Unternehmen sollten sich erneut dringend mit Datenschutz befassen – diesmal insbesondere mit ihren Cloud-Dienstleistern sowie mit sonstigen Vorgängen, bei denen personenbezogene Daten in die USA übertragen werden. Insoweit dürften international aufgestellte Unternehmen besonders betroffen sein, aber darüber hinaus alle Unternehmen, die z.B. Google-, Apple- oder Facebook-Dienste nutzen.
Im Ergebnis ist Unternehmen zu empfehlen - soweit irgend möglich - auf den Transfer personenbezogener Daten in die USA aktuell zu verzichten und sich z.B. Cloud-Anbieter zu suchen, deren Server in der EU stehen. Falls dies nicht möglich ist, muss sich jedes Unternehmen noch intensiver als bisher mit der Frage auseinander setzen, wie der Transfer rechtlich gerechtfertigt ist und die Daten in den USA geschützt sind.
Hintergrund dieser Empfehlung ist, dass der europäische Gerichtshof am 16. Juli 2020 eine weitere Grundsatzentscheidung zum Datenschutz veröffentlicht hat (C-311/18 Schrems II). Nachdem auf Betreiben des Datenschutzaktivisten Max Schrems 2015 bereits das datenschutzrechtliche Safe Habor Abkommen mit den USA gekippt wurde, hat der Europäische Gerichtshof nunmehr auch den sog. Privacy Shield (EU-US Datenschutzschild) für nichtig erklärt. Hinter dem Privacy Shield verbirgt sich eine Absprache zwischen der EU-Kommission und US-Behörden, nach der sich US Unternehmen selbst auf bestimmte Datenschutzstandards verpflichten und damit mit dem Privacy-Shield zertifizieren konnten. Folge war insbesondere, dass Unternehmen mit Sitz in der EU an ein zertifiziertes Unternehmen in den USA rechtmäßig personenbezogene Daten übertragen konnten. Eine solche Übertragung setzt nach der DSGVO voraus, dass der Datenexporteur sicherstellt, dass für die Daten im Ausland geeignete Garantien bestehen und dass betroffenen Personen auch wirksame Rechtsbehelfe zur Verfügung stehen. Eine solche Garantie konnte auch der Privacy Shield sein.
Gekippt wurde der EU-US-Datenschutzschild letztlich, weil US-Sicherheitsdienste in den USA unter bestimmten Voraussetzungen unbeschränkten Zugriff auf personenbezogene Daten von EU-Bürgern haben und hiergegen im Wesentlichen auch kein Rechtschutz besteht. Dies war unter Datenschützern keinesfalls eine Überraschung. Aus demselben Grund war nämlich bereits das Safe Habor Abkommen 2015 für nichtig erklärt worden.
Die Entscheidung hat weitreichende Auswirkung auf europäische Unternehmen. Z.B. titelte der FAZ Podcast „Einspruch“ daher: „Wie der EuGH das Internet in Europa ausknipst“.
Konkret bedeutet die Entscheidung folgendes für die Datenübertragung in die USA:
• Transfer auf Basis des Privacy Shields
Unternehmen, die personenbezogene Daten in die USA transferieren und sich dabei nur auf den EU-US-Datenschutzschild stützen, haben dies zu unterlassen. Hierauf hat z.B. bereits die Berliner Beauftragte für den Datenschutz und Informationsfreiheit Maja Smoltczyk hingewiesen. Es gibt hierfür keine Übergangsfrist.
Dieses Problem kann bei allen möglichen Diensten auftreten, z.B. bei CRM-Systemen, E-Mail-Providern und Webhostern mit Sitz in den USA. Betroffen sind globale Player wie Apple, Facebook, Google und Microsoft sowie weitere datensensible Anbieter wie z.B. Workday.
Eine Lösung kann sein, sich entsprechende Geschäftspartner in der EU zu suchen. Damit würde auch die – im Vergleich zu den USA abgehängte – europäische Digitalwirtschaft unterstützt, was vielenorts als angenehmer Nebeneffekt gesehen werden dürfte.
• Transfer auf Basis von Standardvertragsklauseln
Unternehmen, die Datentransfer auf Basis von Standardvertragsklauseln durchführen, können ebenfalls nicht aufatmen.
Der EuGH hat diese Klauseln zwar nicht allgemein gekippt - allerdings ändern die Klauseln nichts daran, dass in den USA Sicherheitsgesetze existieren, die den Schutz europäischer personenbezogener Daten weitgehend aushebeln.
Der Europäische Datenschutzausschuss, an dem insbesondere die nationalen Datenschutzbehörden beteiligt sind, hat dazu eine Erklärung abgegeben (https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf). Zusammengefasst müssen Verantwortliche jeweils selbst nach den individuellen Umständen der Datenübertragung einschätzen, ob die Standardvertragsklauseln im Ergebnis einen angemessenen Datenschutz trotz weitreichender Befugnisse der US-Behörden sicherstellen. Flankierend seien ggf. „ergänzende Schutzmaßnahmen“ zu ergreifen. Wie diese aussehen können, bleibt offen.
Vor dem Hintergrund, dass US-Sicherheitsbehörden weiterhin Zugriff auf personenbezogene Daten von EU-Bürgern haben werden und die Dienste es auch nicht tolerieren werden, dass bestimmte Daten ihrem Zugriff entzogen sind, liegt es unseres Erachtens nahe, dass auch die Verwendung von Standardvertragsklauseln riskant ist. Insoweit hat der EuGH den Rechtssubjekten, die mit dem Urteil Schrems II leben müssen, keinen Gefallen getan und sorgt erneut für Rechtunsicherheit.