von Jutta Löwe
Der Europäische Gerichtshof hat im Sommer ein wegweisendes Urteil erlassen, das Unternehmen vor große Herausforderungen stellt – EuGH, Urteil vom 16.7.2020, C-311/18 (Schrems II). Die Entscheidung führt zu großer Unsicherheit, ob und unter welchen Bedingungen eine Zusammenarbeit insbesondere mit IT-Unternehmen aus den USA noch möglich ist. Eine baldige Lösung ist nicht in Sicht
Internationaler Datentransfer im Datenschutzrecht
Die europäischen Gesetze zum Datenschutz, seit einigen Jahren vor allem die Datenschutz-Grundverordnung (DSGVO), setzen hohe Standards an die Verarbeitung personenbezogener Daten. Dieser Schutz der Daten von EUBürgern geht über die Landesgrenzen hinaus. So darf ein Datentransfer in Länder außerhalb der EU und des Europäischen Wirtschaftsraums nur erfolgen, wenn sichergestellt ist, dass ein vergleichbares Datenschutzniveau in dem so genannten Drittland herrscht. Die DSGVO bietet verschiedene Möglichkeiten, dieses Datenschutzniveau zu gewährleisten. Unter anderem gibt es von der EU-Kommission genehmigte Standardvertragsklauseln, deren Abschluss ein angemessenes Niveau zwischen den unterzeichnenden Parteien herstellen kann. Eine weitere Garantie bot das so genannte EU-US Privacy Shield (Datenschutzschild), das ebenfalls nach dem Beschluss der EU-Kommission ein angemessenes Niveau bei den entsprechend zertifizierten Unternehmen darstellte. Dem EU-US Datenschutzschild hat der EuGH nun unter anderem die Grundlage entzogen, indem er die entsprechende Kommissionsentscheidung für ungültig erklärt hat.
Hintergrund des Verfahrens
Max Schrems, Bürgerrechtler und Datenschutzaktivist, geht seit einigen Jahren gegen Facebook vor, um am Beispiel des US-Unternehmens die Zulässigkeit der Übermittlung von personenbezogenen Daten in Länder außerhalb der EU (und des EWR) gerichtlich überprüfen zu lassen. Damit konnte er bereits 2015 erreichen, dass Safe Harbour, Vorgänger des Privacy Shields, gekippt wurde. Im weiteren Verfahren vor dem obersten europäischen Gericht standen nun das Privacy Shield sowie die Standardvertragsklauseln auf dem Prüfstand. Das Datenschutzschild wurde gekippt, die Standardvertragsklauseln haben weiterhin grundsätzlich Bestand. Unter Experten waren die Standardvertragsklauseln bisher das Mittel der Wahl, sofern kein Angemessenheitsbeschluss für das entsprechende Land vorlag oder besondere Ausnahmen galten. Aber auch auf dieses Mittel zum Transfer hat die Entscheidung des Gerichtshofs erhebliche Auswirkungen. Die Klauseln können nach Ansicht des Gerichts dann nicht als Grundlage verwendet werden, wenn dadurch nicht auch tatsächlich das gleiche Datenschutzniveau hergestellt werden kann. Dies muss für jedes Drittland individuell geprüft werden.
Überwachungsgesetze in den USA hindern gleichwertiges Datenschutzniveau
Das Urteil geht auf die Lage in den USA ein und stellt unter Verweis auf Sec. 702 FISA (Foreign Intelligence Surveillance Act) und E.O. (Executive Order) 12 333 sowie fehlende Rechtschutzmöglichkeiten fest, dass in den USA für betroffene EU-Bürger kein gleichwertiges Niveau für den Schutz der Grundrechte vorliegt. Diese Diskrepanz könne auch nicht ohne Weiteres mit Hilfe von vertraglichen Vereinbarungen wie den Standardvertragsklauseln geheilt werden. Ein Unternehmen, das Daten in die USA übermittelt, kann dies nach Ansicht des EuGH nur in rechtmäßiger Weise tun, wenn mit Hilfe von zusätzlichen Maßnahmen gewährleistet werden kann, dass der Schutz der Betroffenen dem gleichen Niveau unterliegt wie innerhalb der EU. Wie im Einzelfall die jeweiligen Maßnahmen auszusehen haben, hat das Gericht offengelassen.
Als wäre dies nicht schon Herausforderung genug, so hat das Gericht zusätzlich betont, dass die nationalen Aufsichtsbehörden in der Pflicht seien, die Umsetzung zu kontrollieren und den Transfer bei Verstößen zu unterbinden.
Da die genannten Überwachungsgesetze nur auf „Electronic Communication Service Provider“ anwendbar sind, scheint danach zwischen Unternehmen anderer Branchen ein US-Transfer auf Basis der Standardvertragsklauseln weiterhin grundsätzlich möglich.
Die Quadratur des Kreises
Einigkeit besteht darin, dass ein Transfer möglich bleibt, wenn man die Zugriffsmöglichkeit durch andere, insbesondere staatliche Überwachungsaktivitäten, tatsächlich verhindert. Hier kommt die Informationssicherheit zum Zug. Können Unternehmen mit „bezahlbaren“ Methoden ihre Daten zuverlässig vor dem Zugriff der Überwachungsbehörden schützen? Selbst, wenn eine Verschlüsselung hier überhaupt helfen kann, ist dies für alle Arten des Transfers – also auch innerhalb von Anwendungen – umsetzbar? Kann ein mittelständisches Unternehmen dies von einem Technologieunternehmen mit erheblicher Marktmacht verlangen? Die Umsetzung stellt die Wirtschaft vor erhebliche Herausforderungen.
Die Aufsichtsbehörden betonen, dass das Urteil den europäischen Technologiestandort stärken könne. Allerdings dürften auch Niederlassungen von europäischen Unternehmen, die auf dem Gebiet der USA liegen, in den Anwendungsbereich der US-Gesetze fallen. Auch wenn ein Konzern mit einem Headquarter in der EU vermutlich einfacher eine Isolierung bestimmter Datenströme herstellen kann als die Mitbewerber in den USA, trifft das Urteil alle global agierenden IT-Konzerne.
Keine Lösung in Sicht
Eine wirkliche Lösung kann nur auf Regierungsebene gefunden werden. Aber auch hier wird es eine Herausforderung sein, einen Weg zu finden, wie man weltweit Daten austauschen und dabei dennoch die Grundprinzipien der verschiedenen Rechtssysteme berücksichtigen kann. In den USA könnte ein Federal Privacy Law, das zunehmend Unterstützer findet, die Dinge zumindest in die richtige Richtung lenken. Bis zu einer Lösung des Problems könnten Aufsichtsbehörden die Wirtschaft darin unterstützen, das Datenschutzniveau der bestehenden Drittländer zu untersuchen und Hilfestellungen zu geben, welche Maßnahmen die fehlende Angemessenheit überwinden können und welche nicht. Mit dieser Mammutaufgabe sollte man die Unternehmen nicht allein lassen.
Was können Unternehmen nun tun?
Was tun Unternehmen nun, wenn Sie mit IT-Unternehmen aus den USA zusammenarbeiten und ein Datentransfer nicht kurzfristig ausgeschlossen werden kann? Häufig gibt es keine angemessene Alternative zu den Produkten der Global Player.
Zunächst müssen die Vertragsbeziehungen identifiziert werden, in denen ein grenzüberschreitender Datentransfer stattfindet. Mit einem gut gepflegten Datenschutzmanagementsystem ist dies schnell erledigt. Unternehmen gehen zum Teil dazu über, an alle Dienstleister Fragebögen zu verschicken, in denen nach Transfer in ein Drittland und Betroffenheit von Überwachungsgesetzen gefragt wird. Je nach Anzahl der zu prüfenden Dienstleister sollte man nach Kriterien wie Anzahl der Transfers, Art und Kategorie der Daten und Anzahl der Betroffenen priorisieren.
Für jeden Fall, in dem eine Übermittlung in die USA nicht kurzfristig ohne Weiteres verhindert werden kann, muss eine genaue Analyse des Einzelfalls erfolgen, verbunden mit einer Risikoabschätzung ähnlich einer Datenschutzfolgenabschätzung. Diese Bewertung (auch Transfer Risk Assessment genannt) erfordert zunächst eine genaue Analyse des Risikos anhand der Kategorien und Kritikalität der Daten, des Umfangs und Zwecks sowie der geplanten Empfänger. Das Risiko muss dann so gut wie möglich verringert werden. Hierzu dienen zusätzliche rechtliche, organisatorische und technische Maßnahmen, die gewährleisten, dass die Betroffenen keinen unverhältnismäßigen Bedrohungen in ihren Grundrechten ausgesetzt werden. Im Ergebnis muss damit das gleichwertige Datenschutzniveau hergestellt werden. DerEuropäische Datenschutzausschuss hat nun zwei Empfehlungen zu diesem Thema veröffentlicht, die allerdings das Dilemma nur weiter verdeutlichen.
Eine Argumentationshilfe zur Einschätzung des Risikos bietet ein Whitepaper, das gemeinsam vom US-Handelsministerium, dem US-Justizministerium und dem US-Büro des Direktors des National Intelligence veröffentlicht wurde. Darin wird unter anderem betont, dass die reine geschäftliche Kommunikation zwischen Unternehmen in der Regel nicht für die US-Geheimdienste von Interesse sei. Neben zusätzlichen Vertragsklauseln kommen auch Pseudonymisierung und Verschlüsselung in Betracht. Die Risikoabschätzung sowie das Ergebnisdazu sollten gut dokumentiert werden, um das Vorgehen jederzeit nachweisen zu können.
Es bleibt zu hoffen, dass die Politik hier aktiv wird und auf eine Lösung hinwirkt. Mit mehr Rechtssicherheit wäre nicht nur den Unternehmen, sondern auch den Betroffenen geholfen. Im Zuge der zurzeit beginnenden Wirtschaftskrise sollte auch über ein Moratorium der Durchsetzung nachgedacht werden.
Eine wirkliche Lösung kann nur auf Regierungsebene gefunden werden.
Jutta Löwe
Konzerndatenschutzbeauftragte
Brenntag Gruppe
Das aktuelle Handelsblatt Journal
