Internationaler Datenverkehr nach der „Schrems II“
Mit seinem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) mit dem „Privacy Shield“ zum zweiten Mal Sonderregelungen für die Übermittlung personenbezogener Daten in die USA für ungültig erklärt. Die von der EU-Kommission erlassenen Standardvertragsklauseln für Datenexporte in Drittländer bleiben zwar weiterhin gültig, können allerdings für sich allein Datenexporte nicht mehr rechtfertigen. Dadurch ist bspw. die Nutzung von US-amerikanischen Cloud-Diensten durch Unternehmen und Behörden nur noch in besonderen Ausnahmefällen zulässig.
Die Beschwerde des Österreichers Maximilian Schrems gegen die Übermittlung seiner Daten durch Facebook in die USA war damit zum zweiten Mal Gegenstand einer Grundsatz-Entscheidung des EuGH. Das nunmehr für ungültig erklärte „Privacy Shield“-Abkommen war entwickelt worden in Nachfolge des 2015 ebenfalls auf eine Beschwerde von Herrn Schrems hin für ungültig erklärten „Safe Harbor“-Abkommens.
Der „EU-U.S. Privacy Shield“ sah – ähnlich den „Safe Harbor“-Regelungen – vor, dass sich US-Unternehmen in die sog. „Privacy Shield“-Liste eintragen und damit zur Einhaltung bestimmter Regelungen zum Datenschutz verpflichten können. Die US-Regierung machte zudem einige Zusagen zum Datenschutz bei behördlichen Zugriffen auf personenbezogene Daten. Durch einen Angemessenheitsbeschluss der EU-Kommission war der „Privacy Shield“ daher als Grundlage zur Rechtfertigung von Übermittlungen personenbezogener Daten an US-Unternehmen anerkannt worden.
In seinem Urteil „Schrems II“ analysierte der EuGH nunmehr im Detail die Rechtslage in den USA und stellte mit verschiedenen, jeweils für sich genommen bereits ausreichenden Begründungen fest, dass das Datenschutzniveau in den USA nicht den Anforderungen für einen zulässigen Datenexport entspricht. Denn das dortige Recht gibt den US-Behörden unbeschränkte Überwachungsbefugnisse, den betroffenen Personen hingegen keinerlei Garantien für ihre Rechte. Die Überwachungsbefugnisse der US-Behörden verstoßen daher gegen den Verhältnismäßigkeitsgrundsatz. Zudem haben betroffene Personen keinerlei gerichtliche Rechtsschutzmöglichkeiten gegenüber US-Behörden.
Die von der EU-Kommission verfassten Standardvertragsklauseln können demgegenüber grundsätzlich weiter zur Rechtfertigung von Datenexporten herangezogen werden. Allerdings werden dadurch nur auf zivilrechtlicher Ebene die für einen Datenexport erforderlichen Garantien geschaffen, denn ein Vertrag zwischen Datenexporteur und Datenimporteur kann die Behörden des jeweiligen Drittstaats nicht binden. Wer die Standardvertragsklauseln weiter einsetzen möchte, muss deshalb künftig die Rechtsordnung und Praxis des Drittlandes hinsichtlich eines etwaigen Zugriffs der Behörden dieses Landes auf die übermittelten personenbezogenen Daten prüfen. Nur wenn für die exportierten Daten auch hinsichtlich möglicher Behördenzugriffe das gebotene Schutzniveau gegeben ist, sorgen die Standardvertragsklauseln für den erforderlichen Datenschutz. Wenn dies – wie im Fall der USA – nicht der Fall ist, müssen die Garantien in den Standardvertragsklauseln durch zusätzliche Maßnahmen ergänzt werden.
Lassen sich keine ergänzenden Maßnahmen finden, die die Datenschutz-Mängel im Drittland beseitigen, müssen Datenexporte unterbleiben und bereits exportierte Daten zurückgeholt werden. Eine Verpflichtung zur Aussetzung oder Beendigung des Datenexports besteht insbesondere dann, wenn das Recht des jeweiligen Drittlands dem Datenimporteur Verpflichtungen z. B. hinsichtlich des Zugangsrechts der Behörden dieses Drittlands zu den Daten auferlegt, die den Standardvertragsklauseln widersprechen und die daher geeignet sind, die vertraglich vereinbarte Garantie eines angemessenen Schutzniveaus zu untergraben.
Die Konsequenzen des EuGH-Urteils „Schrems II“ wurden umgehend analysiert und die datenverarbeitenden Stellen in Berlin bereits am Tag nach Urteilsverkündung aufgefordert, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern, soweit nicht die Datenverarbeitung in den USA ausnahmsweise zulässig ist, insbesondere in den gesetzlich vorgesehenen Sonderfällen.
Die europäischen Datenschutzaufsichtsbehörden haben – unter maßgeblichen Beteiligung der Datenschutzaufsicht – Empfehlungen erarbeitet, wie Verantwortliche und Auftragsverarbeiter*innen, die personenbezogene Daten in Drittländer übermitteln wollen, vorgehen sollten. Diese Empfehlungen enthalten neben einer Schritt-für-Schritt-Anleitung auch denkbare ergänzende Maßnahmen, um Defizite des Datenschutzniveaus im Zielland des Datenexports u. U. auszugleichen.
Das aufgrund der Rechtsprechung des EuGH erforderliche Vorgehen zur Prüfung von Datenexporten in Drittländer, für die kein Beschluss der EU-Kommission über die Angemessenheit des Datenschutzniveaus existiert, ist sehr aufwendig. Datenexporteure müssen – ggf. in Zusammenarbeit mit den Datenimporteuren – beurteilen, ob es irgendetwas in der Gesetzgebung oder Praxis des Drittlands gibt, das die Wirksamkeit der vereinbarten Garantien beeinträchtigen könnte. Ist dies der Fall, etwa weil Behörden des Drittlands unverhältnismäßige Zugriffsrechte auf die verarbeiteten Daten haben, müssen ergänzende Maßnahmen ergriffen werden. Für die Beantwortung der Frage, welche Zugriffsrechte unverhältnismäßig sind, ist auf die europäischen Grundrechte abzustellen.
Wenn z. B. wie im Fall der USA bei Anbietern von elektronischen Cloud- und Kommunikationsdiensten unverhältnismäßige Zugriffsrechte der Behörden des Drittlands auf die zu exportierenden Daten bestehen, können die ergänzenden Maßnahmen nur technischer Art sein. Diese Maßnahmen müssen verhindern, dass die Behörden des Drittlands überhaupt Zugriff auf die Daten erhalten können, oder zumindest, dass sie mit diesen Daten etwas anfangen können. Zu beachten ist, dass auch andere Empfänger*innen, die selbst keine Anbieter von elektronischen Kommunikationsdiensten im Sinne des US-Rechts sind, indirekt solch unverhältnismäßigen Zugriffsrechten unterliegen können, nämlich wenn sie die an sie übermittelten Daten durch einen Anbieter elektronischer Kommunikationsdienste verarbeiten lassen.
Im Fall der USA – und anderer Drittländer mit unverhältnismäßigen behördlichen Zugriffsrechten – bedeutet dies, dass etwa die Nutzung dortiger IT-Dienstleister wie Cloud-Provider nur noch in sehr wenigen Fällen zulässig ist. Aber auch andere Empfänger*innen können problematisch sein – nicht nur, wenn sie selbst Behördenzugriffen unterliegen, sondern weil viele Unternehmen Cloud-Dienste einsetzen und so indirekt der Überwachung unterliegen.
Die Nutzung von US-Cloud-Diensten zur Speicherung personenbezogener Daten kann z. B. dann in Betracht kommen, wenn diese Daten so verschlüsselt sind,
dass über die gesamte Zeitdauer, über die sie vertraulich bleiben müssen, eine Entschlüsselung durch US-Behörden sicher ausgeschlossen werden kann.
Dies setzt neben diversen komplexen technischen Anforderungen u.a. voraus, dass der zur Entschlüsselung erforderliche Schlüssel niemals den Bereich verlassen darf, in dem ein angemessenes Datenschutzniveau herrscht. Denn ist der US-Cloud-Anbieter im Besitz des Schlüssels, können die dortigen Behörden nicht nur die Herausgabe der verschlüsselten Daten verlangen, sondern auch die Herausgabe des Schlüssels. Unter strikten Bedingungen können ausnahmsweise auch unverschlüsselte pseudonymisierte Daten exportiert werden, etwa zu Forschungszwecken. Die Pseudonymisierung muss dabei so ausgestaltet werden, dass sie in den USA nicht aufgehoben werden kann, auch nicht durch Verknüpfung mit anderen Informationen.
Allerdings ist zu berücksichtigen, dass bei den typischen Anwendungsfällen von Dienstleistungen, die US-Unternehmen anbieten, regelmäßig der Zugriff auf Klardaten erforderlich ist. In solchen Fällen sind keine ausreichenden ergänzenden Maßnahmen denkbar. Insbesondere genügen andere Maßnahmen wie etwa eine vertragliche Verpflichtung des Datenimporteurs, gegen Herausgabeanordnungen zu klagen, nicht. Datenexporte sind in solchen Fällen unzulässig, bereits exportierte Daten müssen sofort zurückgeholt werden.
Dies betrifft im Fall der USA z. B.
- Kommunikationsdienste wie E-Mail, Videokonferenzen, Messenger, Web- und Shop-Hosting, Einbindung von Dritt-Inhalten auf der eigenen Webseite, in der Regel auch die Abwehr von (dDoS-)Angriffen,
- Dienste zur Verwaltung von Beziehungen zu Kund*innen (Customer Relations Management), zur Personalverwaltung, zum Projektmanagement oder zum Management von Anfragen (Ticket-Systeme),
- Dienste zur verteilten Zusammenarbeit, etwa zur gemeinsamen Bearbeitung von Textdokumenten, Präsentationen, Tabellen,
- Dienste zur Synchronisation von Daten zwischen verschiedenen Geräten, Datei-Speicherung, Kalender- und Aufgabenverwaltungs-Dienste,
- Verzeichnis- und andere Dienste, die zur Authentifizierung von Personen genutzt werden und Daten über diese enthalten,
- Dienstleister, die die Überprüfung von Ausweisen, Führerscheinen und anderen Dokumenten übernehmen.
Die von der EU-Kommission als Entwurf bereitgestellten neuen Standardvertragsklauseln – an deren Kommentierung und Verbesserung wir uns zusammen mit anderen europäischen Aufsichtsbehörden beteiligt haben – ändern an dieser Problematik nichts und können dies auch nicht, da vertragliche Regelungen, an denen die ausländischen Behörden nicht beteiligt sind, diese nicht binden können.
Wie sich das Urteil „Schrems II“ auf andere Rechtsgrundlagen für Datenexporte wie verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR), Verhaltensregeln, Zertifizierungen und Einzelfallgenehmigungen auswirkt, ist derzeit noch unklar. Gleiches gilt für die Frage, ob US-Unternehmen oder ihre europäischen Tochtergesellschaften oder andere US-verflochtene Unternehmen den US-amerikanischen Überwachungsgesetzen unterliegen, wenn sie Daten nicht in den USA, sondern in der EU verarbeiten. Auch an diesen Diskussionen und Prüfungen beteiligen wir uns intensiv.
Sehr klar ist das Urteil „Schrems II“ allerdings hinsichtlich der Folgen unzulässiger Datenexporte: Kommt eine Aufsichtsbehörde am Ende ihrer Untersuchung zu dem Ergebnis, dass die betroffene Person, deren Daten in ein Drittland übermittelt wurden, dort kein angemessenes Schutzniveau genießt, ist sie nach dem Unionsrecht verpflichtet, in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen – unabhängig davon, welchen Ursprungs und welcher Art die Unzulänglichkeit ist. Daraus folgert der EuGH eine Verpflichtung der jeweiligen Aufsichtsbehörde, eine Übermittlung personenbezogener Daten in ein Drittland ohne Einräumung einer Übergangs- oder Anpassungsfrist auszusetzen oder zu verbieten, wenn sie im Lichte aller Umstände der konkreten Datenübermittlung der Auffassung ist, dass die Standarddatenschutzklauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht durch andere Mittel gewährleistet werden kann. Einzige Ausnahme von der Verpflichtung zum Erlass eines solchen Verbots ist die Situation, dass der Datenexporteur die Übermittlung bereits selbst ausgesetzt oder beendet hat. Derartige rechtswidrige Datenexporte sind im Übrigen auch mit Geldbußen bedroht.
Die Prüfung von Übermittlungen personenbezogener Daten in Drittländer, für die kein Angemessenheitsbeschluss der EU-Kommission vorliegt, ist zunächst eine Herausforderung für die Datenexporteure. Sie ist aber auch eine Herausforderung für die Aufsichtsbehörden, die diese Prüfungen wiederum selbst überprüfen und die Datenexporte ggf. verbieten müssen. Dieser Herausforderung, die der EuGH aus den Grundrechten der Menschen in der Europäischen Union herleitet, stellen wir uns.
Die Übermittlung personenbezogener Daten in Drittländer ohne von der EU-Kommission anerkanntes angemessenes Datenschutzniveau setzt detaillierte und genau dokumentierte Prüfungen seitens der Datenexporteure voraus. Hierfür stehen Empfehlungen des EDSA zur Verfügung. Je nach Ergebnis der Prüfung müssen ggf. ergänzende Maßnahmen getroffen werden. Liegt das datenschutzrechtliche Problem des Drittlandes (auch) in unverhältnismäßigen behördlichen Zugriffsrechten, kommen nur technische Maßnahmen in Betracht, die den Zugriff der Behörden ausschließen oder die Daten für die Behörden nutzlos machen. Solche Maßnahmen gibt es aktuell nur für ganz wenige Anwendungsfälle. Daher ist die Nutzung der allermeisten US-Dienstleister unzulässig und kann auch derzeit nicht rechtmäßig gestaltet werden. Verantwortliche, die solche Dienstleister direkt oder indirekt nutzen, müssen die verarbeiteten Daten sofort zurückholen.
Quelle: BInBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks