Um was geht es?
Wieder ein Mal hat es der Österreicher Max Schrems geschafft, ein
Urteil mit sehr weitreichenden Folgen vor den Europäischen Gerichtshof
zu erwirken.
Der Verlauf der Verhandlungen ist nicht ganz einfach wieder zu geben.
Kurz gesagt, Herr Schrems war 2015 schon für die Aufkündigung der
Safe-Habour-Vereinbarung verantwortlich, welches ebenfalls durch den
Europäischen Gerichtshof entschieden wurde. Der damalige Jura-Student
konnte dem Gerichtshof vermitteln, dass die Safe-Habour-Vereinbarung
nicht das angemessene Schutzniveau erfüllt.
Ebenso stellen nun die Luxemburger Richter fest, dass die
Vereinbarung „Privacy-Shield“ gegen die Grundrechte der Europäischen
Bürger verstoße und somit ungültig ist.
Grundlegendes zum Urteil des EuGH
Nach Auffassung des EuGH besteht in den USA kein angemessenes Schutzniveau im Sinne des Artikels 45 Abs. 1 DSGVO.
In Artikel 45 steht geschrieben, dass die EU-Kommission Drittländer (oder spezifische Sektoren), außerhalb des europäischen Wirtschaftsraumes, benennen kann, in welche personenbezogene Daten ohne besondere Genehmigung übermittelt werden dürfen.
Bis zum 16. Juli ’20 war die USA als Land mit angemessenem Schutzniveau durch Privacy-Shield eines dieser Länder. Mit der Aufkündigung des Vertrages gilt die USA nicht mehr als Land mit angemessenem Schutzniveau.
Wichtig hierbei
Der EuGH hat ebenso festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist. Dazu kommen wir später!
Nicht in Panik verfallen! Rechtlich muss die Umstellung sofort
erfolgen. Hier gibt es keine Übergangsfrist. Auch besteht die
Möglichkeit, dass Nutzer, Besucher, Kunden, Mitarbeiter, etc. auf Schmerzensgeld klagen können.
Eine sofortige Umstellung kann jedoch von keinem Unternehmen geleistet werden.
Die EU-Kommission und die Aufsichtsbehörden werden die nächsten Tage und Wochen ebenso an einer Bearbeitung zur Lösung sitzen.
Grund des Urteils
Der EuGH sieht durch die amerikanischen Sicherheitsbehörden eine
umfassende und anlasslose staatliche Massenüberwachung (Rn. 184).
Der Internetverkehr wird weitreichend mitgelesen und basierend auf
bestimmten Selektoren für Geheimdienste erschließbar gemacht (Zugriff durch FBI und CIA).
Eine gerichtliche Kontrolle ist zudem nicht bzw. nur eingeschränkt
möglich (Rn. 191 f.). Der EuGH zweifelt, ob dieser „unabhängig″ ist und
für die Geheimdienste bindende Entscheidungen treffen kann (Rn. 195 f.).
Dadurch werden die Grundrechte auf Privatleben und Datenschutz aller EU-Bürger verletzt.
Was sind die Standardvertragsklauseln (SCC)
Dies sind von der EU-Kommission festgelegte Verträge, auf welche sich Unternehmen in nicht sicheren Drittländern beziehen können. Können diese Unternehmen die Bedingungen der Standardvertragsklauseln einhalten, so gilt die Übermittlung bzw. die Verarbeitung als sicher. Der Vertrag darf nicht verändert oder ergänzt werden. In diesem Falle würde er ungültig. Mit dem Urteil vom 16. Juli des EuGH muss zusätzlich eine eigene Überprüfung des Datenverarbeiters stattfinden.
Eine einfache Unterschrift der Vertragspartner reicht nicht aus. Der Datenexporteur hat eine eigene Bewertung des Schutzniveaus im Empfängerland für die transferierten Daten anzustellen.
Für die USA würde gelten, dass die Standardvertragsklauseln nicht erfüllbar sind, da die Sicherheitsbehörden unverhältnismäßigen Zugriff auf die pb. Daten des Datenexporteur erhalten.
Daher wird es schwierig, in der Prüfung zu beweisen, dass die Zugriffe nicht unmittelbar auf die übermittelten Daten erstrecken.
Das Ergebnis dieser Prüfung ist zu dokumentieren (Artikel 5 Abs. 2 „Rechenschaftspflicht“ DSGVO).
SCC meiden!
Grund: Die Standardvertragsklauseln gründen auf dem Datenschutzniveau des Landes. Da der EuGH das Datenschutzniveau der USA gerade für unzureichend angesehen hat, erteilt dieser dem Datentransfer auf Grundlage der SCC wohl ebenso eine Absage. Der Vertrag kann also von einem amerikanischen Unternehmen nicht erfüllt werden.
Was muss Ihr Unternehmen also tun?
Da die Übermittlung von personenbezogenen Daten in die USA nicht mehr der DSGVO entspricht, sollten folgende Schritte eingeleitet werden:
- Identifizierung aller Dienste welche personenbezogene Daten in die USA übermitteln.
- Identifizierung Dienstleister mit Subunternehmer aus der USA.
- An dieser Stelle wird es schon schwieriger. Auch an Dienstleister mit Subunternehmen aus der USA dürfen keine personenbezogenen Daten mehr übermittelt werden.
- Anpassen der Datenschutzhinweise
- Suche nach Alternativen
- Verträge prüfen
- Verarbeitungsverzeichnis anpassen
- TOM aktualisieren
- Letzte Möglichkeit: Einwilligung
Die Einwilligung
Im Prinzip gibt es die Möglichkeit der Einwilligung. Im Prinzip jedoch auch nicht. Da der EuGH im Urteil beschlossen hat, dass die Grundrechte der EU-Bürger verletzt werden, kann selbst einer Übermittlung bzw. Verarbeitung mit einer Einwilligung in die USA nicht zugestimmt werden.
Grundrechte können vertraglich nicht abgetreten werden. Die Grundrechte auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf kann durchaus angezweifelt werden.
Denkbar wäre
Eine transparente Aufklärung, wie z. B. Achtung, Sie verlassen hier jedes Schutzniveau, jede Sicherheit der EU und sie entäußern sich jedes Schutzes, welche die Grundrechte ihnen bietet. Folgen können z. B. Einreiseverbot oder unberechtigte Verdächtigungen sein. Darauf sollte eine Aufklärung über die Zugriffe der amerikanischen Sicherheitsbehörden folgen.
Die Möglichkeit der Einwilligung vermeiden!
Fazit
igentlich ist nun die Politik am Zug. Der Druck wird an dieser Stelle am größten sein, eventuell ein neues Abkommen auf den Weg zu
bringen bzw. Handlungsoptionen auf der neuen Grundlage herauszugeben. Abwarten wie im Jahre 2015, als „Safe-Harbor“ aufgekündigt wurde, ist
jedoch nicht zu empfehlen. 2015 wurde das halbe Jahr zwischen den beiden Abkommen („Safe-Harbor“ und Privacy-Shield) mit warten und die Lage
beobachten verbracht. Nach dem Privacy-Shield ist jedoch nicht mit einer Einigung der beiden Staaten zu rechnen, da entweder die EU die Sicherheitsstandards senkt oder die USA ihre Sicherheitsstandards anheben müsste.
Beides ist nicht zu erwarten.
Daher muss kurzfristig und unbedingt an dem Umstand der Datenverarbeitung in der USA etwas geändert werden. Hierzu sollten wir einen genauen Ablauf festlegen, um auch vor Klagen und rechtlichen Schritten gerüstet zu sein.
Sehr zu empfehlen ist folgender Podcast mit Marcus Richter, Thomas Schwenke und Dr. Malte Engeler