FAQ zum Aus des Privacy Shield Abkommens

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) ein Urteil zur Übermittlung von Daten in die USA verkündet und das sogenannte „Privacy Shield Abkommen“ für ungültig erklärt. Das hat Auswirkungen auf Datenübermittlungen von europäischen Unternehmen in die USA. Für die Zusammenarbeit mit einem amerikanischen Dienstleister (z.B. Microsoft, Google, Amazon Web Services, Salesforce etc.) ist z.B. für die Nutzung von Cloudservices eine Vereinbarung zur Auftragsverarbeitung erforderlich. Zusätzlich zu dieser Vereinbarung muss ein angemessenes Datenschutzniveau am Übermittlungsort herrschen. Hierfür hatte die Europäische Kommission in der Vergangenheit das Privacy Shield Abkommen mit den USA verabschiedet. Dieses Abkommen ist seit dem letzten Donnerstag nicht mehr gültig. Das heißt, dass Übermittlungen zu Dienstleistern, die nur über eine Privacy Shield Zertifizierung legitimiert waren, rechtswidrig sind.

Ist das ein Problem?

Es ist dann ein Problem, wenn die Dienstleister keine sonstigen Mechanismen anbieten, wie z.B. die EU-Standardvertragsklauseln. Das sind Zusatzregelungen zum Umgang mit personenbezogenen Daten und werden häufig von amerikanischen Dienstleistern pauschal angeboten, z.B. auch von Microsoft, Google, Amazon Web Services.

Wer muss handeln und was muss getan werden?

Jedes Unternehmen und jede soziale Einrichtung, bzw. ganz allgemein jeder Verantwortliche, muss handeln, wenn er Dienstleister im Einsatz hat, die nur über eine Privacy Shield Zertifizierung verfügen. In diesem Fall ist zu prüfen, ob der Dienstleister auch den Abschluss von EU-Standardvertragsklauseln oder sonstigen Mechanismen anbietet. Bietet er dies nicht an, dann darf die Datenübermittlung nicht mehr erfolgen und es wäre ein neuer Dienstleister erforderlich, der die Anforderungen erfüllt.

Sind EU-Standardvertragsklauseln weiterhin sicher?

Eher nein. Der EuGH hält die EU-Standardvertragsklauseln für weiterhin gültig, weist jedoch daraufhin, dass Auftraggeber ihre Auftragnehmer überprüfen müssen, ob es aufgrund gesetzlicher Regelungen konkrete Anzeichen gibt, die das Datenschutzniveau beeinträchtigen. Dies könnten z.B. Regelungen des Cloud Act sein, der US-Unternehmen verpflichtet, auch in europäischen Rechenzentren gespeicherte Daten US-Behörden auf Anforderung zu übergeben. Wenn die Dienstleister zu der Erkenntnis kämen, dass sie aufgrund von amerikanischem Recht durch Befugnisse der US-Sicherheitsbehörden das europäische Datenschutzniveau nicht garantieren können und dies offen kommunizieren, dann wäre eine Zusammenarbeit vermutlich nicht mehr möglich und ein neuer Dienstleister erforderlich. In diesem Fall müsste der Auftraggeber seine zuständige Aufsichtsbehörde informieren. Außerdem hat der EuGH die Aufsichtsbehörden adressiert, zu prüfen, ob die EU-Standardvertragsklauseln weiterhin ausreichend sind.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber sieht ebenfalls die Unternehmen in der Pflicht, jede einzelne Datenverarbeitung zu überprüfen, ob die hohen Anforderungen des EuGH sichergestellt sind.

Die Datenschutzkonferenz kam am 28.07. in ihrer Pressemitteilung zu dem Ergebnis, dass Standardvertragsklaueln ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichen.

Was müssen Unternehmen und soziale Einrichtungen konkret tun?

  1. Überprüfung der Dienstleistungsverhältnisse mit US-Unternehmen

a) Ist nur eine Privacy Shield Zertifizierung vorhanden? Dann so schnell als möglich die EU-Standardvertragsklauseln abschließen.

b) Sind bereits EU-Standardvertragsklauseln vorhanden? Dann ist kein akuter, jedoch mittelfristiger Handlungsbedarf vorhanden.

  1. Risikobetrachtung vornehmen – Gibt es konkrete Anhaltspunkte, die daraufhin deuten, dass ein angemessenes Datenschutzniveau nicht vorhanden ist? Wie kritisch wäre der Wegfall der EU-Standardvertragsklauseln? Falls kritisch, dann sollte ggf. mit der Suche eines alternativen Dienstleisters begonnen werden.
  2. Beobachten der weiteren Entwicklung – Wir sind gespannt, wie die Aufsichtsbehörden handeln. Einen Wegfall der EU-Standardvertragsklauseln können wir uns nur schwer vorstellen, da dies den Handel- und Dienstleistungsverkehr zwischen den USA und Europa und auch dem Rest der Welt massiv schaden würde. Das heißt jedoch nicht, dass die Aufsichtsbehörden das genauso sehen.

Wie reagiert der Europäische Datenschutzausschuss auf das Aus des Privacy Shield?

Der Europäische Datenschutzausschuss hat am 23. Juli ein erstes FAQ veröffentlicht, das aktuelle Fragestellungen beantwortet. Aus Sicht des Europäischen Datenschutzausschusses besteht keine Übergangsfrist und es ist kurzfristig zu handeln. Auch für den Einsatz der EU-Standardvertragsklauseln hält er eine Einzelfallprüfung für erforderlich, ob ein angemessenes Datenschutzniveau vorliegt. Wenn man dabei zur Erkenntnis kommt, dass dies nicht der Fall ist, so ist die Datenübermittlung einzustellen. Sofern man die Übermittlung dennoch fortführen möchte, so ist die zuständige Aufsichtsbehörde darüber zu informieren.

Wie reagiert die Aufsichtsbehörde in Baden-Württemberg?

In einem Interview mit der Frankfurter Allgemeine Zeitung sendet Stefan Brink ein positiv stimmendes Signal. Er möchte mit den anderen deutschen Aufsichtsbehörden eine mehrmonatige Übergangsfrist für deutsche Unternehmen schaffen, damit diese erforderliche Anpassungen vornehmen können. Ob dies gelingt, ist jedoch unsicher, da der EuGH eine sofortige, konsequente Umsetzung ohne Rücksicht auf die Kollateralschäden fordert.

Wie reagiert die Aufsicht im Geltungsbereich des EKD auf das Aus des Privacy Shield?

Die Konferenz der Beauftragten für den Datenschutz in der EKD hält Übermittlungen unter dem EU-US-Privacy Shield für rechtswidrig. Auch für Datenübermittlungen nach EU-Standardvertragsklauseln bestünde ein erhebliches rechtliches Risiko. Die kirchliche Aufsicht bemüht sich mit den anderen deutschen Aufsichtsbehörden zu einer einheitlichen Vorgehensweise zu kommen.

Sind die EU-Standardvertragsklauseln auch für andere Länder noch einsetzbar?

Das Urteil des EuGH bezieht sich generell auf die EU-Standardvertragsklauseln und die Anforderungen zur Einzelfallprüfung sind für jede Übermittlung in ein Drittland gültig. Von daher dürfte es zu den Pflichten als Datenexporteur zählen, auch für Übermittlungen z.B. nach Indien, Russland, China etc. zu prüfen, ob es nationale Regelungen gibt, die gegen eine Datenübermittlung sprechen.

Was sind Auswirkungen auf die Binding Corporate Rules?

Der Europäische Datenschutzausschuss ist der Auffassung, dass auch die Binding Corporate Rules mit dem gleichen Maßstab zu prüfen sind. Binding Corporate Rules sind eine weitere Möglichkeit ein angemessenes Datenschutzniveau herzustellen und insbesondere für Konzerne geeignet.

Was empfiehlt der Berufsverband der Datenschutzbeauftragten in Deutschland?

EU-Standardvertragsklauseln überarbeiten und an die Datenschutz-Grundverordnung (DS-GVO) bzw. an das Urteil des EuGH anpassen.

Was empfiehlt die Gesellschaft für Datenschutz und Datensicherheit?

Die GDD sieht die Erfordernis der individuellen Prüfung der jeweiligen Sachverhalte und die Information bei der zuständigen Aufsichtsbehörde, wenn die Prüfung ergibt, dass die Übermittlung nicht in Einklang mit europäischem Recht sein dürfte.

Fazit zum Aus des Privacy Shield Abkommens

Es besteht Handlungsbedarf bei allen Übermittlungen in die USA, wie oben beschrieben. Sofern EU-Standardvertragsklauseln möglich sind, so sollten diese zum Einsatz kommen. Ob diese jedoch ausreichend sind und verlässlich sind, darf bezweifelt werden. Sofern die US-Dienstleister keine zusätzlichen Garantien anbieten, dürfte fraglich sein, ob Datenübermittlungen mit EU-Standardvertragsklauseln dauerhaft sicher sind. Aktuell scheint die Konsequenz undenkbar, dass die Nutzung von Clouddiensten plötzlich unmöglich werden könnte. Einerseits ist die Konsequenz des EuGH für den Datenschutz bewundernswert. Andererseits ist es mehr als fraglich, ob es der richtige Weg ist, dies auf dem Rücken von kleinen und mittleren Unternehmen auszufechten.

Bitte beachten Sie, dass sich der Informationsstand aufgrund der aktuellen Entwicklung kurzfristig ändern kann und dadurch Informationen veraltet sein können.

Hilfreiche Links:

FAQ des Europäische Datenschutzausschusses (European Data Protection Board) vom 23. Juli

Das Urteil des EuGH zum Abruf mit Zusammenfassung, Antrag und Schlussantrag

Stellungnahme des Berufsverband der Datenschutzbeauftragten (BvD) e.V. nach der EuGH-Entscheidung

Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Schrems II-Urteil des EuGH

Stellungnahme der Gesellschaft für Datenschutz und Datensicherheit e.V. zum EU-US-Privacy Shield / Schrems-II-Urteil

Gemeinsame Stellungnahme der Konferenz der Beauftragten für den Datenschutz in der EKD zum „Schrems II“ Urteil des EuGH vom 16.07.2020

Pressemitteilung der Datenschutzkonferenz zum Schrems II Urteil vom 28.07.2020

Häufig gestellte Fragen zum Urteil des EuGH vom 16.07.2020 „Schrems II“ von der EKD

Interview mit dem Baden-Württembergischen Landesbeauftragten für Datenschutz und Informationsfreiheit in der F.A.Z. vom 20.07.2020

Von Julian Häcker, Stand 12.08.2020

Bildquelle: Bild von  Inactive_account_ID_249 auf pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert