dem Urteil nicht angesprochen.
Auch verbindliche interne Datenschutzvorschriften eines Unternehmens sind wie Standardvertragsklauseln nur unter der Einschränkung anwendbar, dass diese tatsächlich ein mit der EU vergleichbares Datenschutzniveau sicherstellen. Zudem bedürfen verbindliche interne Datenschutzvorschriften einer Genehmigung durch die Datenschutzbehörde -diese würde für die USA derzeit wohl nicht mehr erteilt werden. Daher fallen auch Binding Corporate Rules als Option zum Datenexport in die USA weg.
Einwilligung
Als letzte Möglichkeit bleibt die Einwilligung der betroffenen Person zum Export ihrer personenbezogenen Daten in die USA. Die gute Nachricht: diese Möglichkeit funktioniert weiterhin und stellt für die meisten Marketingmethoden, für die bereits aufgrund anderer rechtlicher Vorschriften eine Einwilligung einzuholen ist, eine sinnvolle Lösung dar.
Zu beachten ist, dass die betroffenen Personen vor Abgabe der Einwilligung umfangreich über die Datenschutzrisiken, welche sich aus einem Export in die USA ergeben, aufzuklären ist.
Vertragserfüllung
Ein Datenexport in die USA ist auch weiterhin zulässig, wenn dies zur Vertragserfüllung notwendig ist. Das ist z.B. für Buchungsplattformen interessant. Bucht ein Kunde ein Hotel in New York, dann ist es zulässig die Buchungsdaten dorthin zu senden.
Weitere Ausnahmen
Die DSGVO kennt noch weitere Möglichkeiten zum Export von Daten in die USA, die aber für das Marketing sowie den Betrieb von Websites und Webshops keine Rolle spielen.
Handlungsanleitung für die Praxis
Wechsel auf EU-Dienste
Wo immer möglich, sollten US-Dienste vermieden werden. Aus rechtlicher Sicht ideal sind EU-Dienste. Ebenso möglich sind Dienste aus Staaten, deren Datenschutzniveau aufgrund eines Angemessenheitsbeschlusses der EU-Kommission als ausreichend qualifiziert wurde. Dies sind derzeit: Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz und Uruguay. Das aktuelle Urteil zeigt jedoch, wie schnell ein Angemessenheitsbeschluss für ungültig erklärt werden kann.
Wechsel auf EU-Server
Wo kein Wechsel auf einen EU-Dienst möglich ist, wird oft empfohlen, zumindest EU-Server zu nutzen. Diese Möglichkeit bieten einige Dienste von Google, Microsoft und Amazon.
Aus datenschutzrechtlicher Sicht ist dies keine Lösung. Auch, wenn die Server in der EU stehen, werden sehr oft Daten in die USA übertragen. Bestenfalls mag diese Lösung die Datenschutzbehörden milder stimmen, wenn kurzfristig tatsächlich keine andere Lösung realisierbar ist.
Einholung von Einwilligungen
Ein Datenexport in die USA ist auch dann möglich, wenn der Nutzer dazu seine informierte Einwilligung erteilt. Der Nutzer ist daher vor seiner Einwilligung über das unzureichende Datenschutzniveau in den USA aufzuklären.
Die Aufklärung könnte wie folgt aussehen:
Die Rechtsgrundlage für die Nutzung dieses Dienstes (Name, Firma, Adresse, USA, E-Mail, Telefon) ist Ihre Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO iVm. Art. 6 Abs. 1 lit. a DSGVO. Der Dienst übermittelt Ihre Daten in die USA. Das Datenschutzniveau in den USA ist deutlich geringer als in der EU. So können in den USA z.B. Geheimdienste Ihre Daten verarbeiten, ohne dass Sie darüber informiert werden und ohne dass Sie dagegen rechtlich vorgehen können. Aus diesem Grund hat der Europäische Gerichtshof mit Urteil vom 16.7.2020 den Angemessenheitsbeschluss für die USA (EU/US-Privacy Shield) für ungültig erklärt.
Die Einholung der Einwilligung ist bei Diensten denkbar, für welche ohnehin bereits eine Einwilligung aufgrund der E-Privacy-Verordnung, des österreichischen TKG (Telekommunikationsgesetz) oder des deutschen TMG (Telemediengesetz) notwendig ist:
- Analyse
- Remarketing
- Embeddings
- Newsletter
Das von uns mitentwickelte Datenschutz-Paket von legalweb.io (Cookie-Popup / Impressum / Datenschutzerklärung) wird bis zum 21.7.2020 entsprechend umgestellt.
Technisch nicht möglich ist die Einholung einer Einwilligung bei Diensten, deren Ausführung nicht sinnvoll von der Einwilligung eines Users abhängig gemacht werden kann:
- Webhost
- CDN
- externe Schriften
- externe Software-Bibliotheken
Auch bei der Einholung der Einwilligung bleibt ein gewisses Restrisiko. Dieses sollte aber überschaubar sein, da die Möglichkeit zur individuellen Einwilligung nach Aufklärung über die Risiken gerade zur Ermöglichung des Exports von Daten in unsichere Drittstaaten geschaffen wurde.
Standardvertragsklauseln / Binding Corporate Rules
Vielfach wird als Lösung auch die Vereinbarung von Standardvertragsklauseln und Binding Corporate Rules vorgeschlagen. Der Europäische Gerichtshof habe nicht ausdrücklich festgehalten, dass diese mit Bezug auf die USA unzulässig wären.
Davon ist abzuraten. Das Risiko im Fall der Vereinbarung von Standardvertragsklauseln und Binding Corporate Rules ist als hoch einzustufen, da diese Möglichkeiten gerade nicht zur Verwendung mit unsicheren Drittstaaten geschaffen wurden. Zudem geht aus dem Urteils des EuGH zumindest indirekt hervor, dass der EuGH dies klar ablehnt.
Risiken
Im Fall einer Verletzung des Datenschutzes drohen Strafverfahren durch die Datenschutzbehörden sowie Abmahnungen und Klagen durch betroffene Personen, Konsumentenschutzverbände, Mitbewerber und Wettbewerbsverbände.
Übergangsfrist gibt es keine. Daher ist die notwendige Umstellung ohne Verzögerung sofort zu starten.
Fazit
Die Ära, in welcher Webdienste durch die Weitergabe der Daten der User finanziert wurden und in denen Geheimdienste großflächig auf Daten zugreifen dürfen, geht zumindest in der EU zu Ende.
Das Urteil des EuGH stellt auf diesem Weg nur einen weiteren Meilenstein dar. Wer nicht immer wieder nachbessern will, ist gut beraten, die Auswahl der genutzten Dienste grundlegend zu überdenken und auf datenschutzkonforme Lösungen zu wechseln.
Für jene Unternehmen, die das nicht schaffen, stellt die Einholung der Einwilligung der Benutzer eine Lösung dar.
