Das EuGH-Urteil zum EU-US-Privacy Shield (Schrems II) und die Folgen für Unternehmen
- Der Wegfall des EU-US Privacy Shields als Datenschutzgarantie für US-Datentransfers macht umfassende Prüfungen Ihrer Verarbeitungstätigkeiten notwendig
- Die meisten Gegenmaßnahmen verschaffen primär Luft, lösen aber das Problem an sich nicht oder nur bedingt
- Transfers in andere Drittländer sollten nicht außer Acht gelassen werden, denn auch sie beinhalten ein echtes Risikopotenzial
EU-US Privacy Shield gekippt: der Anpassungsdruck
Wie weitreichend sind die Auswirkungen des Schrems II-Urteils tatsächlich?
Der EU-US Privacy Shield – als Nachfolger des im Verfahren „Schrems I“ 2015 gestrauchelten Safe Harbour-Abkommens – wurde durch den EuGH im Juli 2020 für ungültig erklärt. Lange hatte die Datenschutz-Community auf diesen Richterspruch im „Schrems II“ (nach dem klagenden Datenschutzaktivisten aus Österreich) genannten Verfahren gewartet (und ihn auch im Ergebnis so oder ähnlich erwartet). Und dennoch herrscht immer noch viel Konfusion, was deutsche und europäische Verantwortliche nun damit anfangen sollen und wie groß das Risiko wirklich ist.
Um es kurz zu machen: Der Aufwand an notwendigen Prüfungen und Anpassungen ist nicht zu unterschätzen, und das Risiko möglicher Sanktionierungen ist durchaus hoch.
Wie ist das im Einzelnen gemeint?
Zunächst einmal ist durch das Kippen des EU-US Privacy Shield eine zentrale Garantieoption für eine DSGVO-konforme Übertragung personenbezogener Daten in die USA weggefallen. Die Artikel 44ff der DSGVO schreiben das Vorliegen valider Garantien für solche Datenübertragungen in Nicht-EU-Staaten vor. Eine solche Garantie kann ein Angemessenheitsbeschluss der EU-Kommission sein (wie er bspw. für die Schweiz oder Argentinien gilt), die Verpflichtung des Datenimporteurs auf die EU-Standardvertragsklauseln (bei grundsätzlich geeigneter Gesetzeslage im Zielland), oder eben der EU-US-Privacy Shield, dem US-Unternehmen beitreten konnten.
Problematisch ist nun, dass der Verantwortliche, also das Daten exportierende Unternehmen aus der EU, aktiv und nachweislich prüfen muss, ob ausreichende Garantien bestehen – es ist also keine Bring-Schuld des empfangenden US-Unternehmens, sondern eine Holschuld des Verantwortlichen. Er muss prüfen, welche Garantien der Datenimporteur und etwaig von ihm eingesetzte Subunternehmen anführen und (!) ob diese auch ausreichend sind in Bezug auf die zu verarbeitenden personenbezogenen Daten.
Relativ einfach ist die Sachlage (wenn auch nicht gerade positiv), wenn ein relevantes US-Unternehmen sich bisher ausschließlich auf den Privacy Shield berufen hat, denn damit fehlt nun definitiv eine geeignete Garantie für die Datenübertragung und Weiterverarbeitung, sie muss umgehend eingestellt werden.
Viele US-Dienstleister, die Daten von EU-Verantwortlichen in den USA verarbeiten, haben aber in den letzten Monaten neben dem Privacy Shield zusätzlich oder als grundsätzliche Alternative die EU-Standardvertragsklauseln in ihr Vertragswerk als Datenschutz-Garantie aufgenommen.
Also alles gut?
Leider nein, denn nur durch die Auswahl eines anderen Garantieinstruments entledigt sich der Verantwortliche nicht der nötigen Prüfung, ob dieses neue Instrument tatsächlich ausreichend ist.
Hier kommen wir dann zu der Sondersituation, die die US-amerikanische Gesetzeslage darstellt, denn durch diverse nationale Sicherheits-Gesetze (Patriot Act, Cloud Act etc.) werden den amerikanischen Behörden weitreichende Zugriffsrechte auf Daten im Bestand US-amerikanischer Unternehmen gewährt, wobei etwaige vertraglich vereinbarte Schutzvorkehrungen wie die zuvor genannten Datenschutzgarantien faktisch kaum Paroli bieten können. Dies erstreckt sich übrigens auch auf Datenbestände, die außerhalb der USA liegen (also auch derjenigen, die in der EU lagern).
Verschärfend kommt hinzu, dass hiervon auch Daten betroffen sind, die man im ersten Atemzug vielleicht gar nicht anführen würde, denn für die meisten EU-Unternehmen stehen natürlich die klassischen Kundendaten wie Stammdaten, Vertragsdaten, Qualifikationsdaten etc. im Vordergrund. Es gilt nämlich das zuvor Gesagte eben auch für „Meta-Informationen“ wie etwa Tracking-Daten, sofern es sich dabei um personenbezogene Daten handelt. Da hilft es dann leider nicht wirklich, wenn man mühsam die Anforderungen des EuGH aus dem Herbst 2019 an einen DSGVO-konformen Cookie-Consent umgesetzt hat und eine nachweisbare Einwilligungslösung für Google Analytics & Co. verbaut hat – und diese Daten dann zwar erheben aber nicht zur Weiterverarbeitung in die USA übertragen darf. Aus diesem Grund muss beispielsweise generell vom Einsatz von Google Analytics abgeraten werden.
„In a nutshell“ (wie der Amerikaner sagt): Solange man keine zusätzlichen Maßnahmen ergreift und die Garantiestärke deutlich erhöhen kann, ist derzeit eine Übertragung von personenbezogenen Daten in die USA generell riskobehaftet, die Bußgeldhöhe kann durchaus schwindelerregend sein, da der Tatbestand fehlender Garantien gem. Art. 83 Abs. 5 DSGVO zu den schwereren gehört.
Man muss sich fragen, ob man bereit ist, im schlimmsten Ausgang als Präzedenzfall durchgreifender Aufsichtsbehörden herzuhalten.
Notwendige und mögliche Maßnahmen zur Risikoreduktion
Was muss und was kann man sinnvollerweise tun, um das Schlimmste zu verhindern?
Die erste Aktivität, die ein professionelles Risk Management vorgibt, ist es, das tatsächliche Risiko für das eigene Unternehmen zu ermitteln und zu bewerten.
- Haben Sie Außenstellen oder Tochterunternehmen in den USA?
- Setzen Sie überhaupt Dienstleister ein, die personenbezogene Daten in den USA verarbeiten?
- Setzen diese Subdienstleister ein, die das tun?
Wenn Sie diese Fragen mit „nein“ beantworten können und ihre Daten ausschließlich in der EU verarbeitet werden, können Sie relativ beruhigt schlafen, auch wenn sich dennoch eine kurze Überprüfung Ihrer Prozesse empfiehlt, ob sie nicht doch irgendein Tool übersehen haben.
Haben Sie jedoch Prozesse und Dienstleister entdeckt, bei denen eine Übertragung in die USA (direkt oder indirekt oder potenziell!) der Fall ist, müssen Sie insbesondere zwei Dinge zeitnah tun:
- Prüfen Sie die bestehenden Datenschutzvereinbarungen (es handelt übrigens sich nicht nur um Auftragsverarbeitungs-Fälle, auch andere Formen der Dienstleistung mit Datentransfer sind zu betrachten) auf angeführte Garantien gem. Artikel 44ff DSGVO. Erstellen Sie sich eine Liste der Dienstleister, in der ersichtlich ist, welche Garantien konkret benannt sind und welche Daten übertragen werden (könnten).
- Informieren Sie offiziell die betroffenen Dienstleister, stellen Sie die Problematik dar und fordern Sie sie auf, Stellung zu nehmen und etwaige zusätzliche Garantien zu benennen.
Je nach Sensitivität und Menge der betroffenen Daten sollten Sie durchaus streng zu sich und dem Dienstleister auf mögliche Antworten reagieren: Wenn Sie keine befriedigende oder zumindest in die richtige Richtung gehende Antwort erhalten, müssen nicht absolut notwendige Datenübertragungen umgehend unterbleiben, für geschäftskritische Übertragungen sollten Sie zusammen mit den relevanten Fachabteilungen gangbare temporäre Alternativen erarbeiten und zeitnah umsetzen.
Eine Reaktion „in die richtige Richtung“ könnte übrigens sein, wenn der Privacy Shield durch die EU-Standardvertragsklauseln ersetzt und Ihnen eine unkomplizierte Verlagerung der Verarbeitung aus den USA in den EU-Raum oder ein geeignetes Land mit einem Angemessenheitsbeschluss der EU-Kommission angeboten wird (so wie es viele Lizenzmodelle mit großen Anbietern wie Microsoft heute schon vorsehen). Das Risiko ist dann zwar noch nicht komplett ausgeschaltet (s.o.), aber zumindest schon mal deutlich reduziert, denn je größer der Dienstleister ist, desto mehr hat auch er ein Interesse sich im Fall eines geforderten Zugriffs der US-Behörden auf Ihre Daten außerhalb der USA zu wehren.
Begleitend sollten Sie sich auf die Suche machen nach alternativen Verarbeitungsmöglichkeiten innerhalb der EU, und das sowohl für eher unwichtig erscheinende Verarbeitungen (im Sinne von „Quick Wins“) als auch für die kritischen Prozesse (zur langfristigen Sicherung der Geschäftsbasis).
All diese Aktivitäten sollten Sie sauber dokumentieren, um im Überprüfungs- und Bußgeldfall zumindest nachweisen zu können, dass Sie eine konforme Lösung proaktiv und mit Nachdruck anstreben.
Es gibt inzwischen auch weitergehende Maßnahmen-Empfehlungen seitens der Aufsichtsbehörden wie etwa die des LfDI aus Baden-Württemberg (Orientierungshilfe Internationaler Datentransfer). Hier wird etwa empfohlen, mit dem Datenimporteur ein Verschlüsselungsverfahren oder eine Pseudonymisierung zu implementieren, bei dem nur der Verantwortliche den Schlüssel bzw. die Zusammenführungsdatei behält (somit kein Zugriff für US-Behörden auf Daten mit Personenbezug möglich, selbst bei Zugangserteilung durch den US-Dienstleister), oder eine faktische Anonymisierung wird nahegelegt (die nachweislich den hohen Anforderungen der Behörden an wirklich anonyme Daten genügt). Dazu soll der Verantwortliche eine Ergänzung der EU-Standardvertragsklauseln mit dem Empfänger abstimmen.
Über die Machbarkeit solcher Vorschläge muss sicher noch diskutiert werden, eine einfache und kurzfristig erreichbare Lösung ist dies jedoch sicher nicht. Eine Argumentation über den „Ausnahme-Artikel“ 49 des DSGVO benennt der LfDI selbst nur als „allerletztes Mittel“ ohne große Aussicht auf Erfolg, daher wird diese Option hier nicht weiter vertieft.
Tipp: Bei der Bewertung der konkreten Risiken und Abhilfemaßnahmen für Ihr Unternehmen empfiehlt es sich in jedem Fall, den Rat eines Datenschutzexperten einzuholen, sei es der eigene Datenschutzbeauftragte (sofern vorhanden) oder eine (zusätzliche) Expertise von außen.
Weitergehende Überlegungen
Keine Datenübertragung in die USA – also alles safe?
Abschließend muss in diesem Zusammenhang natürlich noch auf Situationen eingegangen werden, in denen zwar keine Übertragung in die USA stattfindet, aber in andere „unsichere Drittstaaten“ wie etwa China, Russland oder vermutlich bald auch Großbritannien. Die aktuellen Verhandlungsschwierigkeiten zwischen London und Brüssel lassen zumindest die Hoffnung schwinden, dass man zum Ablauf der Übergangsfrist Ende 2020 neben zahlreichen anderen Regelungen auch einen Konsens zum Datenschutz gefunden haben wird.
Für alle diese Länder gelten streng genommen die gleiche Anforderung wie für die USA: Sind ausreichend stabile Datenschutz-Garantien vorhanden – und sind diese auch durchsetzbar? Selbst wenn die nationalen Gesetze im jeweiligen Zielland keine expliziten behördlichen Durchgriffsrechte wie in den USA vorsehen, so ist dennoch nachhaltig zu prüfen, wo etwaige Risiken für die personenbezogenen Daten aus Ihrem Unternehmen bestehen könnten. Ohne qualifizierten Rechtsbeistand mit Know-how aus dem Rechtsraum des Ziellandes wird dies kaum zu leisten sein.
Da die Anforderungen vergleichbar mit denen an US-Transfers sind, ist natürlich auch das empfohlene Vorgehen analog zu sehen: Statusprüfung, zusätzliche Garantien, zeitnaher Transfer von Verarbeitungen in einen sicheren Rechtsraum (EU oder mit Angemessenheitsbeschluss), Alternativensuche – all dies ist anzugehen, und da man es ja sowieso für die „USA-Problemfälle“ tut, kann man es auch gleich für alle Datentransfers tun. Die Definition eines entsprechenden internen Projektes ist somit eindeutig anzuraten.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!