Nach Privacy Shield: Alles ist im (Daten)Fluss
Im Juli diesen Jahres kippte der Europäische Gerichtshof (EuGH) das EU-US Privacy Shield, indem er das Abkommen mit sofortiger Wirkung für ungültig erklärte. Ausgangspunkt war ein seit Jahren andauernder Rechtsstreit zwischen Maximilian Schrems und Facebook.
Grundsätzlich war das „Datenschutzschild“, welches die EU und die USA im Jahr 2016 ausgehandelt hatte keine schlechte Sache: Aufgrund dieser informellen Absprache konnten europäische Unternehmen ohne aufwändiges Prüfverfahren personenbezogene Daten in die USA übermitteln – heute ein Standardvorgang, vor allem im IT-Bereich. Im Zeitalter der globalen Wirtschaft sind überbordende Prüfpflichten und Sicherheitsvorgaben bei Datentransfers ins Ausland schlichtweg undenkbar und mit der Dynamik des weltweiten Marktes schwer bis gar nicht in Einklang zu bringen.
Umso wichtiger war das EU-US Privacy Shield. Auf Basis des Abkommens reichte ein kurzer Blick in eine vom US-Handelsministerium geführte Liste („Privacy Shield List“) aus, um abzuklären, ob das jeweilige US-Unternehmen, dem man Daten übermitteln wollte, über ein ausreichendes Datenschutzniveau im Sinne der europäischen Vorgaben verfügte. War das US-Unternehmen gelistet, hatte es sich folglich zur Einhaltung verbindlicher Anforderungen („Privacy Shield Principles“) durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium verpflichtet. EU-Unternehmer durften sich sohin darauf verlassen, dass die Übertragung von Daten an diese ausländischen Unternehmen sicher war.
Freilich erleichterte das die tägliche Arbeit von Datenschutzkoordinatoren und -beauftragten ungemein, aber auch die Abwicklung von Datenübermittlungen insgesamt. Besonders von Datenschützern wurde das Abkommen hingegen von Anfang an kritisiert und als konsumentenfeindlicher Kompromiss und „Deal“ bezeichnet. Der Vorwurf: Die in den USA geltenden Datenschutzbestimmungen würden nicht dem Datenschutzniveau der EU entsprechen. Insbesondere im Hinblick auf Datenzugriffe würde die USA keinen ausreichenden Schutz vor behördlichen Zugriffen gewähren. Folglich würde das System des Privacy Shield keine wirksame Möglichkeit für die Betroffenen schaffen, ihre Rechte gegenüber US-amerikanischen Behörden durchzusetzen, während US-Bürger vor der Offenlegung von Daten beim US-Geheimdienst NSA oder dem FBI sehr wohl geschützt werden. Aus diesem Grunde orteten Kritiker einen Verstoß gegen geltendes EU-Recht.
Zu dieser Einschätzung gelangte nunmehr auch der EuGH, der bereits 2015 das Vorgänger-Modell „Safe Harbor“ für ungültig erklärt hatte. Nach Ansicht des EuGH würde das Datenschutzniveau der EU im Hinblick auf die Überwachungsprogramme der USA, die damit verbundenen Eingriffe in Grundrechte betroffener Personen sowie den Mangel an Schutzmaßnahmen gegen Eingriffe in das Datenschutzrecht nicht ausreichend eingehalten werden. Kurzum: Datenübertragungen in die USA seien nicht sicher und damit unzulässig, sofern sie auf das Privacy Shield Abkommen gestützt werden.
Und jetzt? Alles neu, alles anders? Wirklich neu ist die rechtliche Lage nicht. Denn der Wegfall des Privacy Shield Abkommens bedeutet nicht, dass gänzlich neue Regelungen in Kraft treten. Vielmehr gilt, was auch schon vor dem Wegfall des Datenschutzschildes Geltung hatte. Wie genau sich Unternehmer in Zukunft rechtskonform verhalten müssen, lässt sich indes derzeit noch nicht absehen. Sicher ist, dass die Standardvertragsklauseln, die von der Europäischen Kommission für den internationalen Datenverkehr erlassen werden, wieder eine zentrale Rolle beim Datentransfer in die USA einnehmen werden. Zu diesen Standardvertragsklauseln (jetzt: Standarddatenschutzklauseln, „SDK“) entschied der EuGH nämlich, dass sie grundsätzlich gültig bleiben.
Allerdings müsse zur Gültigkeit der Klauseln erst geprüft werden, ob dadurch wirksame Mechanismen für die Einhaltung des Schutzniveaus gewährleistet werden – das kann so oder so gesehen werden. Abgesehen davon müssen Übermittler und Empfänger zudem abklären, ob im Drittstaat generell ein ausreichendes Schutzniveau gegeben ist. Genau das bezweifelt der EuGH im Falle der USA unter anderem auch deshalb, weil viele US-amerikanische Unternehmen den FISA-Überwachungsgesetzen unterliegen, die nach den 9/11-Anschlägen durch den Patriot Act zusätzlich verschärft wurden.
Tatsächlich könnte dies eine Übermittlung an US-Unternehmen auf Basis der EU-Standardvertragsklauseln erschweren oder sogar unmöglich machen. Man sollte sich daher nicht blind auf die ohnehin veralteten Formulierungen in den Standardvertragsklauseln verlassen, zumal die Textierung schon früher von Juristen bemängelt und durchaus kritisch betrachtet wurde. Aktuell arbeitet die Kommission an einer umfassenden Novellierung der Standardklauseln – inzwischen sind sie zehn Jahre alt – sowie an einer Anpassung an die Anforderungen der DSGVO. Vor jeder Datenübertragung ins Ausland sollte daher intern oder durch externe Berater ein Sicherheitscheck durchgeführt werden um abzuklären, welche Maßnahmen für eine legale Übermittlung von Daten ins Ausland notwendig sind.
Nicht immer einfach, dafür aber umso sicherer ist es, eine ausdrückliche Einwilligung der betroffenen Personen einzuholen. Solche expliziten Einwilligungen ermöglichten schon bisher einen internationalen Datenverkehr, sofern die betroffenen Personen über mögliche Risiken und über ihre Datenschutzrechte umfassend aufgeklärt und sie sohin in die Lage versetzt werden zu begreifen, welche Auswirkungen die Übertragung ihrer Daten ins Ausland haben kann. Notwendig und damit zulässig kann auch eine Datenübertragung im Rahmen der Vertragserfüllung sein – wohl aber nur dann, wenn die Daten aufgrund eines direkten Vertragsverhältnisses zwischen dem Betroffenen und dem amerikanischen Unternehmen verarbeitet werden.
Vieles ist heute noch ungewiss. Fest steht aber schon jetzt, dass europäische Unternehmen mit dem Wegfall des Datenschutzschildes wieder viel genauer prüfen müssen, ob sie Daten in die USA übermitteln dürfen.
Dr. Stephan Kliemstein ist Rechtsanwalt in Salzburg (König & Kliemstein Rechtsanwälte OG).