Der Europäische Gerichtshof (EuGH) hat die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. Eine Alternative ist nicht in Sicht. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten und dazu auf US-Dienstleister zurückgreifen, finden sich plötzlich in einer rechtlich schwierigen Lage wieder. In diesem Artikel erklärt Jan Tißler, wie es dazu kam und was Sie jetzt tun können.
Bitte beachten Sie: Dieser Artikel stellt keine Rechtsberatung dar. Er fasst aktuelle Meinungen und Aussagen zusammen. Nur ein Anwalt kann Ihnen eine fachliche Auskunft geben. Wir haben diesen Beitrag zuletzt am 26. August 2020 aktualisiert.
Inhaltsverzeichnis
Was Privacy Shield war und warum es nun ungültig ist
Einerseits hat sich die EU auf die Fahnen geschrieben, die personenbezogenen Daten ihrer Bürgerinnen und Bürger zu schützen. Andererseits wird der Markt digitaler Dienste von Unternehmen aus den USA beherrscht. Und in den Vereinigten Staaten herrscht eine umfassende Überwachung des Internetverkehrs, teils ohne dass dazu ein Richter eine Erlaubnis geben müsste. So haben es nicht zuletzt die Enthüllungen von Edward Snowden gezeigt. Zugleich haben EU-Bürger in vielen Fällen keine rechtliche Handhabe dagegen.
Unter dem Namen „Safe Harbor“ gab es ein erstes Abkommen mit den USA, das ein der EU vergleichbares Datenschutzniveau garantieren sollte. Das wurde 2015 vom Europäischen Gerichtshof gekippt, da die behauptete Wirkung des Safe Harbor in starkem Konflikt mit der Wirklichkeit stand. Ausgelöst hatte dieses Urteil der Anwalt und Datenschutz-Aktivist Max Schrems aus Österreich.
Der eilig aufgestellte Ersatz „Privacy Shield“ wurde von Anfang an kritisiert. Das Abkommen hatte weiterhin Schwächen, die bereits Safe Harbor zu Fall brachten. Auch hier war es nun Max Schrems, der erfolgreich dagegen klagte. Sein Ausgangspunkt war, dass er es für unrechtmäßig hielt, dass Facebooks Außenstelle in Irland die Daten der Nutzer an das Hauptquartier in den USA weitergab.
Die Idee des Privacy Shield war es dabei, EU-Unternehmen die Nutzung von US-Anbietern mit geringem bürokratischem Aufwand zu ermöglichen. Es war sozusagen der Persilschein, den man stets vorzeigen konnte: Hatte ein amerikanischer Dienstleister erklärt, das Privacy Shield zu beachten, konnte man das als Zeichen werten, dass dieses Unternehmen die personenbezogenen Daten von EU-Bürgern verarbeiten darf.
In feinstem Juristen-Deutsch kommt der EuGH in seiner offiziellen Mitteilung zum Urteil zu dem Schluss …:
„… dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.“
Mit anderen Worten: Die EU-Komission behauptete zwar, dass dank Privacy Shield ein angemessenes Datenschutzniveau existiere. Der EuGH sieht das aber als nicht gegeben an. Damit ist die Grundlage der gesamten Regelung weg. Das Kartenhaus fällt zusammen.
Experten halten es zugleich für unwahrscheinlich, dass wir bald einen weiteren Nachfolger sehen werden. Das hat allein schon mit der politischen Lage in den USA zu tun. Insofern finden sich alle betroffenen Unternehmen jetzt in einem rechtlichen Niemandsland wieder.
Was ist jetzt zu tun? Interview mit Rechtsanwalt Dr. Carsten Ulbricht
Weiter unten lesen Sie, was Sie jetzt tun können und müssen. Wenn Sie lieber ein Video anschauen möchten: Wir haben uns am 20. August 2020 mit dem Rechtsanwalt Dr. Carsten Ulbricht zum Thema unterhalten.
Hier die Highlights aus dem Gespräch (12:41 min):
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Komplette Aufzeichnung und werbefreies Highlights-Video
Abonnenten von UPLOAD Magazin Plus können sich die komplette Aufzeichnung ansehen und bekommen eine werbefreie Version des Highlights-Videos.
Falls Sie Abonnent sind, melden Sie sich in Ihrem Konto an und kommen Sie auf diesen Artikel zurück. Sie müssen die Seite eventuell neu laden.
Ihre Optionen auf einen Blick
Im ersten Schritt sollten Unternehmen alle Hinweise auf das Privacy Shield aus ihren Datenschutzerklärungen entfernen. Denn ansonsten berufen Sie sich auf eine Vereinbarung, die für ungültig erklärt wurde. Natürlich reicht dieser Schritt nicht aus, denn Sie müssen nun einen Ersatz finden.
Wie das aussehen kann, ist allerdings nicht immer ganz klar. Dr. Carsten Ulbricht hat dazu in einem Artikel eine nützliche Grafik veröffentlicht.
Ihre Optionen:
Die Sache mit den Vertragsklauseln
Als ein potenzieller Ausweg werden die Standardvertragsklauseln angesehen. Denn die hat das EuGH nicht sofort für ungültig erklärt. Das müssen Sie dann also mit jedem einzelnen Anbieter abklären. Eventuell sind diese Klauseln bereits vorhanden, eventuell müssen sie noch ergänzt werden.
Das grundlegende Problem ist allerdings, dass letztlich auch diese Standardvertragsklauseln nichts daran ändern, dass die USA nicht mehr als „sicheres Drittland“ für die personenbezogenen Daten von EU-Bürgern angesehen werden. Wie Christian Schmidt, Fachanwalt für Internetrecht und Datenschutz und Partner der Kanzlei Schmidt & Schmidt in einer Pressemitteilung erklärt: „Wenn bereits das Abkommen als ungültig angesehen wird, würde auch die Überprüfung der Einhaltung vertraglicher Klauseln am Ende zum Verbot führen müssen.“
Zugleich haben die EuGH-Richter darauf hingewiesen, dass Sie als Unternehmer nun in der Pflicht sind, das Datenschutzniveau zu überprüfen. Es reicht also nicht, die Vertragsklauseln aufzunehmen und sich zurückzulehnen. Sie sind kein Persilschein wie es das Privacy Shield war.
Rechtsanwalt Dr. Thomas Schwenke empfiehlt deshalb, den fraglichen US-Dienstleistern diesen Fragebogen zukommen zu lassen. „Wenn die Fragen positiv beantwortet werden, dann können Sie nachweisen, zumindest aktiv auf die Unwirksamkeit des Privacy Shields reagiert zu haben“, schreibt er in seiner Einschätzung. Aber natürlich müssen Sie ebenfalls damit rechnen, nur vage Antworten oder gar negative Antworten zurück zu bekommen.
In unserem Interview (siehe oben) geht Rechtsanwalt Dr. Carsten Ulbricht davon aus, dass die Vertragsklauseln vorerst sicher sein sollten.
Artikel 49 der DSGVO
Der Artikel 49 der Datenschutz-Grundverordnung (DSGVO) sieht einige Ausnahmen vor, damit Daten eben doch in ein Drittland übertragen werden können. Manche sehen darin ein potenzielles Schlupfloch. Andere warnen allerdings davor, dass diese Ausnahmen nur in streng begrenzten Ausnahmefällen zum Einsatz kommen können.
Ein Beispiel dafür ist der erste Punkt des Artikel 49. Demnach ist eine Datenübertragung zulässig, sofern gilt:
„… die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde“
Dr. Thomas Schwenke spekuliert, dass sich diese Einwilligung eventuell innerhalb eines sowieso bereits vorhandenen Cookie-Banners einholen ließe. Bei ihm sieht das aktuell so aus:
Natürlich stellt sich hier die Frage, wie viele Nutzer sich das a) wirklich durchlesen und dann b) zu dem Schluss kommen, dass sie dem zustimmen möchten.
Und Dr. Thomas Schwenke weist außerdem darauf hin, dass diese Einwilligung als unwirksam angesehen werden könnte. Denn es ist gut möglich, dass man als Nutzer gar nicht auf diese simple Weise eine so weitreichende Zustimmung geben kann.
Dr. Carsten Ulbricht wiederum sieht das nicht zwingend als Problem. Er geht eher davon aus, dass so ein ellenlanges Cookiebanner mit all seinen abschreckenden Erklärungen von den meisten Nutzern abgelehnt würde.
Aktiv nach Alternativen suchen
Ein Hinweis aus dem Zitat von Dr. Thomas Schwenke oben ist noch beachtenswert: Es ist nach seiner Ansicht wichtig, dass Sie im Zweifel nachweisen können, auf die geänderte Lage reagiert zu haben. Sollte also eine Datenschutzbehörde bei Ihnen anklopfen, ist es demnach auf jeden Fall eine gute Idee, wenn Sie nachweislich nach Alternativen und Auswegen gesucht haben. Schon allein deshalb kann es sich lohnen, den oben genannten Fragebogen zu verschicken. Und es kann sinnvoll sein, sich nach anderen Anbietern umzuschauen.
Auch kann es ein Weg sein, bei US-Anbietern sicherzustellen, dass die Daten auf Servern in der EU verarbeitet werden. Aber auch das gilt nicht als hundertprozentig sicherer Ausweg.
So stellte es beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Pressemitteilung klar:
„Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
Rechtsanwältin Ulrike Berger beruhigt in ihrem Beitrag, dass „niemand fürchten muss, dass nächste Woche die zuständige Aufsichtsbehörde vor der Türe steht und alle Datenübermittlungen in die USA untersagen wird.“ Denn dieses Recht hätten sie durchaus. Auch empfindliche Bußgelder könnten theoretisch verhängt werden.
So ganz beschwichtigen will aber auch Ulrike Berger nicht, weil es „Datenübermittlungen in die USA geben kann, bei denen das geforderte Schutzniveau, insbesondere das Recht auf wirksamen gerichtlichen Rechtsschutz für Nicht-US-Bürger nicht gegeben ist, etwa bei der Datenübermittlung an US-Telekommunikationsunternehmen.“ Denn hier hätten US-Behörden bisweilen ganz ohne richterlichen Beschluss Zugriff auf personenbezogene Daten.
Dr. Carsten Ulbricht erklärte im Gespräch mit uns, dass Datenschutzbehörden nicht aktiv auf die Suche gehen nach solchen Verstößen. Die größte Gefahr stammt demnach von unzufriedenen Kunden oder eventuell auch der Konkurrenz. Die könnte nämlich durchaus eine Beschwerde einreichen.
Inwiefern Datenschutzverstöße auch abmahnfähig sind, ist derzeit übrigens nicht klar. Dr. Carsten Ulbricht geht davon aus, dass es nicht einfach zu begründen wäre als Abmahner. Schließlich müsste man aufzeigen, inwiefern der Datenschutzverstoß ein Wettbewerbsvorteil ist.
Fazit
Deutlich wird vielleicht, dass derzeit keine schnell und einfach umgesetzte Lösung für dieses Problem existiert. Es gibt Handlungsempfehlungen und auf jeden Fall sollten Sie sich mit dieser Thematik aktiv (und nachweisbar) auseinandersetzen.
Ganz neu ist die Situation zugleich nicht: Auch nach dem Ende von Safe Harbor hatte es einige Monate der Ungewissheit gegeben. Allerdings ist diesmal wie erwähnt zu vermuten, dass diese Durststrecke deutlich länger dauern könnte.
Jan hat mehr als 20 Jahre Berufserfahrung als Online-Journalist und Digitalpublizist. 2006 hat er das UPLOAD Magazin aus der Taufe gehoben. Seit 2015 hilft er als CONTENTMEISTER® Unternehmen, mit Inhalten die richtigen Kunden zu begeistern. Und gemeinsam mit Falk Hedemann bietet er bei UPLOAD Publishing Leistungen entlang der gesamten Content-Marketing-Prozesskette an. Der gebürtige Hamburger lebt in Santa Fe, New Mexico.