Am 16. Juli 2020 hat der Europäische Gerichtshof den sogenannten EU-US Privacy Shield für ungültig erklärt und vielen Unternehmen, wie Anbietern von Servern oder von Webtracking, damit eine rechtssichere und vor allem in der Praxis recht unproblematische Grundlage für die Übertragung von personenbezogenen Daten in die USA genommen.
Hinter dem Urteil stecken handfeste Gründe: Die übermittelten Daten sind nach Auffassung der Richter nicht ausreichend geschützt, Betroffene haben keine echten wirksamen Schutzmöglichkeiten. Konkret können Daten von Nutzern aus der EU über den Umweg durch die USA von den US-Sicherheitsbehörden wie der NSA durchleuchtet und gespeichert werden.
Kurzum: Das Datenschutzniveau ist nicht ausreichend. Ganz simpel ist der ganze Fall nicht und wohin die Reise künftig geht, ist teils auch mit Fragezeichen verbunden. Wir geben einen einfachen Überblick über den Fall, den Privacy Shield, die DSGVO und die Probleme.
Hintergrund: Wie kam es zum EuGH-Urteil?
Ursprung des Urteils ist quasi die Nutzung von Facebook. Der österreichische Datenschutzaktivist und Jurist Maximilian Schrems hat das gemacht, was etliche andere Menschen auch taten: Schrems hat sich beschwert.
Will ein Nutzer den Dienst von Facebook in Europa in Anspruch nehmen, schließt er einen Vertrag mit Facebook Ireland. Das ist eine Tochtergesellschaft der Facebook Inc., welche in den USA sitzt. Personenbezogene Daten des europäischen Nutzers werden allerdings nicht ausschließlich durch Facebook Ireland verarbeitet, sondern auch an den Mutterkonzern übermittelt und in den USA verarbeitet, teilweise erhalten sogar US-Geheimdienste Zugriff. Schrems verlangte nun, dass Facebook Ireland diese Praxis untersagt werden müsse, da damit das Schutzniveau der DSGVO nicht gegeben ist.
Dies führte schon dazu, dass der Vorgänger des Privacy Shields, das Safe-Harbour-Abkommen, 2015 für ungültig erklärt wurde. Nach einer entsprechenden Aufforderung der irischen Datenschutzbehörde formulierte Schrems seine Beschwerde um. Der irische High Court fragte dann schließlich den EuGH an. Nachdem dieses Verfahren eingeleitet wurde, erließ die EU-Kommission den Privacy Shield. Auch nach deren Gültigkeit wurde der EuGH angefragt. Es ging zudem um die Anwendbarkeit der DSGVO, Fragen nach dem Schutzniveau und den Pflichten der Datenschutzbehörden. Soweit die Geschichte hinter dem Fall.
Was hat die DSGVO mit der Datenübermittlung in die USA zu tun? Welche Daten sind betroffen?
Für Online-Händler ist es alles andere als neu, dass sie sich bei der Erhebung und Verarbeitung personenbezogener Daten nach der DSGVO richten müssen. Sie gilt ausschließlich für Daten mit Personenbezug und für alle Verantwortlichen, die ihren Sitz in der EU haben, unabhängig davon, ob die Verarbeitung auch dort stattfindet. Sie wird aber auch dann angewendet, wenn personenbezogene Daten einer betroffenen Person verarbeitet werden, die sich in der EU befindet, der Verantwortliche aber nicht. Zumindest, wenn der betroffenen Person Waren oder Dienstleistungen in der EU angeboten werden oder ihr Verhalten in der EU beobachtet werden soll. Damit gilt die DSGVO nicht nur für europäische Unternehmen, die Daten verarbeiten wollen, sondern auch für solche aus Drittstaaten, wenn sie ihr Angebot an Bürger der EU richten.
Hier gibt es auch eine erste Feststellung des EuGH im Urteil: Werden Daten von einem Wirtschaftsteilnehmer in der EU an einen im Drittstaat, z. B. den USA, zu gewerblichen Zwecken übermittelt, und können bei dieser Übermittlung oder im Anschluss Behörden dieses Drittlands zu Zwecken der Sicherheit, der Landesverteidigung oder der Sicherheit des Staates verarbeiten, ist die DSGVO dennoch weiterhin anwendbar. Dass Behörden eines Drittstaates also eine derartige Verarbeitung durchführen, nimmt die Übermittlung der Daten nicht von der DSGVO aus.
Findet eine Übermittlung statt, dann muss das europäische Schutzniveau berücksichtigt werden.
Was ist das „angemessene Schutzniveau“?
Der Datenschutz im Drittstaat muss nicht identisch mit dem in der EU garantierten Schutz sein. Im Wesentlichen wird aber verlangt, dass dort aufgrund der innerstaatlichen Rechtsvorschriften und auch durch internationale Verpflichtungen ein Schutz von Freiheiten und Grundrechten herrscht, der jenem in der EU gleichkommt. Betroffenen Personen müssen dafür geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe gegeben werden – also sozusagen die Möglichkeit, sich gegen einen Verstoß wehren zu können.
Was ist der Privacy Shield?
Will nun ein europäisches Unternehmen Daten in einen Drittstaat übermitteln, müsste es sicherstellen, dass dort ebenfalls ein angemessenes Datenschutzniveau herrscht. Vor dem Hintergrund, dass es schon bei inländischen Fällen nicht immer ganz einfach oder eindeutig ist, was nun erlaubt ist und was nicht, wäre das im Hinblick auf einen Drittstaat für ein Unternehmen eine schwerlich zu bewältigende Aufgabe.
Für diese Fälle sorgt die DSGVO gewissermaßen vor und überlässt diejenigen, die personenbezogene Daten verarbeiten, nicht völlig sich selbst. Es gibt die Möglichkeit der Übermittlung auf der Grundlage eines sogenannten Angemessenheitsbeschlusses – das war der EU-US Privacy Shield für die USA.
Diese Lösung ist an und für sich praktisch: Ob ein Drittstaat ein angemessenes Schutzniveau bietet, kann die EU-Kommission festlegen. Dann bedarf es keiner besonderen Genehmigung für die Übermittlung. US-amerikanische Unternehmen konnten sich hier selbst zertifizieren und die Datenverarbeitung damit auf die Grundlage des Privacy Shields stellen. Zumindest bis der EuGH den Beschluss des Privacy Shields für ungültig erklärte.
Warum ist der Privacy Shield ungültig?
Das Problem liegt beim angemessenen Schutzniveau. Der EuGH stellt fest, dass die Datenschutzbestimmungen in den USA nicht ausreichen. Dabei sei nochmal betont, dass der EU-US Privacy Shield ausschließlich die Übermittlung personenbezogener Daten in die USA betrifft, nicht aber in andere Drittstaaten. Im Kern geht es hinsichtlich der Ungültigkeit um die weitreichenden Zugriffsmöglichkeiten durch US-Behörden:
- Grundsätzlich wird dem EuGH zufolge mit dem Privacy Shield ein Vorrang für Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts eingeräumt, der Schutz der personenbezogenen Daten also eingeschränkt.
- Diese Einschränkung sei aber nicht so geregelt, dass sie den europäischen Anforderungen gerecht werde. Dabei greift der EuGH auch die Massenüberwachung auf. So seien die auf amerikanische Vorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß begrenzt und damit im Hinblick auf den Grundsatz der Verhältnismäßigkeit nicht gleichwertig.
- Den Personen, die keine amerikanischen Staatsbürger sind und potentiell von den Überwachungsmaßnahmen betroffen sein könnten, seien keine Rechte verliehen, die sie gegenüber amerikanischen Behörden gerichtlich durchsetzen könnten. Zwar gebe es einen „Ombudsmechanismus“, also einen Ansprechpartner für Betroffene. Ein Rechtsweg, der die nötigen Garantien biete, also etwa seine Unabhängigkeit gewährleisteten, liege damit aber eben nicht vor.
Alternativen – Ist die Übermittlung personenbezogener Daten in die USA jetzt insgesamt verboten?
Die Zertifizierung nach dem EU-US Privacy Shield war eine Möglichkeit, relativ einfach personenbezogene Daten in den USA zu verarbeiten. Sein Wegfall macht diesen Vorgang aber nicht unmöglich. So gibt es etwa noch die Standardschutzklauseln, welche ebenfalls von der EU-Kommission stammen, nicht auf Selbstzertifizierung setzen, sondern die Verarbeitung der Daten quasi vertraglich regeln.
Über diese Klauseln vereinbaren der Datenimporteur – derjenige, der die Daten entgegennimmt und verarbeitet – und der Datenexporteur – derjenige, der die Daten übermittelt – angemessene Garantien zum Schutzniveau. Diese bieten einige US-Unternehmen bereits an, andere werden sie wohl künftig aufnehmen. Nichtsdestotrotz muss auch hier geprüft werden, ob der Datenschutz tatsächlich eingehalten wird, was insbesondere die US-Unternehmen sicherstellen müssen. Darüber hinaus gibt es noch Ausnahmeregelungen für besondere Fälle.
Was können betroffene Online-Händler und Unternehmer nun tun?
Das Urteil des EuGH bedingt aktuell eine akute Rechtsunsicherheit, schließlich ist der Privacy Shield als potentiell langfristige und verhältnismäßig einfache Rechtsgrundlage weggefallen. Und das Urteil und damit auch der Wegfall des Abkommens gilt ab sofort.
Online-Händler sollten nun zuerst einmal prüfen, ob
- sie Dienste verwenden, die ihren Sitz in den USA haben
- sie Dienste nutzen, die personenbezogene Daten in die USA übermitteln
- die genutzten Dienste über eine Anpassung ihres Vorgehens informieren, ggf. kann auch eine Nachfrage sinnvoll sein
- die genutzte Datenschutzerklärung die Verarbeitung personenbezogener Daten auf den Privacy Shield stützt. Sofern ja, sollte die Datenschutzerklärung angepasst werden. Mitglieder des Händlerbundes wurden hierüber bereits per Sonder-Newsletter informiert.
Dass Datenschutzverstöße von den zuständigen Behörden geahndet werden, ist grundsätzlich nicht auszuschließen. Im Anschluss an die Ungültigkeitserklärung zum Safe-Harbour-Abkommen fehlte für knapp ein halbes Jahr eine neue Grundlage, ohne aber dass es in dieser Zeit zu Bußgeldern kam. Auch nun ist wohl davon auszugehen, dass es nicht unmittelbar zur Verhängung von Bußgeldern kommen wird. Wer betroffen ist und jegliches Risiko ausschließen möchte, kann darüber nachdenken, entsprechende Dienste vorerst nicht mehr zu nutzen – auch hier wäre die Datenschutzerklärung anzupassen.
Kommt eine neue Rechtsgrundlage? Wie wird es weitergehen?
Nicht nur Unternehmen prüfen nun die Lage, sondern auch die Datenschutzbehörden und die EU-Kommission. So hat der Bundesbeauftragte für den Datenschutz, Prof. Ulrich Kelber, bereits angekündigt, sich mit den übrigen Datenschutzbehörden zu konsolidieren und eine Stellungnahme abzugeben. Auch im Europäischen Datenschutzausschuss (EDSA) soll das Urteil nun besprochen werden.
Die EU-Kommission ist jetzt unter starkem Zugzwang. Schließlich ist sie federführend in den Gesprächen mit den USA. Die zuständige Kommissarin Vera Jourova hat angekündigt, die Situation zu reflektieren und schnellstmöglich mit den USA zusammen an einer Lösung zu arbeiten, die einerseits den Datenschutz sicherstellt, andererseits aber auch den Datenfluss über den Atlantik sicherstellt. Dabei will sie auch mit den europäischen Datenschutzbehörden zusammenarbeiten, um eine langfristige Lösung zu schaffen.
Auch in den USA wird über Gesetzesänderungen der eigenen Überwachungsgesetze diskutiert werden müssen. Schließlich stehen diese auch weiterhin im Gegensatz zu dem Schutzniveau, das die DSGVO vorsieht. Ob es jedoch zu Änderung an US-Gesetzen kommen könnte, ist derzeit mehr als zweifelhaft.
