EuGH erklärt Privacy Shield für ungültig

Eigentlich sollte er für Rechtssicherheit sorgen und Unternehmen die problemlose Nutzung US-amerikanischer Cloud-Dienste ermöglichen: der EU-US Privacy Shield. Die im Jahr 2016 ausgehandelte Datenschutzvereinbarung zwischen der Europäischen Union und den USA regelte, wie Unternehmen in Übersee die Daten von Deutschen und anderen EU-Bürgern verarbeiten dürfen. Der Privatsphäre-Schutzschirm sollte sicherstellen, dass für Daten von EU-Bürgern in den Vereinigten Staaten ein ähnliches Schutzniveau gilt wie in der Europäischen Union.

Der Europäische Gerichtshof (EuGH) hat den EU-US Privacy Shield nun aber für ungültig erklärt: Laut den Luxemburger Richtern erfüllt das Übereinkommen nicht die Anforderungen an einen dem Recht der EU gleichwertigen Datenschutz. Das Urteil hinterlässt eine juristische Lücke - und viele Unternehmen in der EU bleiben ratlos zurück. Denn die Nutzung US-amerikanischer Dienstleister gehört in vielen Bereichen zum Standard.

Der Privacy Shield regelte bislang den Umgang mit personenbezogenen Daten, also etwa Nutzerinformationen, wie sie soziale Netzwerke sammeln. Personenbezogene Daten können Namen oder IP-Adressen von Nutzern sein. Rund 5000 Unternehmen berufen sich momentan bei ihren Datenübertragungen in die USA auf den Privacy Shield. So ermöglichte das Datenschutzübereinkommen zum Beispiel, dass Firmen Daten zwischen mehreren Standorten und Rechen­zen­tren austauschen können.

In den USA dürfen nicht nur Unternehmen ihre gespeicherten Daten nutzen - auch die Behörden behalten sich das Recht vor, jederzeit darauf zuzugreifen. So sind Unternehmen verpflichtet, Geheimdiensten und Behörden wie der NSA oder dem FBI Zugriff auf die Daten ausländischer Nutzer zu gewähren. Da die US-Behörden den Erfordernissen der nationalen Sicherheit und der Einhaltung des amerikanischen Rechts stets Vorrang einräumen, ermöglicht dies laut EuGH einen Eingriff in die Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt werden.

Die Entscheidung über den Privacy Shield ist das Ergebnis eines jahrelangen Rechtsstreits zwischen dem österreichischen Datenschützer Max Schrems und dem sozialen Netzwerk Facebook. Schrems hatte sich schon 2013 bei der irischen Datenschutzbehörde darüber beschwert, dass Facebook Nutzerdaten in den USA verarbeitet. Als Begründung führte er an, dass die US-Gesetze keinen ausreichenden Schutz für Nutzerdaten bieten. Nachdem der EuGH bereits 2015 den sogenannten Safe-Harbor-Beschluss, den Vorgänger des Privacy Shield, für ungültig erklärt hatte, kippte er nun Mitte Juli auch den Privacy Shield.

Auch weiterhin dürfen Unternehmen in den USA Daten aus Europa verarbeiten. So gibt es Fälle, in denen das auch gar nicht anders möglich ist, zum Beispiel wenn man eine E-Mail in die USA versendet oder wenn man in einem US-Online-Shop einkauft. Geht es jedoch um pesonenbezogene Daten von EU-Unternehmen, die diese in den USA verarbeiten, dann besteht für die Unternehmen Handlungsbedarf, wenn sie sich bislang auf die Regelungen des Privacy Shield beriefen.

Als Alternative zum Privacy Shield können Unternehmen auch die sogenannten Standardvertragsklauseln (Standard Contractual Clauses, SCCs) nutzen. Der Europäische Gerichtshof hat in seinem Urteil über den Privacy Shield die Möglichkeit offen gelassen, über die SCCs Daten mit den USA auszutauschen.

Es handelt sich bei den SSCs um standar­disierte Vertragsklauseln, die in Verein­barungen zwischen Unternehmen und Dienstleistern Anwendung finden und sicherstellen sollen, dass personenbezogene Daten, die die EU verlassen, unter Einhaltung der europäischen Datenschutzgesetze übertragen und verarbeitet werden. Die Standardvertragsklauseln wurden von der Europäischen Kommission verabschiedet und enthalten Regelungen, die ihrer Einschätzung nach angemessene Garantien bei der Übermittlung personenbezogener Daten in Drittländer gewährleisten.

Der Europäische Gerichtshof hebt in seinem Privacy-Shield-Urteil jedoch hervor, dass bei Nutzung der Standardvertragsklauseln sowohl vom Datenexporteur als auch vom Empfänger der Daten vorab zu prüfen ist, ob das erforderliche Schutzniveau im betreffenden Drittland außerhalb der Europäischen Union eingehalten wird. Der Empfänger der Daten hat dem Datenexporteur gegebenenfalls mitzuteilen, dass er die Standardvertragsklauseln nicht einhalten kann - woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Durch das Urteil haben die USA ihre Sonderstellung in Sachen Datenverarbeitung verloren - die Übermittlung personenbezogener Daten nach Übersee muss nun genauso akribisch geprüft werden wie bei anderen Drittländern außerhalb der Europäischen Union. Unternehmen, die bei der Datenübermittlung in die Vereinigten Staaten bislang auf den Privacy Shield setzten, sollten schnellstmöglich ihre Verträge mit Dienstleistern überarbeiten und auf die Standardvertragsklauseln umstellen. Es ist davon auszugehen, dass die Datenschutzbehörden eine gewisse Schonfrist gewähren und Unternehmen etwas Zeit geben, entsprechend zu handeln - und von Strafen erst einmal absehen, wenn man sich noch auf den Privacy Shield beruft.

Ob sich die EU und die USA zusammensetzen und es nach Safe Harbor und Privacy Shield mit einem dritten Übereinkommen probieren, ist unklar. Aber selbst wenn - bis es so weit ist, dürften Jahre vergehen. Aus wirtschaftlichen Gründen haben beide Seiten zwar sicher großes Interesse an einem solchen Abkommen, fraglich ist aber, ob die USA auf das Recht verzichten, auf Nutzerdaten aus der alten Welt zugreifen zu können.

Das Urteil ist gefallen - der EU-US Privacy Shield ist ungültig. Und nun? com! professional spricht mit Oliver Süme, Fach­anwalt für IT-Recht und Partner der interna­tionalen Wirtschaftskanzlei Fieldfisher. Er berät Unternehmen und Konzerne zu Fragen des internationalen Datenschutzes. Darüber hinaus ist er Vorstandsvorsitzender von eco - Verband der Internetwirtschaft.

com! professional: Herr Süme, heißt das jetzt, dass keine Daten mehr aus der EU in die USA fließen dürfen?

Oliver Süme: Nein, das heißt es nicht grundsätzlich. Mit dem EU-US  Privacy Shield wurde zwar eine wichtige Rechtsgrundlage mit sofortiger Wirkung für ungültig erklärt, da die dort vorgesehenen Schutzmechanismen angesichts der sehr weitreichenden Zugriffsmöglichkeiten von US-Sicherheitsbehörden auf Daten von EU-Bürgern kein angemessenes Schutz­niveau ermöglichen. Allerdings kennt die DSGVO auch weitere Rechtsgrundlagen für den internationalen Datentransfer, sodass auch weiterhin Daten in die USA fließen können.

Süme: Ja, die SCCs können grundsätzlich weiter genutzt werden. Allerdings hat der Europäische Gerichtshof auch klargestellt, dass bei Nutzung der SCCs zuerst geprüft werden muss, ob ein ausreichendes Datenschutzniveau im Zielland besteht, und, sofern dies nicht der Fall ist, zusätzliche Schutzmaßnahmen im Vertrag zu dokumentieren sind. Bei der Prüfung des Datenschutzniveaus sind insbesondere die Befugnisse der Sicherheitsbehörden zu berücksichtigen, die in den USA aufgrund des „Foreign Intelligence Surveillance Act“, der die Auslandsaufklärung und Spionageabwehr regelt, ohne Frage problematisch sind.

Nun können zusätzliche Schutzmaßnahmen zwischen zwei Vertragsparteien solche Sicherheitsgesetze natürlich nicht aushebeln. Aber mit vertraglichen Zusatzregelungen, zum Beispiel über Beschränkungen der übertragenen Datenkategorien, Zugriffsrechte des Datenimporteurs oder strenge Löschfristen, können auch insoweit die Risiken minimiert werden. Mit solchen Vertragszusätzen bleiben die Standardvertragsklauseln  auch weiterhin eine Option. Was dabei genau geregelt werden muss, hängt natürlich stark vom Einzelfall ab.

Süme: Unternehmen müssen jetzt umgehend damit beginnen, ihre internationalen Datenverarbeitungsprozesse an das EuGH-Urteil anzupassen. Wer bisher das Privacy-Shield-Abkommen genutzt hat, muss sofort auf eine andere Rechtsgrundlage umstellen, da es keine Übergangsfristen gibt. Wer bereits jetzt die SCCs als Rechtsgrundlage nutzt, muss prüfen, ob und was für zusätzliche Schutzmechanismen erforderlich sind, und diese vertraglich dokumentieren. Das gilt übrigens nicht nur für den Datentransfer in die USA, gerade bei Ländern wie Indien, Russland oder China sollte man genau hinsehen und das dortige Datenschutzniveau auf Zugriffsrechte von Sicherheitsbehörden hin prüfen.

com! professional: Muss ich als Unternehmen mit Geldbußen rechnen, wenn ich nicht schnellstmöglich etwa auf die Standardvertragsklauseln umstelle?

Süme: Je mehr man jetzt in Schockstarre verharrt, desto größer das Bußgeldrisiko. Auch die Aufsichtsbehörden wissen aber, dass nicht von heute auf morgen vom Privacy Shield auf die Standardvertragsklauseln umgestellt werden kann. Trotzdem sollte man dokumentieren, dass man sich frühzeitig nach dem Urteil damit auseinandergesetzt und einen Umstellungsprozess eingeleitet hat. Es ist nur eine Frage der Zeit, bis die ersten Schreiben mit Fragebögen der Aufsichtsbehörden bei den Unternehmen eingehen werden.

com! professional: Was raten Sie  Unternehmen - ist es nicht generell sinnvoller, auf eine Datenverarbeitung in den USA zu verzichten?

Süme: Das hängt sehr stark vom Geschäftsmodell und der Internationalität eines Unternehmens ab. Während für eher national oder europäisch aufgestellte Unternehmen ein Verzicht auf die Datenverarbeitung in den USA eine Option sein kann, kommen multinationale Unternehmen oft gar nicht darum herum. Prinzipiell ist man aber sicher gut beraten, zu prüfen, ob nicht europäische Anbieter eine Alternative darstellen können.