Kategorien
Neueste Beiträge
EU-US Privacy Shield: Hilfe für Unternehmen?
Wie wir bereits berichtet haben, hat der Europäische Gerichtshof (EuGH) sein Urteil zum EU-US Privacy Shield getroffen. Was nun in Ihrem Unternehmen zu tun ist, möchten wir Ihnen nachfolgend zeigen.
Die neue Ausgangslage nach dem Urteil
Mangels EU-US Privacy Shields und damit auch mangels eines Angemessenheitsbeschlusses (siehe Art. 45 DSGVO) ist zunächst die nun vorliegende Situation hinsichtlich des Datenschutzes zu betrachten. Die Datenübermittlung an bestimmte, in den USA sitzende Unternehmen gilt nun nicht mehr als gesichert, wenn und soweit sie auf dem nun vom EuGH für ungültig erklärten Privacy Shield beruhte. Betroffene Personen könnten daher rechtlich dagegen vorgehen. Daneben ist es auch möglich, dass Datenschutzaufsichtsbehörden Bußgelder für diese nun unrechtmäßige Datenübermittlung verhängen.
Um diesen Szenarien zu entgehen, sollten Unternehmen schnellstmöglich handeln und die nachfolgenden Schritte konsequent verfolgen.
Analyse der Datenübermittlungen
Zunächst ist festzustellen, dass eine Vielzahl von Datenverarbeitungsvorgängen von der Entscheidung betroffen ist. Darunter fallen nämlich alle, bei denen eine Datenübermittlung in die USA erfolgt. Denn „Datenverarbeitung“ ist der Oberbegriff für jeglichen Umgang mit personenbezogenen Daten – von deren Erhebung bis zur Löschung. Umfasst sind neben der Übermittlung auch die bloße Speicherung und die Einsichtsgewährung. Typischer Fall hiervon sind (Fern-)Wartungszugänge bei 24/7-Pflegeverträgen.
Nachdem nun geklärt ist, wonach zu suchen ist, ist die Frage zu beantworten, wie sich diese Datenübermittlungsvorgänge auffinden lassen. Dies kann entweder mittels des Verzeichnisses von Verarbeitungstätigkeiten erfolgen, wobei es hinsichtlich Datenübermittlungsvorgängen in die USA überprüft wird. Oder man nimmt eine Liste aller IT-Dienstleister zur Hand (z. B. Cloud-Provider, Werbetracking-Anbieter, E-Mail-Provider oder Newsletter-Dienstleister).
Wichtig: Hierbei dürfen nicht-US-amerikanische Unternehmen nicht unbeachtet bleiben. Viele europäische und deutsche Unternehmen ziehen zur Erbringung ihrer Leistung US-Unternehmen als Subdienstleister heran (meist zu finden in der Anlage „Subunternehmer“ bei Verträgen zur Auftragsverarbeitung).
Sodann ist in den Verträgen, speziell in Wartungs- bzw. Pflegeverträgen und Verträgen zur Auftragsverarbeitung, nach den Stichworten „EU-US Privacy Shield“ und „SCC“ (= Standard Contractual Clauses) oder „EU-Standarddatenschutzklauseln“ zu suchen.
Im Anschluss ist nach der Rechtfertigung für den Transfer der Daten in Drittländer (= Staaten außerhalb der EU) zu suchen. Ist dies der EU-US Privacy Shield, so besteht dringender Handlungsbedarf.
Einsetzen von alternativen Rechtsgrundlagen
Nach der Identifizierung der betroffenen Datenübermittlungsvorgänge ist im nächsten Schritt nach einer anderen Grundlage dafür zu suchen und der Privacy Shield zu ersetzen.
Stellen, die personenbezogene Daten ohne einen Angemessenheitsbeschluss an die USA weitergeben wollen, müssen bestimmte Voraussetzungen aufweisen können (Art. 46 Abs. 1 DSGVO). Zum einen bedarf es geeigneter Garantien für die Sicherheit der Daten, zum anderen durchsetzbarer Rechte und wirksamer Rechtsbehelfe für die betroffenen Personen.
Die sogenannten geeigneten Garantien sind in Art. 46 Abs. 2 DSGVO aufgezählt. Danach können mögliche Abhilfen etwa verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules, Art. 46 Abs. 2 lit. b), Art. 47 DSGVO) oder Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c), d) DSGVO) sein.
Im Falle der USA können diese vertraglichen Regelungen jedoch nicht das US-Recht wettmachen, welches zur Ungültigkeit der Safe Harbor-Regelung und des EU-US Privacy Shields geführt hat.
Realistisch gesehen bleiben daher nur die folgenden Möglichkeiten:
- US-Unternehmen gründen ein Tochter-Unternehmen mit Serverstandort in der EU,
- EU-Unternehmen wechseln den Dienstleister oder
- EU-Unternehmen holen sich nach einer ausführlichen Risikoaufklärung die Einwilligung der betroffenen Personen zum Datentransfer ein.
Unrealistisch ist es, darauf zu hoffen, dass sich die Datenschutzrechtslage in den USA derartig ändert, sodass diese den EU-Datenschutzgrundrechten entspricht.
Standarddatenschutzklauseln
Im Folgenden werden ausschließlich die sogenannten EU-Standarddatenschutzklauseln (SDK, engl.: SCC oder auch Model-Clauses genannt, veraltet: Standardvertragsklauseln) behandelt, da diese ebenfalls Bestandteil des Urteils des EuGH waren und die meist verbreitete Alternative zum Datentransfer darstellen.
SDK sind von der Europäischen Kommission entworfene Muster-Vertragsvorschriften für eine Vereinbarung zwischen dem Datenexporteur und dem -empfänger. Für deren Verwendung sind zusätzlich die vertraglichen Regelungen sowie die maßgeblichen Elemente der Rechtsordnung des Drittlandes zu überprüfen (hier liegt das Problem bei den USA).
Jedoch gewähren die SDK eben keine vollständige Abdeckung jeglicher Gefahren, wie beispielsweise den Zugriff von Drittlands-Behörden auf die Daten. Dies ergibt sich jedoch bereits aus der Bezeichnung „Standard“-Datenschutzklauseln – sie sind individuell erweiterbar. Daher unterscheidet der EuGH zwischen solchen SDK, die den erforderlichen Datenschutz bereits realisieren, und solchen, die in dem rohen Zustand noch Eingriffe in die personenbezogenen Daten ermöglichen.
Zwar können diese Klauseln individuell erweitert werden (dies ist auch notwendig, da nach Ansicht des EuGHs der EU-Unternehmer in der Pflicht steht, im Zusammenhang mit jeder Datenübermittlung auf Basis der SDK deren Geeignetheit oder nötige Erweiterung zu prüfen; siehe zur Anpassung der SDK auch unseren Beitrag), jedoch kann selbst diese Maßnahme im Ergebnis nicht dazu führen, dass etwa die Überwachung verhindert wird oder geeignete Rechtsbehelfe für betroffene Personen eingerichtet werden. Zudem ist problematisch, dass solche Anpassungen der Klauseln wiederum von der anderen Partei genehmigt werden müssten (was wohl kaum der Fall sein würde).
Ausnahmetatbestände, Art. 49 DSGVO
Ein Blick in Art. 49 DSGVO lohnt sich: Dort finden sich Ausnahmetatbestände, bei deren Vorliegen keine anderweitige Übermittlungsgrundlage vorliegen muss. Besonders praktisch relevant ist die für Vertragserfüllung erforderliche Übermittlung (Art. 49 Abs. 1 S. 1 lit. b) DSGVO).
Resümee
Das Urteil des EuGH wird für Viele keine Überraschung gewesen sein. Hinsichtlich des Inhalts des Privacy Shields ähnelt dieser so stark dem Vorgänger Safe Harbor, dass es nur eine Frage der Zeit war, ehe auch dieses Konstrukt gekippt wird. Für die datenschutzrechtliche Praxis wirft das Urteil jedoch nur noch mehr Probleme auf. Unternehmen stehen vor der Frage, auf welcher Basis sie nun rechtskonform Daten übermitteln können. Zwar äußerte sich der EuGH positiv bezüglich der Standarddatenschutzklauseln, jedoch zeigt die praktische Beleuchtung dieser, dass darauf nicht gebaut werden kann.
Weiterführende Informationen zu dem Urteil des EuGH und dessen Auswirkungen hält der Blog-Beitrag unseres Gründungsgesellschafters Rechtsanwalt David Seiler bereit.