Geschrieben am 23.07.2020 von:
Der Europäische Gerichtshof (EuGH) hat dem Nachfolger des Safe-Harbor-Abkommens mit seinem Urteil vom 16.07.2020 eine Absage erteilt. Das EU-US-Privacy Shield ist unwirksam. Das Ergebnis ist ein Sieg für den Schutz personenbezogener Daten und gleichzeitig eine Niederlage für den freien Datenverkehr. Unternehmen und Behörden können personenbezogene Daten nun nicht mehr auf Grundlage des Privacy Shield in die USA übermitteln.
Was bedeutet das konkret und welche Dienste sind dennoch weiterhin einsetzbar? Wir haben im Folgenden alles Wissenswerte sowie konkrete Handlungsempfehlungen für Sie zusammengestellt.
Wie kam es überhaupt dazu?
Seit 2016 kämpft der Datenschützer Max Schrems dagegen an, dass die Facebook Ireland Ltd. personenbezogene Daten der Nutzer an den amerikanischen Mutterkonzern schickt. Drittlandübermittlungen sind nach der DS-GVO nämlich nur unter bestimmten Voraussetzungen zulässig. Bisher konnte man die Übermittlung in die USA unter anderem auf das EU-US-Privacy Shield stützen, das von der EU als angemessen angesehen wurde. Unternehmen, die sich hierunter zertifizieren ließen, konnten auf Basis des Privacy Shield ein ausreichendes Datenschutzniveau nachweisen.
Zuvor hatte Schrems sich bereits erfolgreich gegen das Safe-Harbor-Abkommen gewehrt, den Vorgänger des Privacy Shields. Beide Abkommen können nun nach dem neusten Urteil des EuGH nicht garantieren, dass ein mit dem Unionsrecht gleichwertiger Schutz für personenbezogene Daten besteht.
Allerdings gibt es noch weitere Mechanismen, ein ausreichendes Datenschutzniveau sicherstellen. Dazu gehört z. B. der Abschluss von sog. EU-Standarddatenschutzklauseln.
Was bedeutet das nun genau?
Nach der europäischen Datenschutz-Grundverordnung (DS-GVO) dürfen verantwortliche Unternehmer bei einer Datenübermittlung in Drittländer nur Dienstleister einsetzen, die ein vergleichbares Datenschutzniveau für personenbezogene Daten gewährleisten können. Das bedeutet also, dass die Dienstleister hinreichend Garantien bieten müssen, dass sie geeignete technische und organisatorische Maßnahmen treffen im Umgang mit personenbezogenen Daten von EU-Bürgern.
Kann der Dienstleister das „hohe Niveau“, dass die DS-GVO fordert, nicht nachweisen und somit auch nicht gewährleisten, sollte der Verantwortliche die Zusammenarbeit mit dem Dienstleister bzw. die Inanspruchnahme seiner Leistungen besser unterlassen.
Was müssen Verantwortliche nun also tun?
1. Zunächst sollte geprüft werden, ob im eigenen Unternehmen Dienste eingesetzt und genutzt werden, die von Anbietern aus den USA stammen.
2. Wenn ja, sollte in einem weiteren Schritt festgestellt werden, welche Legitimation für die Drittlandsübermittlung bisher herangezogen wurde (Privacy Shield / Standarddatenschutzklauseln). Grundsätzlich gilt, dass europäische Anbieter immer die erste Wahl sein sollten (natürlich ist das nicht immer möglich).
3. Nun folgt die Prüfung, ob die Standarddatenschutzklauseln unter Berücksichtigung des Rechts des Drittlands einen angemessenen Schutz gewährleisten.
Der EuGH sieht dabei jeden „Datenexporteur“ in der Pflicht, eine solche einzelfallspezifische Prüfung vorzunehmen. Insbesondere dann, wenn ein Drittland Zugriffsmöglichkeiten auf die übermittelten personenbezogenen Daten hat, die über das nach der DS-GVO zulässige hinausgehen, sollte eine Datenübermittlung unterlassen werden. Streng genommen müssen die übermittelten Daten dann sogar zurückgeholt werden.
Seit Bekanntwerden der Ungültigkeit des Privacy Shield haben sich auch einige Aufsichtsbehörden zu Wort gemeldet. Von oberster Ebene wird nochmals betont, dass allein der Abschluss der Standarddatenschutzklauseln die verantwortlichen Unternehmen nicht davon befreit, die jeweiligen Datenübermittlungen konkret zu prüfen. Aufgrund der Zugriffsmöglichkeiten der US-amerikanischen Geheimdienste zweifeln einige sogar daran, dass eine Datenübermittlung in die USA überhaupt datenschutzkonform erfolgen kann.
Was sind die Folgen eines Verstoßes?
Wer auch in Zukunft mit Anbietern aus Drittländern zusammenarbeiten möchte, sollte die Prüfung seines Vertragspartners unbedingt ernst nehmen. Unternehmen sollten sich also jetzt aktiv bei ihren Dienstleistern nach den Datenschutzstandards erkundigen, andernfalls könnte ein Bußgeld drohen.
Ein Blick in die eigene Datenschutzerklärung ist auch zu empfehlen. Wer hier seine Drittlandsübermittlung auf das „Privacy Shield“ – Abkommen stützt, sollte die Passagen entsprechend anpassen.
Zudem könnten betroffene Personen Schadensersatz für einen rechtswidrigen Transfer in das „unsichere Drittland“ verlangen.
Was darf noch genutzt werden?
Der EuGH meint es ernst. Doch nicht immer kann vollständig auf den Einsatz von US-Anbietern verzichtet werden. MORGENSTERN hat daher für Sie geprüft, welche der bekanntesten Dienste die Drittlandübermittlung nicht (mehr) nur auf den Privacy-Shield stützen und im Unternehmenskontext weiterhin genutzt werden können. Für die folgenden, sehr beliebten Online-Dienste sind alternative vertragliche Vereinbarungen vorhanden. Diese bieten eine tragfähige Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA.
Dabei handelt es sich um folgende Dienste:
• Oracle
• Amazon AWS
• Zendesk
• Mailchimp
• Slack
• ZOOM
• Microsoft
Unklar ist derzeit noch, ob auch für die kostenfreien Online-Dienste von Google für gewerbliche Kunden die EU-Standarddatenschutzklauseln wirksam in die Verträge miteinbezogen wurden. Nach eigenen Informationen von Google gelten diese jedenfalls für die kostenpflichtigen Dienste von G Suite und Google Cloud Platform.
Es bleibt nun abzuwarten, welche alternativen Instrumente die EU-Kommission sich überlegt.
Über alle weiteren Neuerungen halten wir Sie natürlich auf dem Laufenden. Folgen Sie uns doch einfach auf Instagram (@MORGENSTERN_legal), um nichts zu verpassen.
Wenn Sie weitere Fragen haben, wie Sie etwa die Prüfung anderer Dienste vornehmen können, dann kontaktieren Sie uns doch einfach. Wir unterstützen Sie gern. Senden Sie uns eine E-Mail an mail@m-kanzlei.de oder rufen Sie uns direkt an.