Abmahnanwälte scharren nach EuGH-Urteil mit den Hufen

Dürfen Unternehmen weiterhin personenbezogene Daten von Nutzern, Verbrauchern oder Arbeitnehmern in die USA senden? Eine Entscheidung dazu fällte jüngst der Europäische Gerichtshof. Er hat die EU-US-Datenschutzvereinbarung "Privacy Shield" gekippt. Damit ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal. Michael Kornfeld, Geschäftsführer von dialog-Mail, erklärt im Interview die Folgen.

Warum hat der EuGH das Privacy Shield-Abkommen eigentlich gekippt?
Michael Kornfeld: Um es etwas flapsig auszudrücken: Weil das Thema Datenschutz in den USA keinen Stellenwert hat - jedenfalls nicht jenen wie in Europa. Die Datenschutzgrundverordnung (Anm.: DSGVO) schreibt jedoch vor, dass personenbezogene Daten nur dann in ein Drittland übermittelt werden dürfen, wenn dort ein angemessenes Schutzniveau herrscht. Da das in den USA nicht der Fall ist, haben die Europäische Kommission und die USA das "Privacy Shield" vereinbart. Damit konnten sich teilnehmende amerikanische Anbieter verpflichten, sich an europäische Datenschutz-Standards zu halten. So war die Datenübermittlung legal und damit der Einsatz amerikanischer Dienstleister möglich. Doch faktisch war durch das Privacy Shield der Datenschutz absolut nicht ausreichend gewährleistet. Die Folge war nun, dass der EuGH im Juli 2020 auch das "Privacy Shield" für unzulässig erklärt hat.
 
Was sind die direkten Konsequenzen der EuGH-Entscheidung?
Michael Kornfeld: Mit der Entscheidung sind Datentransfers zwischen europäischen Unternehmen und amerikanischen Anbietern, die sich ausschließlich auf das gekippte Abkommen (Privacy Shield) stützen, ab sofort nicht mehr möglich respektive nicht legal.
 
Wie lange ist eigentlich die Übergangsfrist? Wie schnell muss ich reagieren?
Michael Kornfeld: Es gibt keine Übergangsfrist. Wie schon bei dem Vorgänger-Abkommen "Safe Harbor" hat der EuGH das Abkommen schlicht für ungültig erklärt. Damit gilt automatisch und ab sofort der Zustand vor beziehungsweise ohne Abkommen.
 
Ist aus Ihrer Sicht eine baldige politische Lösung zu erwarten?
Michael Kornfeld: Meiner Meinung nach ein klares "Nein". Durch das Urteil heißt es "zurück an den Start" für die Europäische Kommission. Aufgrund der Tatsache, dass der EuGH bei seiner Begründung durchaus klare Worte fand, kann die Kommission nicht einfach wieder auf die Schnelle ein weiteres Abkommen verhandeln - das wäre politisch nicht durchsetzbar.

Es muss nun also auf politischer Ebene über einen Ausgleich der Interessen verhandelt werden. Das ist angesichts der großen Meinungsunterschiede zu dem Thema, der Unberechenbarkeit und des Egoismus der Trump-Regierung und aufgrund der bevorstehenden Wahlen in den USA sicher kein einfaches Unterfangen. Daher ist nicht in Wochen oder Monaten, sondern voraussichtlich erst in Jahren mit einer tragfähigen politischen Lösung zu rechnen.

Ist nun der Einsatz von allen US-amerikanischen Anbietern illegal?
Michael Kornfeld: Nein. Datenverarbeitungen für ausschließlich private Zwecke sind beispielsweise von der DSGVO ausgenommen. Private Urlaubsfotos kann man also ohne rechtliche Bedenken in eine amerikanische Cloud hochladen. Auch wenn gar keine personenbezogenen Daten gespeichert werden, ist die Datenübermittlung unbedenklich. Die Speicherung von Landschafts-Bildern oder einer Kostenaufstellung bei einem amerikanischen Anbieter ist also ebenfalls unproblematisch. Darüber hinaus gibt es weitere Möglichkeiten, um auch personenbezogene Daten übermitteln zu dürfen. Eine davon ist die Zustimmung durch den Betroffenen: Wenn der Betroffene also in die Übermittlung eingewilligt hat, ist sie auch legal möglich.
 
Ist eine Zustimmung durch die Betroffenen also ausreichend?
Michael Kornfeld: Grundsätzlich ja. Es müssen allerdings alle Betroffenen eine freiwillige, spezifische, informierte und eindeutige Einwilligung abgegeben haben. Sie müssen also nachweislich über die möglichen Risiken aufgeklärt worden sein.

Diese Einwilligung wird in der Praxis vermutlich nicht ganz einfach einzuholen sein. Außerdem gibt es einen großen Haken: Sie kann durch den Betroffenen jederzeit - ohne Angabe von Gründen - widerrufen werden. Nach einem Widerruf wäre die Übermittlung der Daten also nicht mehr zulässig.
 
Können Verbraucher weiterhin Dienstleistungen in den USA in Anspruch nehmen?
Michael Kornfeld: Ja. Denn jede Person darf wissentlich ihre eigenen personenbezogenen Daten direkt in ein Drittland senden, zum Beispiel bei der Nutzung einer amerikanischen Website. Es ist jedoch nicht möglich, Daten anderer Personen direkt mit einem US-Anbieter zu teilen, es sei denn, es wurde hierfür deren ausdrückliche Einwilligung eingeholt.
 
Und was ist mit den Standard Contractual Clauses (SCC)?
Michael Kornfeld: Es gibt die Möglichkeit, die Datenübermittlung durch die Verwendung von sogenannter Standard-Vertrags-Klauseln (SCC) zu legitimieren. Das sind im Grunde vertragliche Vereinbarungen auf Basis von akkordierten Vorlagen zwischen einem europäischen Unternehmen und einem amerikanischen Anbieter, in denen sich dieser europäischen Datenschutz-Standards unterwirft. Doch auch die SCC dürften für europäische Unternehmen keine ausreichende Grundlage bieten. Denn europäische Unternehmen dürfen die SCCs nicht einfach unterzeichnen, sondern müssen prüfen, ob diese in der Praxis von dem Anbieter überhaupt eingehalten werden können. Diese Prüfung wird wohl in der Praxis kaum durchführbar sein und die laufende Einhaltung der SCC zu kontrollieren wäre de facto unmöglich.
 
Betrifft das EuGH-Urteil nur den Datentransfer in die USA?
Michael Kornfeld: Ja und Nein. Das EuGH-Urteil bezog sich auf das Privacy Shield-Abkommen und dieses regelte ausschließlich den Datentransfer zwischen der EU und den USA. Doch die grundlegenden Überlegungen dazu gelten für alle Drittländer außerhalb der EU - wie zum Beispiel Russland oder China, deren Datenschutz-Niveau ebenfalls von jenem in der EU abweicht. Die Konsequenz des Urteils ist also: Unternehmen werden das tatsächliche Schutzniveau, das in Nicht-EU-Ländern herrscht, viel genauer als bisher überprüfen müssen. Denn jedes EU-Unternehmen muss prüfen, ob es in dem Drittland Gesetze gibt, die die europäischen Datenschutzbestimmungen außer Kraft setzen können. Falls ja, ist eine Übermittlung nicht ohne weiteres möglich.

Wenn ich nun ein werbetreibendes Unternehmen bin, ist dann nun mein Newsletter davon betroffen?
Michael Kornfeld: Wenn Sie einen amerikanischen Dienstleister einsetzen, dann ja. Denn bei E-Mail Marketing werden zwingend personenbezogene Daten wie die E-Mail-Adresse übertragen. Hier stellt sich einerseits die Frage, ob für einen Newsletter "zwingend notwendig" ein amerikanischer Anbieter eingesetzt werden muss; angesichts der Vielfalt an europäischen Alternativen ist das wohl zu verneinen. Andererseits könnte der Anbieter über SCC datenschutz-rechtliche Garantien abgeben. Wie bereits erklärt ist allerdings mehr als fraglich, ob das eine ausreichende Grundlage für die Datenübermittlung in ein nicht-sicheres Drittland wie den USA darstellen kann.
 
Und was wäre, wenn die Server in Europa stehen?
Michael Kornfeld: Das macht keinen Unterschied. Denn US-amerikanische Behörden haben ja dennoch Zugriff auf die Daten über die verschiedenen Überwachungsgesetze der USA. Wo die Server physisch stehen, spielt dabei weder technisch noch faktisch keine Rolle.
 
Müsste ich sofort mit hohen Strafen rechnen?
Michael Kornfeld: Ich vermute nicht. Das soll kein Freibrief sein, doch auch nach dem Urteil des EuGH zum Safe Harbor-Abkommen agierten die Datenschutzbehörden eher zurückhaltend. Auch nach dem Ende des Privacy Shield ist nicht zu erwarten, dass die Datenschutz-Behörden gleich mit Überprüfungen beginnen und noch weniger, dass bei Verstößen hohe Strafen verhängt werden. Allerdings scharren wohl schon die ersten Abmahnanwälte in den Startlöchern. Und auch Betroffene, also zum Beispiel Newsletter-Empfänger, könnten eine Anzeige bei einer Datenschutz-Behörde überlegen, wenn ihnen klar wird, dass ihre personenbezogenen Daten ohne Zustimmung an einen amerikanischen Dienstleister geschickt wurden. Deshalb sind europäische Unternehmen, die weiterhin unrechtmäßig Daten an US-Empfänger übermitteln, gut beraten, alle solchen Übermittlungen möglichst zeitnah zu überprüfen und gegebenenfalls zu beenden - beziehungsweise sich nach einer rechtlich einwandfreien Alternative umzusehen. Denn die DSGVO sieht ja Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes vor.