Privacy Shield – viele Unklarheiten beim brüchigen Datenschutz

Privacy Shield Abkommen gekippt

Am 16. Juli hat der EU-Gerichtshof die Vereinbarung für den Datenaustausch zwischen Europa und den USA gekippt. Bis dahin diente das so genannte US Privacy Shield quasi als Freifahrschein für den Transfer von User-Daten in die Vereinigten Staaten. Da es keine Übergangsfrist gibt, besteht für betroffene Unternehmen nun akuter Handlungsbedarf. Wer nicht reagiert, riskiert hohe Bußgelder und womöglich sogar Schadenersatzanforderungen.

Das Urteil kam eigentlich wenig überraschend, zumal derselbe Gerichtshof 2015 bereits das Safe Harbor-Abkommen für ungültig erklärte. Zwar bastelte die EU-Kommission daraufhin in Windeseile das besagte Nachfolgeabkommen „Privacy Shield“, aber schon damals wurden Stimmen laut, dass auch diese Vereinbarung vor den EU-Richtern nicht halten wird.

Denn abgesehen von ein paar Zusicherungen der US-Regierung, sich an gewisse Datenschutzregeln zu halten, besteht bzw. bestand zwischen den beiden Abkommen kaum ein Unterschied. Den halbherzigen Versprechungen der US-Regierung dürfte auch der EU-Gerichtshof nicht wirklich geglaubt haben: Informationen über europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt, so die Luxemburger Richter in ihrer Urteilsbegründung.

Beide Urteile gehen übrigens auf das Konto des österreichischen Datenschutzaktivisten Max Schrems. Aus diesem Grund werden die Urteile inzwischen auch als Schrems I (Safe Harbor) und Schrems II (Privacy Shield – Rechtssache C-311/18) bezeichnet.

Inzwischen hat der Europäische Datenschutzausschuss (EDPB) auch häufig gestellte Fragen zum Schrems-II-Urteil veröffentlicht. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg stellt seit Ende August eine Orientierungshilfe in Sachen internationaler Datenverkehr zur Verfügung.

Hohes Datenschutzniveau der EU

Mit der Datenschutz-Grundverordnung (DSGVO) hat sich die Europäische Union ein sehr hohes Datenschutzniveau verpasst. Unternehmen dürfen personenbezogene Daten an andere Unternehmen bekanntlich nur dann übermitteln, wenn die Vorgaben der DSGVO eingehalten werden. Da die DSGVO EU-weit gilt, spielt es auch keine Rolle, ob sich diese Unternehmen in einem oder mehreren EU-Staaten befinden.

Sitzt der Datenempfänger jedoch außerhalb der EU, regeln die Artikel 45 bis 50 der DSGVO, unter welchen Voraussetzungen eine solche Übermittlung erlaubt ist. Grundsätzlich bedarf es dazu eines angemessenen Datenschutzniveaus in einem Drittstaat.

Eben dieses Datenschutzniveau wurde im Falle der USA durch „Privacy Shield“ bestätigt. Oder anders gesagt: mit dem Abkommen, das eine „Angemessenheitsentscheidung“ der EU-Kommission war, wurde festgestellt, dass US-Unternehmen, die sich dem „Privacy Shield“ unterwerfen, ein EU-konformes Datenschutzniveau für den Datentransfer aus der EU gewährleisten.

Dazu hatten US-Unternehmen die Möglichkeit, sich in eine vom US-Handelsministerium geführten Liste („Privacy Shield List“) eintragen zu lassen, wenn sie sich zur Einhaltung der vereinbarten verbindlichen Anforderungen („Privacy Shield Principles“) durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium verpflichteten.

Allerdings, und daran stießen sich die EU-Richter hauptsächlich, existieren gleichzeitig Überwachungsprogramme wie etwa der Foreign Intelligence Surveillance Act (FISA). Dieser gestattet nicht nur eine Massenüberwachung, auch haben Europäer keine Klageberechtigung vor einigen US-Gerichten. Will heißen: selbst, wenn sich die US-Unternehmen strikt an die Privacy Shield-Anforderungen halten, FISA müssen sie sich trotzdem beugen und können damit den Datenschutz nicht mehr gewährleisten.

Urteil mit weitreichenden Folgen

Die Folgen dieses Urteils sind weitreichend. Im Grunde bedeutet es nämlich, dass ab sofort keine Nutzerdaten aus der EU mehr in die USA übertragen und dort verarbeitet werden dürfen. Man kann sich gut vorstellen, was das für die unzähligen Tools und Dienste bedeuten würde, die aktuell auf europäischen Webseiten laufen. Nebst anderen sind beispielsweise folgende bekannte Tools betroffen:

  • Plugins von Facebook, Instagram, LinkedIn, Pinterest, Twitter usw.
  • Google Analytics, Ads, Adsense, Maps usw.
  • Mailchimp
  • WhatsApp
  • YouTube, Vimeo, Spotify usw.
  • Zoom, Skype, Microsoft Teams usw.
  • Apple
  • Und viele andere mehr…

Die ganze Reichweite des Urteils wird sich außerdem erst in den nächsten Wochen und Monaten zeigen. Mittelfristig gesehen sollten nun aber alle Unternehmen eine Bestandsaufnahme der genutzten Anbieter vornehmen und entsprechende Maßnahmen setzen. Denn jeder, der auf Dienste der zuvor Unternehmen zurückgreift und damit Daten von anderen Personen weiterleitet, handelt aktuell entgegen der Datenschutzgrundverordnung.

Individuelle Betrachtung wird notwendig

Wie dem Problem beizukommen ist, daran scheiden sich derzeit noch die rechtlichen Geister. Fix ist nur, dass es hierfür keinen allgemein gültigen Fahrplan gibt. Jedes Unternehmen muss demnach einzeln betrachtet werden, da es beispielsweise auch davon abhängt, welche Daten zu welchem Zweck gesammelt und verarbeitet werden. Ein paar Ansatzpunkte haben sich aber bereits herauskristallisiert.

  • Ein solcher Ansatzpunkt könnten etwa die EU-Standardvertragsklauseln (Standard Contractual Clauses – SCC) Die Umstellung ist jedoch recht mühsam und zeitaufwändig. Man braucht nämlich sehr genaue Informationen dazu, was wie übertragen und somit Gegenstand der Vertragsklauseln wird. Und: Bei der Übermittlung personenbezogener Daten, muss das vom Unionsrecht verlangte Schutzniveau eingehalten werden. Ob das aufgrund der US-Gesetze überhaupt möglich ist, müssen die jeweiligen Unternehmen selbst in den USA sicherzustellen. Übrigens: Auch Facebook verwendet SCCs. Diese sind zwar laut EuGH weiterhin rechtmäßig, aber eben nur, wenn ein ebenso hohes Datenschutzniveau vorhanden ist. Fazit: Die Datenweitergabe an US-Unternehmen unter den Standardvertragsklauseln kann also faktisch nicht gemäß der EuGH-Entscheidung funktionieren, weil die US-Datenschutzgesetze viel lascher sind als die Europäischen.
  • Eine weitere Möglichkeit bietet unter Umständen eine Ausnahmevorschrift des Artikels 49 der DSGVO. Demnach können Daten auch dann in ein Drittland übertragen werden, wenn eine explizite Zustimmung des Nutzers dafür vorliegt. Diese muss sich allerdings auf bestimmte Daten oder Übertragungen beziehen. Die Zustimmung muss außerdem vor dem Transfer eingeholt werden, auch wenn dieser erst nach der Datensammlung stattfindet. Der Inhaber der Daten muss zudem gezielt über mögliche Risiken informiert werden.
  • Eine vorherige, informierte, freiwillige, aktive und separat erklärte Einwilligung des Nutzers über einen Cookie- oder Consent-Banner. Das Problem: eine solche Einwilligung kann meist nicht eingeholt werden, da die Erklärung über die Datenerhebungen von Google & Co. (technisch und administrativ) nahezu unmöglich sein dürfte. Zudem ist die technische Realisierung von Einwilligungsabfragen für Tracking, Cookies und Datentransfers kompliziert und führt wahrscheinlich zu noch mehr rechtlichen Problemen.
  • Darauf hoffen, dass es recht bald ein besseres Folgeabkommen zwischen der EU und den USA gibt und dieses dann auch vorm EU-Gericht hält. Vermutlich ist das aber der riskanteste und mit ziemlicher Sicherheit auch der langwierigste Weg.

Was nun, ist jetzt Panik angebracht?

Nein, das sicher nicht – untätig herumsitzen sollte man aber auch nicht. Wir empfehlen schon jetzt eine Liste mit allen US-Softwareanbietern und -Dienstleistern, die du nutzt, zu erstellen. Analysiere dabei, ob personenbezogene Daten der Nutzer an diese Unternehmen übermittelt werden und frage nach, ob diese Anbieter eine Regelung für Kunden aus der EU treffen wird.

Außerdem solltest du dich von ihm gleich versichern lassen, dass der Anbieter dich proaktiv informiert, wenn er die strengen Datenschutzvorgaben nicht mehr einhalten kann – etwa, weil es behördliche Maßnahmen auf Grundlage des Foreign Intelligence Surveillance Acts (FISA) gibt. In diesem Fall solltest du die Datenübertragung umgehend einstellen.

Und last but not least sollten Unternehmen auch die Möglichkeit prüfen, ob ein transatlantischer Datentransfer überhaupt nötig ist, oder ob die Datenverarbeitung auch in der EU geschehen kann. Einige US-amerikanische Cloud-Anbieter bieten sehr wohl EU-Server an. Ein Zugriff durch US-Geheimdienste kann zwar auch hier nicht völlig ausgeschlossen werden, die Hürden sind hier aber um einiges höher.

Und Achtung: Auch allfälliger Support muss über die EU erfolgen, da selbst ein temporärer Zugriff auf EU-Daten aus den USA eine datenschutzrechtlich relevante Verarbeitungsmaßnahme darstellt.


Du hast Fragen zu Datenschutz und DSGVO?

Wir liefern viele Antworten. Zusätzlich implementieren wir alle notwendigen technischen Maßnahmen für die DSGVO und schulen wenn notwendig deine Mitarbeiter. Gemeinsam mit Rechtsberatern bieten wir auf Wunsch eine ganzheitliche Beratung zur EU-Datenschutzgrundverordnung an.

Wir sind auch unter +43 1 3434333 und office@techbold.at erreichbar.
Unsere vollständigen Kontaktdaten findest du hier

Sebastian Hinterseer, Leiter Kundenbetreuung

Sebastian Hinterseer

Leitung Kundenbetreuung

oder ein Account Manager aus seinem Team meldet sich umgehend.