Bild von Pete Linforth auf Pixabay 

 

EuGH: Privacy Shield Vereinbarung gekippt

Die Privacy Shield Vereinbarung

Die DSGVO regelt nicht nur die Verarbeitung von personenbezogenen Daten innerhalb der EU, sondern erfasst auch Datenübermittlungen an Staaten außerhalb der Europäischen Union (sog. Drittstaaten). Geschieht dies, muss ein angemessenes Datenschutzniveau hergestellt werden, das jenem in der EU gleicht. Die speziellen Anforderungen an die Übermittlung in ein Drittland können auf verschiedenen Wegen erfüllt werden:

Zum einen hat die EU-Kommission die Möglichkeit, die Angemessenheit des Datenschutzniveaus im Drittland schlichtweg festzustellen. Diese Möglichkeit hatte sie im Hinblick auf die Übermittlung in die USA mit dem Beschluss des Privacy Shields wahrgenommen. Zum anderen können sogenannte Standardverträge, Codes of Conduct oder ähnliches genutzt werden, um die Anforderungen grundsätzlich zu erfüllen.

Hintergrund der EuGH Entscheidung

Ein in Irland lebender österreichischer Jurastudent klagte gegen die irische Gesellschaft einer in den USA ansässigen Social-Media-Anbieterin. Es ging darum festzustellen, dass ein innerhalb der EU geltender Datenschutz in angemessener Weise auch bei der Übermittlung persönlicher Daten an Drittstaaten sichergestellt werden muss. Somit müsse das Gericht klären, ob die bestehende Privacy Shield Vereinbarung diese Kriterien erfülle. Die Hauptkritik des Klägers richtete sich gegen die Möglichkeit von US-Behörden wie der NSA, weitgehende Zugriffsmöglichkeiten auf personenbezogene Daten von Europäern zu erhalten. Zudem bestehe für Betroffene aus der EU kein Rechtsschutz, da entsprechende Schutzmechanismen fehlen würden.

Die EuGH Entscheidung zum Privacy Shield – eine Zusammenfassung

Wegen der genannten möglichen Zugriffsmöglichkeiten seitens amerikanischer Behörden entschied der Europäische Gerichtshof, dass trotz geltender Vereinbarung nicht sichergestellt werden könne, dass ein angemessenes Datenschutzniveau bei den Datenübermittlungen in die USA eingehalten werde. Daher sei solch eine Vereinbarung ungültig. Dies betreffe jede Verarbeitung personenbezogener Daten, die an Unternehmen mit Sitz in den Vereinigten Staaten oder deren Server übertragen werden. Davon betroffen seien sowohl Social-Media-Netzwerke und Cloud-Anbieter, als auch Händler. Somit müsse jedweder Datentransfer, der sich lediglich mittels der nicht mehr geltenden Privacy Shield Vereinbarung legitimiert, zukünftig eingestellt werden.

Alternativen zur Privacy Shield Vereinbarung

Standarddatenschutzklauseln

Die Standardvertragsklauseln, quasi eine Alternative zum Privacy Shield und ebenfalls von der DSGVO vorgesehen, sind laut Urteil möglich. Diese können also grundsätzlich verwendet werden, um zu zeigen, dass der Empfänger der Daten ein ausreichendes Schutzniveau gewährleistet. Allerdings hat der EuGH angemerkt, dass die für die Datenverarbeitung verantwortlichen EU Unternehmen auch hier einen Blick auf die gesetzliche Lage im Drittland haben müssten. Können die Standardklauseln nicht eingehalten werden, muss die Datenverarbeitung ausgesetzt oder beendet werden.

Code of Conduct (Auf die jeweilige Branche angepasster Verhaltenskodex)

Verhaltenskodizes sind laut DSGVO zwar erlaubt, müssen jedoch durch die Datenschutzbehörden der Europäischen Union zunächst genehmigt werden. Unternehmen aus Drittländern (dazu gehören auch die Vereinigten Staaten) müssen diese Regeln unter allen Umständen einhalten.

„Einwilligung mittels Consent Tools“

Datenübertragungen durch Einwilligungen wie etwa über ein Cookie-/ Consent-Banner sind ebenfalls durchaus möglich, stellen aber aus folgenden Gründen ein Problem dar. Zum einen ist es schon rein rechtlich fraglich, ob man eine Einwilligung bei Grundrechtsverletzungen erteilen kann. Alle Datenübertragungen, wie Empfänger und Zwecke der Verarbeitung müssten dargestellt werden. Dies alles in ein Banner einzufügen, ist technisch aufwendig und garantiert keine breite Zustimmung im Netz.

Ausblick

Einerseits kann nicht ausgeschlossen werden, dass sämtliche allein auf die Privacy Shield Vereinbarung begründete Datentransfers sanktioniert werden könnten. Andererseits haben die EU Behörden ebenfalls nicht reagiert, als nach einer ähnlichen EuGH Entscheidung zum Safe Harbour-Abkommen weiterhin Datenübermittlungen stattfanden, denen ein halbes Jahr lang jegliche rechtliche Grundlage fehlte. Eine weitere internationale Vereinbarung zum Zwecke der Rechtssicherheit ist daher sehr wahrscheinlich. Einige Unternehmen könnten, bis es soweit ist, zu europäischen Dienstleistern wechseln. Liegt der Hauptsitz des Dienstleisters im Dritttland, könnte dies jedoch problematisch werden. Zudem werden die Behörden voraussichtlich prüfen, wie verhältnismäßig ein Verzicht von Dienstleistern aus Drittstaaten für ein Unternehmen ist.

Handlungsempfehlung

Wer absolut sichergehen und jedes grundsätzliche Risiko von Abmahnungen oder Bußgeldern vermeiden will, kann entsprechende Dienste, die auf das Privacy Shield setzen, abschalten, auf die Nutzung verzichten und alternative Dienste nutzen, die ihre Datenverarbeitung in der EU durchführen.

Wendet ein Unternehmen Standardvertragsklauseln (Standarddatenschutzklauseln) an, sollten folgende Punkte beachtet werden:

a) Bestandsaufnahme

Datenübermittlungen in Länder außerhalb des Europäischen Wirtschaftsraums sollten identifiziert und kategorisiert werden. Sowohl der Datenexporteur, als auch der Importeur müssen die Vereinbarkeit der Standardvertragsklauseln mit den bestehenden gesetzlichen Regelungen des Drittstaates sowie die gegenseitigen Pflichten überprüfen und festlegen.

b) Art, Umfang, Zweck, Kontext und Empfänger der Datenübermittlung

Nach Abschluss der Bestandsaufnahme: Untersuchung der Umstände einzelner Datenübermittlungen, sortiert nach deren Schutzbedarf. Dieser ermittelt mithilfe mehrerer Einschätzungen. Zum einen sollte festgestellt werden, welchen Zweck die Übermittlung hatte (z. B. eine Vertragserfüllung). Ferner kommt es darauf an, ob es sich um Kundendaten, Beschäftigtendaten, oder Logdateien handelt. Es macht zudem einen Unterschied, ob die Verarbeitung sämtlicher Kundendaten im Drittland erfolgt, oder lediglich Nutzerkennungen im Bereich des IT-Supports durch einen Unterauftragsverarbeiter genutzt werden. Letztendlich sollte berücksichtigt werden, in welchem Kontext eine Verarbeitung stattfindet. Geht es vornehmlich um Hosting, technischen Support, Backup oder Travel Management? Letztendlich ist es wichtig zu differenzieren, ob es sich beim Datenempfänger um externe Dienstleister, oder interne Konzerngesellschaften handelt.

c) Technisch-organisatorische Maßnahmen

Ein Zugriff auf übermittelte personenbezogene Daten sollte durch angemessene technisch-organisatorische Maßnahmen, bestmöglich ausgeschlossen werden. Daher ist eine ausreichende Verschlüsselung nach dem Stand der Technik unter Verwendung eines starken Kryptoalgorithmus sinnvoll. Eine maximale Sicherheit bietet allein die Ende-zu-Ende-Verschlüsselung (E2EE). Die Anonymisierung von personenbezogenen Daten ist alternativ ebenfalls möglich.

d) Angemessenheit des Schutzniveaus beim Empfänger des Datenexports

Wie bereits erwähnt muss der Datenexporteur sichergehen, dass die Einhaltung aller Standarddatenschutzklauseln durch den jeweiligen Datenimporteur eines Drittstaates garantiert werden kann. Somit muss insbesondere ausgeschlossen werden, dass die übermittelten personenbezogenen Daten durch irgendeine nationale Behörde eingesehen werden können. Ob das Schutzniveau des Drittstaates angemessen ist, bestimmt sich nach Art. 45 Abs. 2 DSGVO. Bestehende Standardvertragsklauseln sollten daher um eine Bestätigung des Datenimporteurs ergänzt werden, dass nach seinem Kenntnisstand keine Gesetze im Drittstaat bestehen, die einer vertragsgemäßen Verarbeitung personenbezogener Daten entgegenstehen. Etwaige Eingriffe seitens der Behörden müssten zudem vom Datenexporteur nach vorheriger Kenntnisnahme genehmigt werden.