Konsequenzen für Unternehmen aus dem EuGH-Urteil zu EU-US-Privacy-Shield und EU-Standardvertragsklauseln – „Schrems II“

RA David Seiler / 23./24.07.2020 – letztes Update: 30.09.2020

Abstract

Der EuGH hat am 16.7.2020 in der Rechtssache C-311/18 ab sofort die Datenübermittlung aus der EU in die USA für datenschutzwidrig erklärt, wenn diese auf das vom EuGH  für ungültig EU-US-Privacy-Shield genannte Datenschutzregelun gestützt wurde. Außerdem hat der EuGH die Datenschutzaufsichtsbehörden aufgefordert, Datenübermittlungen auf der Grundlage von EU-Standardvertragsklauseln zu verbieten, wenn im Zielland diese Klauseln aufgrund der dortigen Gesetze nicht eingehalten werden können. Das ist nach den Argumenten des EuGH in den USA der Fall. Die Auswirkungen des Urteils sind immens, da es einerseits sehr viele Bereiche der Datenverarbeitung betrifft – vom Betriebssystem über Office-Software und Videokonferenzlösungen, Cloudspeicherdienste bis zu Social-Media- und Online-Marketingaktivitäten und andererseits die rechtskonformen Lösungsmöglichkeiten schwer zu finden sind bei gleichzeitig erheblichen Bußgelddrohungen und der Gefahr von Schadensersatzforderungen und Schmerzensgeldklagen. Es besteht also dringender Handlungsbedarf (s.u.) – alle Datenverarbeitungsprozess sind auf US-Bezug zu untersuchen und ggf. anzupassen, zu ändern oder notfalls auch einzustellen! Hintergründe und Details erfahren Sie im nachfolgenden Beitrag.

Update 18.7.2020: Datenschutzaktivisten um dem Kläger im EuGH-Verfahren haben bereits über 101 Beschwerden gegen Unternehmen, die das Urteil bislang ignorieren, bei Datenschutzbehörden eingericht. Siehe Update-Blogbeitrag zum Handlungsbedarf zum Drittlandtransfer auch bei Cookies.

Einleitung

Die Entscheidung des Europäischen Gerichtshofs (EuGH) zu zentralen Fragen der internationalen Datenverarbeitung vom 16.07.2020 zum Aktenzeichen C-311/18 hat für großes Aufsehen gesorgt, da es die Grundfesten der aktuellen Praxis erschüttert. Dabei war das jetzige Urteil, mit dem das EU-US-Privacy-Shield für ungültig erklärt worden ist, nach dem Urteil des EuGH von 2015 zur Ungültigkeit des Safe Harbor Beschlusses („Schrems I“) zu erwarten.

Doch worum geht es und was sind die praktischen Konsequenzen nach dem EuGH-Urteil zur Ungültigkeit des EU-US-Privay-Shields

Die Verarbeitung von Informationen über lebende Menschen (= personenbezogene Daten) ist durch das Datenschutzgrundrecht der EU-Grundrechtscharta geschützt und in der EU-Datenschutzgrundverordnung (DSGVO) konkret geregelt. Dabei wird davon ausgegangen, dass die Verarbeitung von Daten in der EU mit einem angemessenen Datenschutzniveau erfolgt. Dazu gehört insbesondere, dass Daten nur mit einer Rechtsgrundlage verarbeitet werden, Art. 6 DSGVO, und sich betroffene Personen notfalls vor Gericht gegen unrechtmäßige Verarbeitung ihrer Daten wehren können. Bei Ländern außerhalb der EU – sogenannte Drittstaaten bzw. Drittländer – besteht die Grundannahme, dass die Grundrechte der betroffenen Personen gefährdet werden, wenn deren Daten dort verarbeitet werden.

Datenverarbeitung ist dabei als Oberbegriff für den gesamten Lebenszyklus der Daten von deren Erfassung bis zu deren Löschung zu verstehen. Daher ist auch das bloße Speichern von Daten in einer Cloud aber auch das Übermitteln in Form des Einsichtgewährens im Rahmen von Fernwartungszugriffen als Datenverarbeitung von der DSGVO erfasst.

Um nun doch Daten in einem Drittland verarbeiten zu dürfen, muss dort ein angemessenes Datenschutzniveau bestehen. Jemand, ein Unternehmen, der für die Verarbeitung von Daten verantwortlich ist (=Verantwortlicher) muss also in zwei Schritten prüfen, ob er

a) überhaupt die Daten verarbeiten darf und

b) ob er diese in einem Drittstaat verarbeiten (lassen) darf.

Zu den Kriterien für ein angemessenes Datenschutzniveau zählen:

  • Gibt es eine unabhängige Datenschutzaufsichtsbehörde?

  • Gibt es auch für betroffene EU-Bürger ein wirksames und durchsetzbares Recht sowie wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe, um ihre Datenschutzrechte wahrnehmen zu können?

Um diese Prüfung nicht jedem Verantwortlichen zuzumuten hat die EU-Kommission für einige Ländern durch Beschluss das angemessene Datenschutzniveau festgestellt. Zu diesen sicheren Drittstaaten gehören:

  1. Andorra,
  2. Argentinien,
  3. Kanada (nur kommerzielle Organisationen),
  4. Färöer,
  5. Guernsey,
  6. Israel, Isle of Man,
  7. Jersey,
  8. Neuseeland,
  9. Schweiz,
  10. Uruguay,
  11. Japan und
  12. (bis zum 16.07.2020) USA, wenn der Empfänger dem EU-US-Privacy Shield (EU-US-Datenschutzschild) angehört.

Daneben hat die EU-Kommission Musterverträge für andere Staaten bereitgestellt, um auf vertraglichem Wege ausreichende Garantien für ein angemessenes Datenschutzniveau für Verarbeiter im jeweiligen Drittland sicherzustellen. Diese Musterverträge werden Standardvertragsklauseln (SCC) oder auch EU-Model-Clauses genannt.

Der EuGH hat nun entschieden, dass der Beschluss der EU-Kommission zum EU-US-Privacy-Shield ungültig ist. Damit sind alle (nur) darauf gestützten Datenübermittlungen in die USA ab sofort – ohne Übergangsfrist – rechtswidrig. Eine rechtswidrige Datenübermittlung ist angesichts der Sanktionsdrohungen der DSGVO – Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresgesamtumsatzes – aber auch Abmahnungen von Mitbewerbern und Verbänden oder – wie der EuGH in seinem Urteil betont – Schadensersatzforderungen von Betroffenen ein erhebliches unternehmerisches Risiko, um das sich die Unternehmensführung dringend umgehend kümmern muss: eine Bestandsaufnahme ist durchzuführen und Handlungsoptionen sind zu prüfen (s.u.).

Weiter hat der EuGH zwar entschieden, dass die Standardvertragsklauseln nicht per se ungültig sind, aber dass die Datenschutzaufsichtsbehörden das Recht und spätestens wenn eine Beschwerde vorliegt auch die Pflicht haben, zu prüfen, ob der Vertragspartner im Drittland sich aufgrund der nationalen Gesetze, denen er in seinem Sitzland unterliegt, sich überhaupt an die Standardvertragsklauseln halten kann. Wenn das nicht der Fall ist, muss die Datenschutzaufsicht die Datenübermittlung in das Drittland untersagen.

Rn 121 des Urteils.

Nach alledem ist auf die achte Frage zu antworten, dass Art. 58 Abs. 2 Buchst. f und j der DSGVO dahin auszulegen ist, dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt

(Anm: und den hat der EuGH ja gerade für die USA bzw. das Privacy Shield gekippt),

verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung

(Anm.: und die Umstände hat der EuGH ja gerade für die USA dahingehend beurteil, dass keine Angemessenheit vorliegt)

der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 der DSGVO sowie nach der Charta, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet.

Pressemitteilung der LDA Berlin (LDA = Landesdatenschutzaufsicht) dazu:

Die sogenannten Standardvertragsklauseln, die europäische Unternehmen mit Anbietern in Drittländern abschließen können, um das europäische Datenschutzniveau auch in den Drittländern zu wahren, erklärt der EuGH dagegen unter bestimmten Bedingungen für grundsätzlich zulässig. Er betont in diesem Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher verbreitet vertreten, genügt der reine Abschluss von Standardvertragsklauseln nicht, um Datenexporte zu ermöglichen (Rn. 126 ff. des Urteils). … Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.

Für die USA hat der EuGH festgestellt, dass die US-Geheimdienste umfangreiche Überwachungsprogramme wie PRISM (Überwachung des Datenverkehrs bei TK- und Internetprovidern) oder UPSTREAM (Anzapfen des Datenverkehrs von Unterseekabeln) betreiben, bei denen ohne einen konkreten Anlass oder Verdacht gegen einzelne Personen anlasslos und massenhaft auch Daten von EU-Bürgern überwacht werden, ohne dass diese hiergegen (effektive) Rechtsansprüche oder effektive Klagemöglichkeiten hätten. Dies verstößt gegen Datenschutzgrundrechte der EU-Bürger. Mit dieser Begründung wurde das EU-US-Privacy-Shield (bzw. der Beschluss der EU-Kommission) für unwirksam erklärt.

Überträgt man diese Begründung auf die Standardvertragsklauseln, die ja nur zwischen den Vertragsparteien wirken und nicht nationale Sicherheitsgesetze und Geheimdienstmaßnahmen aushebeln können, kommt man zwangsläufig zum Schluss, dass man auch mit den Standardvertragsklauseln mit US-Unternehmen kein angemessenes Datenschutzniveau wird sicherstellen können. Entsprechendes gilt in internationalen Konzernen für Bindung Corporate Rules (BCR). Dies gilt auch dann, wenn man versucht zusätzliche Vertragsklauseln zu vereinbaren. Zum gleichen Ergebnis kann man auch bei anderen Drittländern kommen. Der EuGH konnte das jedoch nicht generell für alle Staaten prüfen und hatte daher auch keinen Anlass, die Standardvertragsklauseln generell für ungültig zu erklären. Statt dessen überläßt er die Beurteilung dem verantwortlichen Datenexporteur und den Aufsichtsbehörden.

Die Datenschutzaufsicht Berlin schreibt in einer Pressemeldung zum EuGH-Urteil:

Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können (Rn. 143 des Urteils). Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Die anderen Aufsichtsbehörden halten sich noch etwas zurück und warten die Abstimmung der Datenschutzaufsichtsbehörden auf europäischer Ebene durch den Europäischen Datenschutzausschuss (EDPB) ab. Dieser hat am 23.07.2020 eine Liste von häufigen Fragen beantwortet (FAQ – Original in englisch – hier FAQ des EDPB zu Schrems II in Deutsch abrufbar).

Das Arbeitsgericht Düsseldorf hat mit Urteil vom 05.03.2020 – Az. 9 Ca 6557/18 einem ehemaligen Mitarbeiter der chinesischen Firma Huawei 5.000 Euro Schadensersatz wegen unvollständiger DSGVO-Auskunft zugesprochen, Art. 15 DSGVO, Art. 82 DSGVO. Die Berufung ist beim Landesarbeitsgericht Düsseldorf anhängig, Az. 14 Sa 294/20. Der Ex-Mitarbeiter macht 12 Monatsgehälter als Schadensersatz geltend (u.a. auch weil seine Daten nach China und Malaysia und damit in unsichere Drittländer exportiert wurden).

Was ist nun zu tun – Umgehende Bestandsaufnahme und Prüfung von Handlungsoptionen

Bestandsaufnahme der Datenübermittlungen in Drittländer (außerhalb EU)

Zunächst ist es wichtig zu verstehen, dass die IT-Industrie US-dominiert ist und mehr noch als beim ersten EuGH-Urteil zur Drittstaatendatenübermittlung (Stichwort Safe Habor – „Schrems I“) immer mehr Datenverarbeitung in „der Cloud“ stattfindet. Auch deutsche und europäische Anbieter greifen für ihre Services vielfach auf US-Unternehmen als Subunternehmer zurück, z.B. auf Amazon Web Service (AWS). Daher sollte man eine komplette Aufstellung aller IT-Dienstleister, mit denen man zusammenarbeitet, machen, einschließlich deren Subunternehmen.

Oft dürften Unternehmen sich nicht darüber im Klaren sein, von wem und wo überhaupt die Leistung, die sie aus dem Netz beziehen, letztendlich bereitgestellt wird, obwohl man datenschutzrechtlich in der Pflicht ist, diese Prozesse zu durchdringen, da man für die Verarbeitung der Daten verantwortlich ist.

Der eine Weg sich Klarheit zu verschaffen ist in den Verträgen nachzulesen. Oft finden sich die erforderlichen Angaben in Pflegeverträgen, in Verträgen zur Auftragsverarbeitung, Art. 28 DSGVO, oder deren Anlagen, z.B. der Anlage Subunternehmer, vgl. Art. 28 Abs. 2 Satz 1, Abs. 4 DSGVO.

Wenn sich daraus nichts ergibt, sollte man unter Verweis auf das EuGH-Urteil die Unternehmen bzw. Dienstleister anschreiben und direkt nach Datenübermittlung in die USA – auch durch etwaige Subunternehmer – fragen. Dies sollte verbunden werden mit der Frage danach, welchen Gesetzen die Dienstleister und deren Subunternehmen in den USA unterliegen: ins. Abschnitt 702 FISA (Foreign Intelligence Surveillance Act) und EO 12333 (Executive Order) und ob die EU-Standardvertragsklauseln und das darin vorgesehene Datenschutzniveau gewährleistet werden kann und betroffene EU-Bürger im Drittland Rechtsschutz genießen und notfalls ihre Datenschutzrechte gerichtlich durchsetzen könnten. Der Kläger des EuGH-Verfahrens, Hr. Schrems, hat Muster-Anschreiben zum Download bereitgestellt.

Betroffen sein kann alles: angefangen vom Betriebssystem über Standard-Office-Produkte wie Office 365 und Microsoft Teams, Videokonferenzsysteme, Webtracking und Cookies, Social-Media-Auftritte bei Facebook etc., Webseiten, Newsletter-Provider, File-Transfer-Dienstleister etc.

Die Bestandsaufnahme sollte eine Liste ergeben mit den Vertragspartnern, den Gesetzen, denen die Vertragspartner im Drittland unterliegen, deren Produkt, Gegenstand des Produktes bzw. der Art der Dienstleistung, Grundlage der Drittstaatenübermittlung (EU-US-Privacy-Shield und/oder Standardvertragsklauseln, BCR etc.) inkl. etwaige Subunternehmer.

Ausgehend davon gilt es etwaige Handlungsoptionen zu sondieren.

Handlungsoptionen nach dem EuGH Urteil zu Schrems II und Privacy Shield

Von einer Handlungsoption ist jedenfalls abzuraten: Abwarten. Nach dem „Schrems I“-Urteil hatten die Aufsichtsbehörden zwar zum Handeln aufgefordert und in einzelnen Fällen auch fünfstellige Bußgelder nach altem Recht verhängt, aber doch mehrheitlich 3-6 Monate – zum Ärger des EuGH – nichts proaktiv unternommen. Parallel wurde dann das Nachfolgeabkommen zu Safe Harbor (der sichere Datenhafen)verhandelt und raus kam das jetzt aufgehobene EU-US-Privacy-Shield.

Da Hintergrund der US-Überwachungsprogramme das hohe Sicherheitsbedürfnis der USA nach den Anschlägen vom 11 September auf das World Trade Center mit den aus Hamburg kommenden Piloten ist, wäre es m.E. naiv anzunehmen, dass gerade unter der Trump-Regierung sich die USA darauf einlassen, ein den EU-Datenschutzgrundrechten entsprechendes Datenschutzniveau mit Klagebefugnissen für EU-Bürger und einer unabhängigen Datenschutzaufsicht einzuführen. Auch wenn die betroffenen US-IT-Unternehmen Lobbyarbeit betreiben werden, um ihre europäischen Kunden nicht zu verlieren, zeigt doch die Erfahrung mit dem Cloud-Act, mit dem sich die US-Sicherheitsdienste auch Zugriff auf Daten, die US-Unternehmen im Ausland speichern, sichert, dass die Sicherheitsinteressen sogar über den wirtschaftlichen Interessen stehen.

Also gilt es rechtliche, technische oder organisatorische Alternativen zu prüfen. Welche das sein könnten, hat – soweit ersichtlich – noch keine Aufsichtsbehörde verlautbart (siehe Update-Beitrag mit Hinweis auf Orientierungshilfe LDA Baden-Württemberg in 2. Auflage vom 7.9.2020). Auch der EDPB schreibt in einen FAQs, dass sie noch am Prüfen wären.

Dass sich m.E. das Problem nicht auf vertragliche Weise lösen lässt, hatte ich bereits ausgeführt. Es gibt in der DSGVO aber auch noch andere Regelungen, auf die sich einen Drittstaatenübermittlung stützen lässt, Art. 49 DSGVO – Ausnahmen für bestimmte Fälle. Jedoch sind das eher Ausnahmen wie die Rechtsdurchsetzung oder Verteidigung, Art. 49 Abs. 1 e) DSGVO, die Erfüllung von Verträgen mit US-Bezug (z.B. Hotel-Buchung in New York), Art. 49 Abs. 1b) DSGVO, oder die eher unpraktikable Einholung von Einwilligungen von allen Betroffenen, Art. 49 ABs. 1a) DSGVO.

Neben dem organisatorischen Aufwand Einwilligungen einzuholen, sind die rechtlichen Hürden für eine wirksame Einwilligung hoch. Um eine wirksame Einwilligung, Art. 7 DSGVO, einzuholen, muss über die Datenverarbeitung an sich, aber auch über das Risiko der Übermittlung in Drittländer mit staatlichen Zugriffmöglichkeiten und ohne angemessene Datenschutzaufsicht und mit unzureichenden Rechtsschutzmöglichkeiten transparent informiert werden. Zudem steht die Einwilligung als Grundlage zur Datenverarbeitung immer unter dem Damoklesschwert der jederzeitigen, freien Widerrufbarkeit.

Der EuGH stellt dann in Randnummer 140 fest, dass der Verantwortliche zu einer Aussetzung der Datenübermittlung oder zum Rücktritt vom Vertrag verpflichtet ist, wenn der Empfänger der Daten, also der Vertragspartner in den USA, nicht oder nicht mehr in der Lage ist, die Standardvertragsklauseln einzuhalten. Entsprechendes gilt natürlich auch, wenn die Übermittlung nur auf das ungültige EU-US-Privacy-Shild gestützt wurde. Wer gleichwohl weiterhin Daten in unsichere Drittländer übermittelt, z.B. auf der Grundlage von Standardvertragsklauseln, soll dies seiner zuständigen Datenschutzaufsichtsbehörde nach Ansicht des Europäischen Datenschutzausschusses anzeigen. Eine Rechtsgrundlage für die Selbstanzeigepflicht nennt der EDPB  zwar nicht, aber könnte nach die Meldepflicht bei Datenpannen, Art. 33 DSGVO, denken.

Realistischer erscheint mir, dass sich die US-IT-Industrie bewegt, so wie Microsoft zum Teil schon bei der Auseinandersetzung mit der Regierung um Herausgabe von E-Mails aus einem Rechenzentrum von Microsoft in Irland gemacht hat. Man gründet Tochtergesellschaften in der EU oder verlagert die Datenverarbeitung auf IT-Dienstleister in der EU (z.B. T-Systems als Datentreuhänder). Update: siehe Spiegel-Artikel vom 17.08.2020: Digitaler Stacheldraht

Update 07.09.2020: Laut dem Kläger in dem Verfahren und Datenschutzaktivisten Schrems bei einer Anhörung im Europäischen Parlament habe sich die US-IT-Industrie dahingehen geäußert, dass sie das Urteil ignorieren wolle, weil sie ohnehin nicht annehme, dass die Europäische Datenschutzaufsicht das Urteil durchsetzen und Bußgelder verhängen werden. Zum einen würde ich diese Wette nicht eingehen. So hat der Europäische Datenschutzausschuss bereits am 02.09.2020 eine Taskforce eingesetzt, um die von der Datenschutzorganisation des Klägers, Noyby, eingerichten 101 Beschwerden wegen Datenschutzverstoß in Folge der Schrems II-Entscheidung zu überprüfen. Zum anderen gibt es außer den Aufsichtsbehörden noch andere Akteure, z.B. Bürger oder Datenschutzverbände, die Klage und Schadensersatz fordern können. Z.B. hatte ein Vater gegen den Online-Unterricht mittels US-Videokonferenz-Software geklagt, vgl. VG Berlin, Urteil vom 26.06.2020, Az. 3 L 163/20.  Neben Unterlassungsklagen kommen auch Klagen auf Auskunftserteilung und Schadensersatz und zwar sowohl Ersatz von materiellen wie auch von immateriellen Schadenersatz (auch Schmerzensgeld genannt) in Betracht. Die Daumenschrauben können also von verschiedenen Seiten angezogen werden.

Update 30.09.2020: Nachdem die irische Datenschutzaufsicht Facebook Irland mitgeteilt hat, dass diese sich auch nicht mehr auf EU-Standardvertragsklauseln zur Datenübermittlung an Facebook USA berufen könne, argumentiert Facebook einerseits damit, dass die Datenübermittlung zur Vertragserfüllung notwendig sei, also durch Art. 49 DSGVO gerechtfertig wäre. Zum anderen droht Facebook in einem Schreiben an den High Court in Dublin damit, wenn es keine Daten mehr von EU-Bürgern rechtskonform in die USA transferieren könne, sein Geschäft (Facebook, Instagram …) in Europa einzustellen.

Aufsichtsbehörden schlagen m.E, ebenfalls naiv vor, zu europäischen Anbietern zu wechseln. Zum einen gibt es nicht für jedes IT-Dienstleistungsangebot eine gleichwertige europäische Alternative. Zum anderen ist es zeitaufwändig ein IT-System durch ein anderes abzulösen. Migrationsprozesse lassen sich nicht auf Knopfdruck von einem auf den anderen Tag umsetzen.

Das bedeutet nicht, dass man sich nicht sowohl seitens der europäischen IT-Dienstleister als auch seitens der europäischen Kunden auf den Weg machen sollte. Ich hatte aber bereits nach dem ersten Urteil vor fünf Jahren geschrieben, dass es ein Weckruf an die hiesige IT-Industrie ist und sich Marktchancen ergeben (europäischer Datenschutz kann zum Werbewert werden), und wer stattdessen auf Standardvertragsklauseln setzt, auf juristischem Treibsand baut. Der (Leidens-)Druck war damals aber wohl noch nicht groß genug oder die Möglichkeiten haben gefehlt.

Eine Alternative bleibt noch: Die Daten mit sicheren Tools gut zu verschlüsseln. Dann aber bitte nicht mit US-Tools, denn diese haben mit hoher Wahrscheinlichkeit einen Nachschlüssel für US-Geheimdienste. Allerdings funktioniert diese Alternative nur mit Diensten, die nicht aktiv mit den Daten arbeiten müssen, sich also primär auf die Speicherung beschränken. Dazu muss man aber ohnehin nicht in die USA ausweichen.

Beispiel für eine Bestandsaufnahme bei Webseite und Handlungsoptionen

  1. Google – Google Analytics – Webseitenerfolgsmessen

  2. Google – Google Maps – Karten u. Routenplanung

  3. Google – YouTube – Videoplattform

  4. Google – reCAPTCHA – Sicherheitsabfragen zum Spam-Schutz

  5. Google – Google Fonts – Schriften für Webseiten

ToDos: Erforderlichkeit bzw. Verzicht prüfen

zu 1. Alternative: local installierte Anwendung „Matomo“

zu 2. Open Street Maps oder Link zu Google erst nach Einwilligung freischalten

zu 3. Standbild einbinden und Link zu Google erst nach Einwilligung freischalten

zu 4. ggf. Alternativen testen oder oder Link zu Google erst nach Einwilligung freischalten

zu 5. Schriften auf eigenem Server speichern und vom dort aus abrufen

Rechtsanwalt David Seiler, 24.07.2020

berät bundesweit zu Datenschutzfragen und ist Lehrbeauftragter für IT-Security-Law und Gründungsgesellschafter der dpc Data Protection Consulting GmbH

www.ds-law.eu

Update 18.08.2020: heute ist meine Urteilsbesprechung im Juris Praxisreport Bank- und Kapitalmarktrecht erschienen:

EU-US-Privacy-Shield ungültig und Standardvertragsklauseln nur mit Einzelfallprüfung – zugleich Anm. zu EuGH, Urt. v. 16.07.2020 – C-311/18 | EuGH v. 16.07.2020 – C-311/18 | jurisPR-BKR 8/2020 Anm. 1

Quellen und Positionen einiger Datenschutzaufsichtsbehörden zum EuGH Urteil Schrems II, EU-US-Privay-Shield und Standardvertragsklauseln

Pressemeldung des Europäischen Gerichtshofs vom 16.7.2020

EuGH-Urteil C-311/18 vom 16.7.2020

Standard-Datenschutzklauseln der EU-Kommission

Pressemitteilung der DSK = Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.07.2020

  1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. …
  2. …. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
  3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt.
  4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.Anm. DS-Law gemeint ist: Leitlinie 2/2018 – zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 – angenommen am 25.05.2018
  5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

LDA Hamburg

Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und -importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen….Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau wird es daher künftig nicht mehr geben dürfen. Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen.

LDA Rheinland-Pfalz

Paukenschlag: EuGH schreddert den Privacy Shield

FAQ LDA Rheinland-Pfalz: FAQs zum EuGH-Urteil C-311/18 vom 16.7.2020

LDA Thüringen

Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.