Datenübermittlungen in die Vereinigten Staaten von Amerika dürfen nunmehr nicht mehr auf das EU-US-Privacy-Shield gestützt werden.
Zum rechtlichen Hintergrund:
Die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums bedürfen stets besonderer Aufmerksamkeit. Sie erfordern neben rechtlichen Grundlagen gesonderter Schritte, um datenschutzkonform zu sein. Es ist ein sog. „angemessenes Datenschutzniveau“ herzustellen, welches mit dem der EU vergleichbar sein muss.
Für eine Reihe von Ländern hat die Europäische Kommission sog. Angemessenheitsbeschlüsse erlassen. Die aktuelle Auflistung findet sich hier. In diesen Fällen werden keine weiteren Schritte in der Praxis notwendig. Für die Vereinigten Staaten von Amerika wurde ebenfalls ein beschränkter Angemessenheitsbeschluss erlassen, der im Umfang des EU-US Privacy Shields galt.
Weitere Mittel zur Herstellung des mit der EU vergleichbaren Datenschutzniveaus gemäß Artt. 45 ff. DSGVO sind beispielsweise der Abschluss sog. EU-Standardverträge („standard contractual clauses“), Binding Corporate Rules („BCR“) oder Codes of Conduct (“CoC”).
Zum EU-US-Privacy-Shield:
Für Datenübermittlungen in die USA wurden Zertifizierungsverfahren erarbeitet, die anstelle der EU-Standardverträge bzw. der BCRs die notwendigen Datenschutzstandards gewähren sollten. Zunächst wurde das sog. „Safe-Harbor“-Abkommen erlassen, welches im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt wurde (siehe hier). Dessen Nachfolger ist bzw. war seit Februar 2016 das sog. „EU-US-Privacy-Shield“, welches heute ebenso vom EuGH für unwirksam erklärt wurde (siehe hier).
Bei Beiden handelt es sich um Zertifizierungsverfahren in den USA, denen sich amerikanische Unternehmen freiwillig unterwerfen können. Während es sich bei „Safe-Harbor“ noch um eine Selbstzertifizierung der US-Unternehmen handelte, waren an die Zertifizierungen nach dem „Privacy Shield“ etwas höhere Anforderungen gestellt, die zudem jährlich erneuert werden mussten. Bezüglich beider Vereinbarungen wurde jedoch von Anfang an Kritik laut, dass sie nicht den beabsichtigten EU-Standards entsprachen und somit keinen vergleichbaren angemessenen Schutz für personenbezogenen Daten herstellten, sobald diese in den USA verarbeitet werden.
Zur EuGH-Entscheidung:
In beiden Verfahren vor dem EuGH war die treibende Kraft der österreichische Kläger Maximilian Schrems, der selbst Jurist und Datenschutzaktivist ist. Klagegegner im heutigen Urteil war die Facebook Ireland Ltd. Streitgegenstand waren Datenverarbeitungen im Facebook-Netzwerk mit dem Begehren, dem Unternehmen, die Datenübermittlungen in die USA zu untersagen.
Es wurde u.a. argumentiert, dass die personenbezogenen Daten in den Vereinigten Staaten keinem angemessenen Schutz unterlägen, da den US-Ermittlungsbehörden eine Vielzahl von Rechten eingeräumt würden, die personenbezogenen Daten einzusehen bzw. zu verarbeiten. Dabei wurde sich nicht zuletzt auf Erkenntnisse gestützt, die Edward Snowden zutage gebracht hatte, wobei von „erheblichen Exzessen“ der NSA und anderen Bundesbehörden gesprochen wurde. Häufig fehle eine „objektive Rechtfertigung“ sowie „begleitende angemessene und nachprüfbare Schutzmechanismen“, was dazu führe, dass fundamentale Rechte nicht gewährleistet und geschützt würden.
Auswirkungen der Entscheidung:
Das heutige EuGH-Urteil führt dazu, dass die Übermittlungen personenbezogener Daten in die USA nicht rechtmäßig sind, wenn das angemessene Datenschutzniveau auf EU-US-Privacy-Shield-Zertifizierungen gestützt wurde. Eine Übergangsfrist wurde nicht gesetzt.
Ob nach „Safe-Harbor“ und dem „Privacy-Shield“ eine weitere Zertifizierung angestrengt wird, ist derzeit noch nicht bekannt. Allerdings können auch mit US-Unternehmen die anderen oben beschriebenen Maßnahmen nach Artt, 45 ff. DSGVO ergriffen werden. (EU-Standardverträge sowie BCRs).
Der Europäische Gerichtshof hat heute außerdem geurteilt, dass die EU-Standardverträge europarechtskonform sind. Dabei hat er allerdings die Voraussetzung gestellt, dass der Verwender der Klauseln mit dem Empfänger grundsätzlich klären muss, ob dieser deren Voraussetzungen auch umsetzen kann.
Für die USA hat der EuGH ausdrücklich festgestellt, dass ein angemessenes Datenschutzniveau nicht alleine durch den Abschluss von Standardverträgen hergestellt werden kann, denn hierdurch wird ein Zugriff von US-Sicherheitsbehörden nicht unterbunden. Stattdessen müssen zusätzliche Maßnahmen getroffen werden. Hierzu kann z.B. der Einsatz von Verschlüsselungstechniken zählen. Dabei muss jedoch darauf geachtet werden, dass der Dienstleister selbst nicht über die zur Entschlüsselung erforderlichen Schlüssel verfügt.
Weitere Entwicklungen werden wir mit Spannung beobachten.
Update 21.07.2020
Der Text wurde hinsichtlich des Angemessenheitsbeschlusses der USA konkretisiert.
Update 26.11.2020
Der Text wurde hinsichtlich der Standardverträge angepasst.
16. Juli 2020 @ 22:17
Wie ist denn mit Hilfe der Standardvertragsklauseln eine rechtskonforme Datenverarbeitung möglich? Der CLOUD Act regelt den Zugriff auf durch US-Unternehmen verarbeitete Daten egal wo auf der Welt, und darüber dürfen diese nichtmal Auskunft erteilen. Es gibt keine Garantien für EU-Bürger, dass ihre Daten nicht abgegriffen werden. Wo gibt es da ein Schlupfloch?
18. Juli 2020 @ 22:57
Habe einen recht erhellenden Artikel dazu gefunden:
https://t3n.de/news/cloud-computing-zeitalter-dsgvo-1126333/