EuGH-Urteil zum EU-US Privacy Shield: Hilfe für Unternehmen?

Wie wir bereits berichtet haben, hat der Europäische Gerichtshof (EuGH) sein Urteil zum EU-US Privacy Shield getroffen. Was nun in Ihrem Unternehmen zu tun ist, wollen wir Ihnen nachfolgend zeigen.

Die neue Ausgangslage nach dem Urteil

Mangels EU-US Privacy Shields und damit auch mangels eines Angemessenheitsbeschlusses (siehe Art. 45 DSGVO) ist zunächst die nun vorliegende Situation hinsichtlich des Datenschutzes zu betrachten. Die Datenübermittlung an bestimmte, in den USA sitzende Unternehmen gilt nun nicht mehr als gesichert, wenn und soweit sie auf dem nun vom EuGH für ungültig erklärten Privacy Shield beruhte. Betroffene Personen könnten daher rechtlich dagegen vorgehen. Daneben ist es auch möglich, dass Datenschutzaufsichtsbehörden Bußgelder für diese nun unrechtmäßige Datenübermittlung verhängen.

Um diesen Szenarien zu entgehen, sollten Unternehmen schnellstmöglich handeln und die nachfolgenden Schritte konsequent verfolgen.

Analyse der Datenübermittlungen

Zunächst ist festzustellen, dass eine Vielzahl von Datenverarbeitungsvorgängen von der Entscheidung betroffen ist. Darunter fallen nämlich alle, bei denen eine Datenübermittlung in die USA erfolgt. Denn „Datenverarbeitung“ ist der Oberbegriff für jeglichen Umgang mit personenbezogenen Daten – von deren Erhebung bis zur Löschung. Umfasst sind neben der Übermittlung auch die bloße Speicherung und die Einsichtsgewährung. Typischer Fall hiervon sind (Fern-)Wartungszugänge bei 24/7-Pflegeverträgen.

Nachdem nun geklärt ist, wonach zu suchen ist, ist die Frage zu beantworten, wie sich diese Datenübermittlungsvorgänge auffinden lassen. Dies kann entweder mittels des Verzeichnisses von Verarbeitungstätigkeiten erfolgen, wobei es hinsichtlich Datenübermittlungsvorgängen in die USA überprüft wird. Oder man nimmt eine Liste aller IT-Dienstleister zur Hand (z. B. Cloud-Provider; Werbetracking-Anbieter; E-Mail-Provider oder Newsletter-Dienstleister).

Wichtig: Hierbei dürfen nicht-US-amerikanische Unternehmen nicht unbeachtet bleiben. Viele europäische und deutsche Unternehmen ziehen zur Erbringung ihrer Leistung US-Unternehmen als Subdienstleister heran (meist zu finden in der Anlage „Subunternehmer“ bei Verträgen zur Auftragsverarbeitung).

Sodann ist in den Verträgen, speziell in Wartungs- bzw. Pflegeverträgen und Verträgen zur Auftragsverarbeitung nach den Stichworten „EU-US Privacy Shield“ und „SCC“ (= Standard Contractual Clauses) oder „EU-Standarddatenschutzklauseln“ zu suchen.

Im Anschluss ist nach der Rechtfertigung für den Transfer der Daten in Drittländer (= Staaten außerhalb der EU) zu suchen. Ist dies der EU-US Privacy Shield, so besteht dringender Handlungsbedarf.

Einsetzen von alternativen Rechtsgrundlagen

Nach der Identifizierung der betroffenen Datenübermittlungsvorgänge ist im nächsten Schritt nach einer anderen Grundlage dafür zu suchen und der Privacy Shield zu ersetzen.

Stellen, die personenbezogene Daten ohne einen Angemessenheitsbeschluss an die USA weitergeben wollen, müssen bestimmte Voraussetzungen aufweisen können (Art. 46 Abs. 1 DSGVO). Zum einen bedarf es geeigneter Garantien für die Sicherheit der Daten, zum anderen durchsetzbarer Rechte und wirksamer Rechtsbehelfe für die betroffenen Personen.

Die sogenannten geeigneten Garantien sind in Art. 46 Abs. 2 DSGVO aufgezählt. Danach können mögliche Abhilfen etwa verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules, Art. 46 Abs. 2 lit. b), Art. 47 DSGVO) oder Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c), d) DSGVO) sein.

Im Falle der USA können diese vertraglichen Regelungen jedoch nicht das US-Recht wettmachen, welches zur Ungültigkeit der Safe Harbor-Regelung und des EU-US Privacy Shields geführt hat.

Realistisch gesehen bleiben daher nur die folgenden Möglichkeiten:

  • US-Unternehmen gründen Tochter-Unternehmen mit Serverstandort in der EU,
  • EU-Unternehmen wechseln den Dienstleister oder
  • sie holen sich nach einer ausführlichen Risikoaufklärung die Einwilligung der betroffenen Personen zum Datentransfer ein.

Unrealistisch ist es, darauf zu hoffen, dass sich die Datenschutzrechtslage in den USA derartig ändert, sodass diese den EU-Datenschutzgrundrechten entspricht.

Standarddatenschutzklauseln

Im Folgenden werden ausschließlich die sogenannten EU-Standarddatenschutzklauseln (SDK, engl.: SCC oder auch Model-Clauses genannt) behandelt, da diese ebenfalls Bestandteil des Urteils des EuGH waren und die meist verbreitete Alternative zum Datentransfer darstellen.

SDK sind von der Europäischen Kommission entworfene Muster-Vertragsvorschriften für eine Vereinbarung zwischen dem Datenexporteur und dem -empfänger. Für deren Verwendung sind zusätzlich die vertraglichen Regelungen sowie die maßgeblichen Elemente der Rechtsordnung des Drittlandes zu überprüfen (hier liegt das Problem bei den USA).

Jedoch gewähren die SDK eben keine vollständige Abdeckung jeglicher Gefahren, wie beispielsweise den Zugriff von Drittlands-Behörden auf die Daten. Dies ergibt sich jedoch bereits aus der Bezeichnung “Standard”-Datenschutzklauseln – sie sind individuell erweiterbar. Daher unterscheidet der EuGH zwischen solchen SDK, die den erforderlichen Datenschutz bereits realisieren, und solchen, die in dem rohen Zustand noch Eingriffe in die personenbezogenen Daten ermöglichen.

Zwar können diese Klauseln individuell erweitert werden (dies ist auch notwendig, da nach Ansicht des EuGHs der EU-Unternehmer in der Pflicht steht, im Zusammenhang mit jeder Datenübermittlung auf Basis der SDK deren Geeignetheit oder nötige Erweiterung zu prüfen), jedoch kann selbst diese Maßnahme im Ergebnis nicht dazu führen, dass etwa die Überwachung verhindert wird oder geeignete Rechtsbehelfe für betroffene Personen eingerichtet werden. Zudem ist problematisch, dass solche Anpassungen der Klauseln wiederum von der anderen Partei genehmigt werden müssten (was wohl kaum der Fall sein würde).

Ausnahmetatbestände, Art. 49 DSGVO

Ein Blick in Art. 49 DSGVO lohnt sich: Dort finden sich Ausnahmetatbestände, bei deren Vorliegen keine anderweitige Übermittlungsgrundlage vorliegen muss. Besonders praktisch relevant ist die für Vertragserfüllung erforderliche Übermittlung (Art. 49 Abs. 1 S. 1 lit. b) DSGVO).

Resümee

Das Urteil des EuGH wird für Viele keine Überraschung gewesen sein. Hinsichtlich des Inhalts des Privacy Shields ähnelt dieser so stark dem Vorgänger Safe Harbor, dass es nur eine Frage der Zeit war, ehe auch dieses Konstrukt gekippt wird. Für die datenschutzrechtliche Praxis wirft das Urteil jedoch nur noch mehr Probleme auf. Unternehmen stehen vor der Frage, auf welcher Basis sie nun rechtskonform Daten übermitteln können. Zwar äußerte sich der EuGH positiv bezüglich der Standarddatenschutzklauseln, jedoch zeigt die praktische Beleuchtung dieser, dass darauf nicht gebaut werden kann.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.