Schrems II - Transfer von personenbezogenen Daten in die USA einstellen ist keine Option

Nach dem „Schrems II“–Urteil (kommentiert von meiner Kollegin Victoria Johnson) stellt sich die folgende Frage: Wie können Unternehmen jetzt noch personenbezogene Daten datenschutzkonform in die USA transferieren?

Wenn es nach der Berliner Datenschutzbeauftragten geht: Gar nicht mehr. In deren Pressemitteilung vom 17.07.2020 (711.424.1) heißt es:

„Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“

Wir fassen kurz zusammen, was für den Datentransfer in ein Land außerhalb der EU erforderlich ist: Idealerweise eine rechtliche Grundlage. Aber gibt es diese jetzt noch?

Möglichkeit 1: Angemessenheitsbeschluss

In erster Linie kommt ein Angemessenheitsbeschluss der Europäischen Kommission in Betracht. Diesen gab es zwar bereits in Form des Safe-Harbour-Abkommens, jedoch wurde dieses mit dem ersten EuGH-Schrems-Urteil gekippt. Der Nachfolger – das sog. Privacy Shield Abkommen – entfällt nunmehr durch das zweite EuGH-Schrems-Urteil. Infolgedessen scheidet ein Angemessenheitsbeschluss an dieser Stelle bereits aus.

Möglichkeit 2: Standarddatenschutzklauseln

Eine weitere Option sind die Standarddatenschutzklauseln. Allerdings verlangt der EuGH diesbezüglich vom datenschutzrechtlich Verantwortlichen die Sicherstellung im Einzelfall, dass die in ein Drittland exportierten personenbezogenen Daten gemäß dem in der EU geltenden Datenschutzniveau verarbeitet werden. Dies kann der Verantwortliche im Falle der USA de facto gar nicht garantieren, da die dortige Gesetzeslage dagegensteht. Stichwort ist dabei der CLOUD Act, wonach auch in Europa gespeicherte personenbezogene Daten den Zugriffsbefugnissen von US-Behörden bzw. diese Zugriffe keiner Kontrollbefugnis der Betroffenen, z.B. mittels richterlichem Beschluss, unterliegen.

Möglichkeit 3: Binding Corporate Rules und sonstige Datschutzklauseln

Diese Tatsache schließt folgerichtig auch gleich die nächste Möglichkeit – Binding Corporate Rules – aus. Unabhängig davon, was die Vertragspartner im Einzelfall auch vereinbaren mögen, sie können letztlich doch nicht ausschließen, dass die Sicherheitsbehörden im Zweifelsfall Zugriff auf die übermittelten personenbezogenen Daten haben. Auch die Variante, nach der US-Konzerne Tochterunternehmen in Europa mit der Verarbeitung der personenbezogenen Daten in Europa beauftragen, hilft nicht weiter, da die Sicherheitsbehörden auch in diesem Fall einen Zugriff erzwingen könnten.

Möglichkeit 4: Einwilligung der Betroffenen

Die letzte aller Möglichkeiten, nämlich die ausdrückliche Einwilligung des Betroffenen, scheitert an ihrer Umsetzbarkeit. Selbst wenn ein Unternehmen mit sämtlichen Kunden, Dienstleistern und Mitarbeitern in Kontakt träte, um deren Einwilligung in die Übermittlung ihrer personenbezogenen Daten in die USA einzuholen, zeigt doch die Erfahrung, dass ein Großteil, zumindest kundenseitig, gar nicht reagiert. Gesetzt denn Fall, eine Einwilligung würde tatsächlich abgegeben werden, wäre es eine enorme Herausforderung, diese Einwilligungen nachzuhalten. Und auch deren jederzeitige Widerrufbarkeit, macht die Einwilligung als Rechtsgrundlage für die Datenübertragung in die USA nicht attraktiver.

Was kann also passieren? Kommt es jetzt zur lang erwarteten Bußgeldwelle der Aufsichtsbehörden?

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrechterforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.

Pressemitteilung Nr.91/20 des EuGH vom 16.Juli 2020

Nach dem Wortlaut der Pressemitteilung des EuGH hätte die Berliner Beauftragte für den Datenschutz dann also „nur“ ihre Pflicht getan, als sie die Verantwortlichen aufforderte, sich neue Dienstleister innerhalb der EU zu suchen. Tatsächlich verfolgen auch die Datenschutzbeauftragten der Länder Rheinland-Pfalz, Thüringen und Hamburg einen ähnlichen Tenor. (Die Datenschutzbeauftragten der anderen Länder haben sich bislang nicht geäußert, einzig Mecklenburg-Vorpommern verweist zumindest auf die Kollegen in Hamburg.) Image removed.

Doch was soll nun die Aufforderung „zu Dienstleistern in der Europäischen Union (…) [zu] wechseln“, letztendlich heißen? Sollen Unternehmen den personenbezogenen Datentransfer in die USA in Gänze einstellen?

Das wäre wohl im Hinblick auf die Verbreitung von US-Clouddiensten in Europa als unverhältnismäßig anzusehen. Denn wie oben bereits skizziert: Auch wenn ein Verantwortlicher Clouddienste (von z.B. Office Anwendungen) in Europa nutzt, ist dies nach der Rechtsauffassung der Berliner Behörde (und ihrer Kollegen in den anderen Bundesländern) bereits nicht datenschutzkonform. Aufgrund des CLOUD-Acts und den US-geführten Unternehmen in Europa könnte im Zweifel ohne richterlichen Beschluss oder (andere) effektive Rechtmittel auf personenbezogene Daten in Europa zugegriffen werden.

Nun muss man sich natürlich die Frage stellen, ob gerade in der jetzigen Zeit die kostenintensiv angeschafften Office-Produkte und Videokonferenzsysteme von US-Anbietern wieder abgeschafft werden sollen? Das würde bedeuten, dass Unternehmen in Deutschland, die aufgrund der Corona-Krise die Digitalisierung in Rekordzeit umgesetzt haben, nun erneut (kostenintensiv) umstrukturieren müssten. Denn seien wir ehrlich, ohne einen US-Riesen wird die Wirtschaft ihr tägliches Geschäft nicht mehr erledigen können und die erforderlichen Investitionen, um Unternehmen ausschließlich auf europäische Anbieter/Dienstleister umstellen zu können, wird zu der jetzigen Zeit wohl kaum ein Unternehmen in Angriff nehmen (können). Die Vorstellung von der technischen Autarkie Europas ist daher, mit Verlaub, utopisch und spiegelt die vernetzte heutige Welt nicht wider.

Frau Smoltczyks Hamburger Kollege erkennt die Unzulänglichkeiten des Urteils:

Wenn die Ungültigkeit des Privacy Shields primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und [-]importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren.

Er kommt jedoch, genau wie Frau Smoltczyk, zu einem für die Verantwortlichen völlig unbefriedigenden Ergebnis:

Insbesondere müssen [die europäischen Aufsichtsbehörden] nun ein besonderes Augenmerk auf das Datenschutzniveau im Empfängerstaat legen. Sowohl die Verhältnismäßigkeit behördlicher Zugriffsmöglichkeiten als auch die Garantie eines funktionierenden Rechtsschutzes hat der Exporteur seiner örtlich zuständigen Datenschutzbehörde auf Verlangen nachzuweisen. Die Aufsichtsbehörden im Europäischen Datenschutzausschuss sind ihrerseits aufgerufen, gemeinsam die rechtliche und tatsächliche Situation in den Empfängerstaaten zu evaluieren. Pressemitteilung des Hamburgischen Beauftragten für Datenschutz vom 16.07.2020, Fettung durch den Autor

Sein Kollege aus Rheinland-Pfalz konkretisiert: Die Verantwortlichen müssen prüfen, welchen Gesetzen der Datenimporteur im Drittland […] und ggf. dessen weitere Vertragspartner […] unterliegen  und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Ggf. sind die konkreten Datenflüsse zu analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden. Diese Pflichten gelten für Datenübermittlungen in alle Drittländer, nicht nur in die USA.“[1]

Im Falle der USA beispielsweise, müsste sich ein Verantwortlicher demnach mit dem Foreign Intelligence Surveillance Act (FISA) 702 und der Executive Order 12333[2] auseinandersetzen.

Was aber tun in der Zwischenzeit?

„Datenübermittlungen auf Grundlage des EU-U.S.-Datenschutzschilds sind seit dem Urteilsspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sieht die DS-GVO nicht vor.“, so aus den FAQ der rheinland-pfälzischen Behörde.

Maßnahmen wie folgt ergreifen:

  • Jedes Unternehmen sollte prüfen, ob und welche personenbezogenen Daten von Kunden oder Mitarbeitern eventuell einem Zugriff durch US-Behörden oder -Nachrichtendienste ausgesetzt sein könnten. Denn neben dem bewussten Datentransfer in die USA besteht – wie erläutert – die Möglichkeit, dass aufgrund der Zugriffsbefugnisse durch den Cloud-Act, aus den USA auf personenbezogene Daten europäischer Tochterunternehmen von US-Konzernen zugegriffen werden kann.
  • Weiterhin ist es jedem Unternehmen dringend zu empfehlen, ähnlich einer Datenschutzfolgeabschätzung (DSFA), eine dokumentierte Risikoanalyse in Bezug auf den konkreten US-Datentransfer vorzuhalten. Die Risikoanalyse sollte zu dem Ergebnis kommen, dass eine Verletzung personenbezogener Daten als gering einzuschätzen ist.
  • Dies kann durch das Treffen geeigneter technischer und organisatorischer Maßnahmen erreicht werden. Danach ist zu überprüfen, wie unbefugte Zugriffsmöglichkeiten ausgeschlossen werden können, z.B. mit einer Verschlüsselung der personenbezogenen Daten. Auch eine Anonymisierung oder Pseudonymisierung könnte diesen unbefugten Zugriff verhindern.
  • Die Verwendung bzw. der Einsatz von Standarddatenschutzklauseln ist weiterhin zu empfehlen. Hat der EuGH hierzu doch ausgeführt, dass er diese für grundsätzlich anwendbar hält. Unter Einbeziehung der vorgenannten Maßnahmen besteht zumindest eine Chance, dass diese weiterhin als wirksame Vereinbarungen bestehen bleiben können.
  • Zusätzlich sollte der Empfehlung des noyb – European Center for Digital Rights gefolgt werden (https://noyb.eu/de/naechste-schritte-fuer-eu-unternehmen-faqs). Da viele der US-Cloud-Anbieter unter die FISA 702 und somit auch unter die Definition des „electronic communication service provider“ fallen. kommt für diese die Nutzung der Standarddatenschutzklauseln nicht in Betracht. Grund hierfür ist, dass die US-Behörden auf Basis dieser Rechtsgrundlage Personen außerhalb der USA über die Systeme der Service Provider ohne eine richterliche Kontrolle überwachen dürfen.

Fazit

Die vorgenannten Maßnahmen können zwar die mögliche Verhängung eines Bußgeldes und die Untersagung des Datentransfers in die USA nicht verhindern, minimieren aber in jedem Fall das Risiko. Die Auseinandersetzung mit dem Datentransfer mittels Durchführung einer Risikoanalyse und der Umsetzung technischer und organisatorischer Schutzmaßnahmen zeigt jedenfalls das Problembewusstsein eines Unternehmens. Trotzdem entspricht diese Vorgehensweise letztlich nicht der Auffassung der Datenschutzbehörden, weshalb sich Unternehmen darauf einstellen sollten, notfalls auch gerichtlich gegen Anordnungen der Aufsichtsbehörden vorgehen zu müssen.

[1] FAQs zum EuGH-Urteil vom 16. Juli 2020 (C-311/18)

[2] erlassen von Ronald Reagan, rechtfertigte die NSA noch 2013 die Überwachung von Mobiltelefonen weltweit mit diesem Gesetz

Author