Datenschutz-Update – Sonderausgabe: Die „Schrems II“ Entscheidung des EuGH

Kaum ein Urteil der vergangenen Jahre hat eine größere Sprengkraft für IT-Unternehmen als die „Schrems II“ Entscheidung des EuGH. In diesem Beitrag fassen wir die wesentlichen Informationen zu diesem Urteil und ihre Auswirkungen auf IT-Unternehmen für Sie zusammen

Was ist der Hintergrund des Urteils?

Das Datenschutzniveau in der EU nach der DSGVO gehört zu den höchsten weltweit. Damit dieses Schutzniveau nicht durch Datenübermittlungen in sog. Drittstaaten gefährdet wird, stellt die DSGVO dafür Regeln auf: Grundsätzlich gelten alle Staaten außerhalb der EU und des EWR als sog. „unsichere Drittstaaten“, in die normalerweise keine Daten übermittelt werden dürfen. Nur beim Vorliegen besonderer Voraussetzungen ist dies erlaubt. Rechtliche Möglichkeiten für einen legalen Datenexport sind insbesondere:

• Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO): Bescheinigt die EU-Kommission einem Drittstaat generell ein angemessenes Datenschutzniveau, können an einen Empfänger in diesen Staaten personenbezogene Daten grundsätzlich auf die gleiche Weise exportiert werden wie bei einer grenzüberschreitenden Übermittlung innerhalb der EU und des EWR. Aktuell hat die EU Kommission zahlreichen Staaten ein angemessenes Datenschutzniveau bescheinigt, sodass in diese Länder bedenkenlos Daten exportiert werden können (selbstverständlich müssen die übrigen Voraussetzungen für eine rechtskonforme Übermittlung vorliegen; insbesondere zum Beispiel eine AV-Vereinbarung nach Art. 28 DSGVO): Dazu zählen unter anderem die Schweiz, Israel, Argentinien, Japan, Neuseeland und Kana-da. Außerdem wurde bisher ein angemessenes Datenschutzniveau für alle US-amerikanische Unternehmen angenommen, die nach dem sog. „EU-US Privacy Shield“ zertifiziert sind.
  
• Vereinbarung „geeigneter Garantien“ (Art. 46 DSGVO): Neben den Fällen eines Angemessenheitsbeschlusses ist ein Export von Daten an konkrete Empfänger (d.h. Unternehmen) in Drittstaaten immer dann erlaubt, wenn diese „geeignete Garantien“ für die Einhaltung eines gewissen Datenschutzniveaus bieten. Als geeignete Garantien gelten einerseits die sog. EU-Standardvertragsklauseln (oder auch „EU-Model-Clauses“ oder „Standard Contractual Clauses (SCC)“ genannt). Bei den EU-Standardvertragsklauseln handelt es sich um vorformulierte Klauseln, die zwischen dem Datenimporteur und -exporteur vereinbart werden. Diese Klauseln garantieren ein angemessenes Datenschutzniveau beim Importeur, so dass dieser datenschutzrechtlich quasi als „sichere Insel“ im ansonsten unsicheren Drittstaat angesehen werden kann. Die Standardvertragsklauseln regeln Rechte und Pflichten der Parteien beim Umgang mit personenbezogenen Daten; sie müssen unverändert bleiben. Im Anhang zu den Klauseln befinden sich Formulare, in denen Einzelheiten zu den Parteien, den exportierten Daten, der Datenverwendung und ggf. Sicherheitsvorkehrungen beim Importeur einzutragen sind.
  
• Verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO): Andererseits kommen für solche Fälle verbindliche interne Unternehmensvorschriften zum Datenschutz (sog. Binding Corporate Rules (BCR)) in Frage. Zu Ihrer Wirksamkeit müssen BCR zuvor von der europäischen Datenschutzbehörde des Landes, aus dem Daten übertragen werden sollen, geprüft und freigegeben werden. Aufgrund dieses langwierigen Prozesses eignen sich BCR meist nur als Instrument für die Abwicklung des Datentransfers in relativ großen multinationalen Konzernen.
  
• Im übrigen ist der Datenexport nur bei Vorliegen bestimmter Voraussetzungen erlaubt. Die Anwendungsfälle dieser besonderen Voraussetzungen finden sich in Art. 49 DSGVO und sind tendenziell eher eng auszulegen, so dass es in der Praxis nur selten zur Anwendbarkeit eines solchen Ausnahmefalls kommt.

Was den Datenexport in die USA betrifft, spielen in der Praxis sowohl eine Zertifizierung nach dem EU-US Privacy Shield sowie die Vereinbarung der Standardvertragsklauseln die mit großem Abstand wichtigste Rolle.

Worum geht es im „Schrems II“ Urteil?

Dem Urteil liegt eine Beschwerde des österreichischem Datenschutzaktivisten Max Schrems bei der irischen Datenschutzbehörde (Data Protection Commissioner, kurz DPC) zu Grunde: Schrems störte sich daran, dass sein Vertragspartner Facebook die persönlichen Daten von ihm und allen anderen europäischen Nutzern durch die Facebook Ireland Ltd. an den Mutterkonzern in den USA, die Facebook Inc., übermittelt. Als Rechtsgrundlage für die Übermittlung hatte Facebook sich auf den EU-US Privacy Shield berufen, wogegen Schrems Beschwerde beim DPC einlegte mit der Begründung, dass die Facebook Inc. aufgrund der in den USA geltenden Überwachungsgesetze dazu verpflichtet werden könnte, US-Behörden Zugang zu den aus EU/EWR übermittelten personenbezogenen Daten zu gewähren. Der irische High Court legte daher das Verfahren dem EuGH vor, um klären zu lassen, ob der EU-US Privacy Shield mit europäischem Recht vereinbar ist.

Was sagt der EuGH dazu?

Mit seinem Urteil vom 16. Juli 2020 (Aktenzeichen C-311/18) hat der EuGH die Spielregeln für Datenübermittlungen in die USA geändert: Der EU-US Privacy Shield wurde ab sofort wegen schwer-wiegender Defizite des Datenschutzes in den USA für unwirksam erklärt. Damit können Datenübermittlungen dorthin nicht länger mit der Zertifizierung des Empfängers nach dem EU-US Privacy Shield gerechtfertigt werden.

Auch auf die Nutzung der Standardvertragsklauseln hat das Urteil Auswirkungen. Verantwortliche müssen laut EuGH im Einzelfall eine dokumentierte Vorab-Prüfung vornehmen, ob der Vertragspartner im Drittland tatsächlich ein angemessenes Datenschutzniveau garantieren kann. Denn eine solche Vereinbarung ist nichts wert, wenn dann doch, etwa von Sicherheitsbehörden oder Geheimdiensten, legal auf die Daten zugegriffen werden kann. Aktuell ist man sich in der „Datenschutz-Welt“ aber ungewöhnlich einig: In den USA lässt sich das nicht garantieren, weil es diese Überwachungsgesetze nunmal gibt. Daher herrscht dort generell kein angemessenes Datenschutzniveau.

Welche Folgen hat das Urteil für die Praxis von IT-Unternehmen?

Mit seinem Urteil hat der EuGH die in der Praxis bislang wichtigste Rechtsgrundlage für Datenübermittlungen an US-Unternehmen für unwirksam erklärt. Daher kann die Übermittlung von personenbezogenen Daten ab sofort nicht mehr auf den EU-US Privacy Shield gestützt werden.

Zudem stellt der EuGH de facto unerfüllbare Anforderungen auch an die anderen Möglichkeiten der Drittstaatentransfers in die USA. Gerade in Bezug auf das weitere praktisch relevante Instrument zur Datenübermittlung in die USA, die Vereinbarung der Standardvertragsklauseln, fordert der EuGH de facto, dass sich das Empfänger-Unternehmen in den USA zuverlässig verpflichten muss, die Daten nicht an US-Behörden weiterzuleiten, auch wenn es dazu nach US-Recht verpflichtet ist. Gerade weil es aber einer entsprechenden rechtlichen Verpflichtung in den USA unterliegt, können Unternehmen diese Verpflichtung praktisch nicht erfüllen.

Zugleich fordert der EuGH die Datenschutzaufsichtsbehörden in den Mitgliedsstaaten auf, Datenübermittlungen zu verbieten, wenn Sie zu der Auffassung kommen, dass die Standardvertragsklauseln in der Praxis nicht eingehalten werden können. Weil der EuGH für die USA bereits seine Rechtsauffassung hierzu mitgeteilt hat (siehe den vorigen Absatz), können die Aufsichtsbehörden hier nichtlänger untätig bleiben – sie müssen handeln.

Die konkreten Folgen des Urteils sind derzeit noch nicht vollständig absehbar. Bereits jetzt steht aber fest, dass es de facto keine Möglichkeit mehr gibt, personenbezogene Daten datenschutzkonform in die USA zu übermitteln. Der Einsatz von US-Anbietern scheidet daher für IT-Unternehmen, die in den Anwendungsbereich der DSGVO fallen, derzeit aus. Das umfasst auch Konstellationen, in denen ein Vertrag mit einer der EU-Tochtergesellschaften der „großen“ US-IT-Konzerne geschlossen wurde oder ein Rechenzentrum eines US-IT-Konzerns innerhalb der EU ausgewählt wurde. Denn nach allen uns bekannten Standardverträgen der großen IT-Unternehmen behalten sich diese stets das Recht vor, auch von den USA heraus auf die Daten zuzugreifen. (Das müssen sie auch, um US-Recht zu erfüllen – das Stichwort lautet hier „Cloud Act“). Rechtlich liegt dann eine Datenübermittlung in die USA vor – und die darf es nun nicht mehr geben.

Welche Verarbeitungen sind betroffen?

Die schmerzliche Antwort lautet: Eigentlich alle! Daher stellt das Urteil auch eine so große Zäsur dar – mache reden gar vom Ende der globalisierten Welt in der Datenverarbeitung. Nur beispielhaft und unvollständig listen wir nachfolgend Datenverarbeitungen auf, die vom EuGH-Urteil unmittelbar betroffen sind und nun im Grunde nicht mehr auf legalem Weg genutzt werden können:

• Website-Hosting (durch US-Unternehmen bzw. deren Tochtergesellschaften in der EU)
• Website-Tools (wie Google Analytics, Facebook Custom Audiences, HubSpot)
• Facebook-Fanpages
• Instagram-Accounts (sofern geschäftlich)
• Twitter-Accounts (sofern geschäftlich)
• Cloud-Dienste (bei US-Konzernen)
• Microsoft 365 / Office 365
• Video-Konferenz-Services (wie Zoom; Skype oder Microsoft Teams; sofern geschäftlich)
  

Welche Unternehmen sind betroffen?

Grundsätzlich sind alle datenschutzrechtlich Verantwortlichen von “Schrems II“ betroffen, die eine Datenverarbeitung vornehmen, in deren Zuge es zu einer Übermittlung von Daten in die USA kommt.

Aber auch, wenn Ihr Unternehmen „nur“ Auftragsverarbeiter ist, sind Sie betroffen. Denn der Auftragsverarbeiter haftet für Verstöße seiner weiteren Auftragsverarbeiter („Unterauftragnehmer“) wie für eigenes Verschulden. Gibt es in der Leistungskette (weitere) Auftragsverarbeiter, die sich eine Datenübermittlung etwa in die USA vorbehalten, haften Sie dafür im Innenverhältnis zu Ihrem Kunden, dem Verantwortlichen, ebenso, als wenn Sie Datenübermittlung selbst vornähmen.

Was sollen wir jetzt machen?

Wir raten dazu, zunächst zu prüfen, welche Datentransfers (in die USA) in Ihrem Fall überhaupt vorgenommen werden.

Dazu ist es zwingend, sich zunächst einen Überblick über die Datenübermittlungen (in die USA) im eigenen Verantwortungsbereich zu verschaffen. Idealerweise verfügen Sie bereits über eine Verarbeitungsverzeichnis nach Ar. 30 DSGVO; darin sollten sämtliche Datenübermittlungen und deren jeweilige Rechtsgrundlage aufgeführt sein. Sollte es sich dabei um Standardvertragsklauseln oder Binding Corporate Rules handeln, müssen Sie bewerten, ob es im Drittland ein angemessenes Datenschutzniveau gibt oder ob dem insbesondere staatliche Zugriffsbefugnisse auf die personenbezogenen Daten entgegenstehen.

Das Ergebnis können dieser Prüfung können wir in vielen Fällen (vor allem wenn ein US-Bezug vor-liegt) bereits vorweg nehmen: Die Datenübermittlung wird in aller Regel unzulässig sein (s.o.). Darauf können Sie nun auf verschiedene Arten reagieren:

• Möglichkeit 1: Datenübermittlungen in die USA abschalten

Diese Schlussfolgerung liegt wohl auf der Hand: Sofern es in der Vergangenheit zu einer Datenübermittlung in die USA in ihrem Verantwortungsbereich gekommen ist, ist der naheliegende Schritt wohl zunächst, alle Datenübermittlungen in die USA abzuschalten. Das Problem dabei ist natürlich, dass amerikanische IT-Unternehmen in vielen Fällen nicht ohne Grund Marktführer sind: Es mangelt daher oftmals an adäquaten Alternativprodukten europäischer Herkunft. Das „Kappen aller Leistungen“ in die USA wird daher wohl in vielen Fällen keine sinnvolle Option sein.

• Möglichkeit 2: Einwilligung einholen

In manchen Fällen kann es möglich und sinnvoll sein, die Einwilligung der Betroffenen in die Datenübermittlung in den unsicheren Drittstaat USA einzuholen. Der Vorteil an dieser Lösung ist, dass die Datenübermittlung auch weiterhin vorgenommen werden kann; vorausgesetzt die Betroffenen willigen ein. An die Formulierung der Einwilligung werden jedoch strenge Anforderungen an Transparenz- und Informationspflichten gestellt, sodass es praktisch oft extrem schwierig sein wird, eine Einwilligung einzuholen, die den Anforderungen der DSGVO standhält.

• Möglichkeit 3: Weiter so und hoffen

Mangels praktischer Alternativen stellen sich viele Verantwortliche auf den Standpunkt, einfach „wie gehabt weiter zu machen“ und hoffen, dass „schon nichts passieren wird“.

Diese Haltung ist – menschlich gesehen – verständlich. Denn immerhin war die Situation nach dem Scheitern des Privacy-Shield-Vorgängerabkommens „Safe Harbour“ durch das Urteil des EuGH in Sachen „Schrems I“ vergleichbar. In der damaligen Zwischenzeit, also zwischen dem der Nichtigkeitserklärung des Safe-Harbour-Abkommen und dem Inkrafttreten des Privacy-Shield-Abkommens, waren größere Änderungen an den tatsächlichen Datenübermittlungen in die USA eher die Ausnahme – es wurde schlicht weitergemacht wie bisher.

Als Anwälte müssen wir von dieser Option jedoch dringend abraten. Denn im Gegensatz zu der Zeit, in die das Scheitern des Safe-Harbour-Abkommens fiel, haben die Datenschutzaufsichtsbehörden mit der DSGVO und den dortigen Sanktionsmöglichkeiten nun ein scharfes Schwert in die Hand bekommen, das sie augenscheinlich auch gewillt sind einzusetzen. Zu-dem konnte man nach dem Scheitern des Safe-Harbour-Abkommens auf eine zügige Entscheidung auf politischem Wege hoffen. Betrachtet man die derzeitige politische Situation der transatlantischen Beziehungen, muss man da inzwischen eher skeptisch sein.

Wenn Sie unsicher sind, wo Sie in Sachen Datenschutz-Compliance in Bezug auf Datenübermittlungen in Drittländer derzeit stehen oder Sie wissen möchten, welche Möglichkeiten es in Ihrem konkreten Fall gibt, sprechen Sie uns gerne an – zusammen finden wir hoffentlich eine Lösung, Ihr IT-Unternehmen datenschutzrechtlich sauber aufzustellen.