Kurz vor meinem Urlaub hat der EuGH nun eine bahnbrechende (ausgedruckt knapp 50-seitige) Entscheidung (EuGH, Urteil v. 16.07.2020, Az. C-311/18 – Schrems II ) erlassen. Zum Glück vor meinem Urlaub, und nicht währenddessen, aber wer möchte
sich kurz vor seinem Urlaub schon mit einem Urteil des EuGH zum Datenschutz beschäftigen.
Da es sich um ein sehr wichtiges Urteil handelt, möchte ich trotz der Umstände über den Inhalt und die Konsequenzen informieren.
Ich nehme den Kern des Urteils einmal vorweg:
Das „EU US-Privacy-Shield“ Abkommen der EU-Kommission, welches als Grundlage für die Übermittlung von Daten in die USA diente, ist unwirksam.
Wen der Sachverhalt nicht interessiert, kann diesen Teil auch gerne überspringen.
Worum genau geht es?
Herr Schrems aus Österreich nutzt seit 2008 Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems wollte dies verbieten lassen und wendete sich hierzu an die irische Datenschutzbehörde mit der Begründung, dass die Praxis der Vereinigten Staaten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten biete.
Die Aufsichtsbehörde hat seine Beschwerde zurückgewiesen, aufgrund der damals ergangenen sog. „Safe-Harbour“- Entscheidung der EU-Kommission, welche besagt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisten würden. Im Oktober 2015 erklärte der Gerichtshof die Entscheidung der Kommission für ungültig (EuGH, Urteil vom 6.10.2015, Az. C-362/14 Schrems I und Pressemitteilung Nr. 117/15).
Um den Sachverhalt abzukürzen: Die EU-Kommission erließ am 12. Juli 2016 einen weiteren Beschluss über die Angemessenheit des vom EU-US- Datenschutzschild gebotenen Schutzes („Privacy-Shield“). Die Klage des Herrn Schrems musste also den aktuellen Gegebenheiten angepasst werden. Der EuGH hat sich somit mit der hier zu besprechenden Entscheidung mit dem EU US-Privacy-Shield und den Standardvertragsklauseln auseinandergesetzt.
Mit seinem am 16.07.2020 verkündeten Urteil stellt der EuGH fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union gültig ist. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig (siehe Pressemitteilung).
Was gilt jetzt? Was ist anders als vor dem 16.07.2020?
-
EU US-Privacy-Shield
Bisher wurde die Übermittlung von Daten in die USA sehr oft auf das EU US-Privacy-Shield gestützt. Als Beispiele werden angeführt: Google Analytics, Google Maps, Microsoft 365, Amazon Web Services (AWS) etc.
Das ist nun keine Option mehr!
Sie müssen nun sämtliche Verträge und sonstige Datenübermittlungen in die USA überprüfen, insbesondere in Hinblick auf die Re
chtsgrundlage, auf der Sie die Übermittlung stützen.
Da wo möglich, sollten Sie überprüfen, ob der Dienstanbieter bzw. Vertragspartner es ermöglicht, die Daten auf Servern in der EU zu verarbeiten, und nur und ausschließlich in der EU. (Das bedeutet allerdings nur Risikominimierung, und nicht Risikoausschluss. Denn auch hier gibt es Rechtsunsicherheiten, die im Einzelfall noch geklärt werden müssen).
Überprüfen Sie, ob es Alternativen zu den Dienstanbietern in den USA gibt und beauftragen Sie Unternehmen, die ihre Dienste in der EU anbieten.
Achtung: An dieser Stelle müssen Sie natürlich auch prüfen, ob Ihre Dienstanbieter, die sich in der EU befinden, Subunternehmer beauftragen, welche die Daten in den USA verarbeiten!
Passen Sie Ihre Verträge und Datenschutzerklärungen an. Löschen Sie für Datenverarbeitung in den USA die Hinweise zum EU US-Privacy-Shield!
Fragen Sie alle Dienstanbieter aus den USA nach den Standardvertragsklauseln. Warum das eine Minimierung des Risikos (Aber auch kein Risikoausschluss) ist, erkläre ich jetzt:
-
Standardvertragsklauseln
Der EuGH hat in seinem Urteil ebenfalls entschieden, dass Standardvertragsklauseln anhand der Charta der Grundrechte der EU gültig seien. Allerdings genügt es nun nicht, einfach die Standardvertragsklauseln einzusetzen. Trotz alledem ist eine Einzelfallprüfung erforderlich. Und das sieht dann so aus, dass man die konkrete Datenverarbeitung des jeweiligen US-Dienstleisters in Hinblick auf ein angemessenes Schutzniveau prüfen muss.
Fragen Sie also alle US-Dienstleister nach dem Abschluss von Standardvertragsklauseln. Das dürfte dann erstmal nur eine vorübergehende Lösung sein. Um auf Nummer sicher zu gehen, müssten Sie das Datenschutzniveau jedes einzelnen Dienstanbieters prüfen. Der EuGH hat sich hierzu natürlich nicht konkret geäußert, so dass hier weiterhin Unsicherheiten herrschen werden.
Ausblick?
Da eine ähnliche Situation bereits im Jahr 2015 eintrat, kann man schon ahnen, dass die EU-Kommission auch diesmal eine neue Lösung ausarbeiten wird. Diese wird nicht morgen, und auch nicht bis Ende der Woche kommen. Es ist damit zu rechnen, dass es einige Monate dauern wird, bis wir näheres wissen.
