Detail-Blick Privacy Shields

Der detaillierte Blick auf Privacy Shield und Standardvertragsklauseln

Wie eine Bombe schlug das Urteil des EuGH ein, das jetzt unter dem Namen “Schrems II” bekannt ist. Der Name leitet sich vom Kläger im ursprünglichen Verfahren ab, dem österreichischen Juristen und Datenschutzaktivisten Maximilian Schrems. Er hatte gegen die Übermittlung von Daten durch Facebook in die USA geklagt. Das Gericht, das über die Frage zu entscheiden hatte, legte einige Fragen dem EuGH im Wege eines sogenannten Vorabentscheidungsverfahrens (Art. 267 AEUV) vor. Dies sollte dann schwere Folgen haben, denn von einem Moment auf den nächsten war die gesamte Übertragung personenbezogener Daten in die Vereinigten Staaten von Amerika rechtswidrig und der die Übertragung bis dato legitimierende Privacy Shield gekippt.

Was war das #PrivacyShield?

Grundsätzlich kann die Europäische Union natürlich nur Sachverhalte rechtlich regeln, die in ihrem Einflussbereich, also im Rechtsraum der EU passieren. Gerade im Datenschutzrecht wird aber vielfach auf IT gesetzt; und die kommt nicht nur vielfach aus den USA, sondern kennt in ihrer Verwendung auch kaum Grenzen. Es ist also relativ leicht, seine Datenverarbeitung mittels Mausklick außerhalb der EU durchzuführen und so den strengen Anforderungen der DSGVO zu entgehen. Das liefe natürlich dem Zweck der Verordnung zuwider, weshalb die DSGVO nicht nur weltweit die Verarbeitung von personenbezogenen Daten in der EU bzw. aus der EU reglementiert, sondern auch Anforderungen an den Transfer in ein Nicht-EU-Land aufstellt. Diese Übermittlung braucht eine eigene Rechtsgrundlage. Eine davon ist der sogenannte Angemessenheitsbeschluss.

Diesen erlässt die EU-Kommission nach einer Prüfung des Datenschutzniveaus im Zielland, beispielsweise in den USA. Kommt die Kommission zu der Erkenntnis, dass das Datenschutzniveau dort dem Niveau der EU entspricht, segnet sie dies mit einem Beschluss ab, aufgrund dessen die Datenübertragung in das Drittland nun einfach möglich ist. Der Privacy Shield war ein solcher Angemessenheitsbeschluss.
Die Kriterien der Angemessenheit sind nach der DSGVO übrigens das Maß an Rechtsstaatlichkeit, die Achtung der Menschenrechte, die Rechtsschutzmöglichkeiten und das Bestehen unabhängiger Aufsichtsbehörden.

Was stimmte nicht mit dem Privacy Shield?

Nach der Wertung des EuGH bedeutet angemessen gleichwertig. Das Schutzniveau der personenbezogenen Daten darf also nicht zur Disposition stehen. Insbesondere kritisierte der EuGH die weitreichenden Zugriffsmöglichkeiten der amerikanischen Sicherheitsbehörden auf die Daten von Unternehmen in den USA.
Aber ist das wirklich problematisch? Entsprechende Fragen stellen sich auch innerhalb der EU. Und die nationale Sicherheit, der die Geheimdienste und Polizeibehörden unstreitig zugehören, ist der Regelungskompetenz der EU entzogen, wird also autonom durch die Mitgliedsstaaten selbst bestimmt. Grundsätzlich möglich wäre es also, eine zu den USA vergleichbare Regelung zu treffen und so den Datenschutz auszuhebeln.
Aber diese Frage stellt sich überhaupt nicht, da der EuGH einen entsprechenden Vorrang des Rechts der nationalen Sicherheit nur innerhalb der EU, nicht aber in Bezug auf Drittländer akzeptiert. Insofern ist der Zugriff der Behörden in den USA voll an der DSGVO zu messen.

Insbesondere störte den EuGH, dass es keine Beschränkung des Datenzugriffes der Behörden auf das notwendige Minimum gebe und darüber hinaus, dass Nicht-US-Bürgern keine hinreichenden Möglichkeiten des Rechtsschutzes geboten würden.

Bei der Gelegenheit sei erwähnt, dass wir ein ähnliches Problem auch in Folge des #Brexit mit dem Vereinigten Königreich erleben könnten. Auch für dieses prüft die EU-Kommission derzeit einen Angemessenheitsbeschluss, der dann aber an den Sicherheitsgesetzen scheitern könnte.

 

 

Dann eben Standardvertragsklauseln

Ein Angemessenheitsbeschluss ist nicht die einzige Rechtsgrundlage für die Übermittlung. Auch die Verwendung der sogenannten Standardvertragsklauseln kann die Datenübertragung legitimieren.
Bei den Standardvertragsklauseln handelt es sich um von der EU-Kommission ausgearbeitete Mustervertragsklauseln, vergleichbar mit Formularhandbüchern oder Musterverträgen aus dem Internet. Nur eben in geprüfter und hinsichtlich der Rechtskonformität bestätigter Form.
Diese Erklärung ist wichtig, da jetzt vielfach zu beobachten ist, dass pauschal auf die Verwendung von Standardvertragsklauseln verwiesen wird. Diese gelangen aber nicht von selbst zur Anwendung. Vielmehr müssen sie Bestandteil des Vertrages werden, indem sie dort aufgenommen werden. Bestenfalls wird also ein komplett neuer Vertrag ausgearbeitet und unterschrieben, der auf den Klauseln basiert.

 

Standardvertragsklauseln sind zulässig
Die Rechtmäßigkeit der Standardvertragsklauseln hat der #EuGH mit Schrems II ebenfalls geprüft und bestätigt. Das ist an der Stelle aber auch etwas einfacher als der Angemessenheitsbeschluss. Denn während dieser unabhängig vom Einzelfall gilt, wirken die Vertragsklauseln nur zwischen den Parteien, die einen Vertrag auf deren Grundlage geschlossen haben. Sie müssen also noch mit individuellen Anpassungen auf das tatsächliche Verhältnis der beteiligten Parteien angepasst werden.
Und dann wirken sie auch nur zwischen den Parteien.
Der EuGH hat auch klargestellt, dass die Vertragsparteien verpflichtet sind, das Datenschutzniveau in dem jeweiligen Empfängerland zu prüfen. Die Verwendung der Standardvertragsklauseln alleine reicht also für die Legitimation der Übermittlung nicht aus. Und hier ist auch das Problem; die Klauseln binden keine Behörden. Der Zugriff der Sicherheitsbehörden kann durch sie also nicht beseitigt werden. Der EuGH gibt dazu an, dass ggf. weitere Maßnahmen zu treffen seien, wird dabei aber nicht konkreter.

 

Weitere Schutzmaßnahmen
Zum Schutz der personenbezogenen Daten können wir uns als weitere Maßnahmen verschiedenes vorstellen. Zum Beispiel kann der Vertragspartner zur Verschlüsselung der Daten verpflichtet werden, sodass die Behörden auch mit Zugriff zunächst nichts mit den Daten anfangen können.
Auch kann vereinbart werden, dass Server in der EU zu nutzen sind. Das begrenzt den Zugriff der Behörden wegen des Cloud Acts zwar nur begrenzt, ist aber zumindest eine kleine weitere Hürde.
Darüber hinaus kann es auch als Versuch hilfreich sein, den Vertragspartner zu umfassender Transparenz zu verpflichten und regelmäßige Reports zu den Daten und der Sicherheit einzufordern. Auch die Verpflichtung zur Ausschöpfung aller möglichen rechtlichen Maßnahmen zur Verhinderung des behördlichen Zugriffs kann verpflichtend aufgenommen werden. Darüber hinaus ist auch die Vereinbarung von Vertragsstrafen für Zuwiderhandeln eine Möglichkeit. Allerdings dürfen wir uns hier keinen Illusionen hingeben. Regelmäßig stellen die Sicherheitsbehörden beim Zugriff sogenannte Gag Orders aus. Dabei handelt es sich um Geheimhaltungsverpflichtungen, die mit hohen Geld- oder sogar Haftstrafen bewehrt sind. Im Zweifel wird der Vertrag mit dem europäischen Partner also immer den Kürzeren ziehen.

 

Fazit

Die Rechtslage ist durch die Rechtsprechung des EuGH unsicherer geworden – dies aber mit Ansage. Denn das Urteil schlug unter Kennern keineswegs wie die eingangs beschriebene Bombe ein, sondern war seit der Existenz des Privacy Shield erwartet worden. Jetzt heißt es aber, mit den Folgen zu leben.

Eine Alternative zur Verarbeitung in den USA ist mit Blick auf die standardmäßig genutzte Software in deutschen Unternehmen nicht ersichtlich. Es steht zunächst zu befürchten, dass wir keine wirklich datenschutzkonforme Verarbeitung hinbekommen werden. Maximal lässt sich der drohende Schaden begrenzen.

 

Die Aufsichtsbehörden und erst recht die EU-Kommission werden sich in naher Zukunft dazu erklären müssen, wie mit der Situation umzugehen ist.
Die Berliner Behörde macht hier den Anfang, setzt dabei aber eher auf die abschreckenden Elemente des Urteils und stellt empfindliche Strafen und Schadensersatzansprüche für die Übermittlung von Daten in die USA in Aussicht.

Quelle: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf

Noch Fragen?

Du hast Fragen oder brauchst Hilfe in Bezug auf einen Datenschutzbeauftragten in deiner Firma? Kontaktiere uns wir helfen Dir gerne weiter!

Kontaktiere Uns