Nachdem der österreichische Datenschutzaktivist Max Schrems bereits 2013 gegen die Weitergabe von personenbezogenen Daten durch Facebook an US-Geheimdienste klagte, hatte der EuGH das ursprünglich zwischen der EU und den USA geltende Datenschutzabkommen „Safe Harbor“ für unwirksam erklärt (EuGH, Urteil v. 06.10.2015, C-362/14). Die EU-Kommission schloss daraufhin ein neues Abkommen mit den USA, den sogenannten „Privacy Shield“.
Als die für Facebook zuständige Datenschutzaufsichtsbehörde in Irland auch die Rechtmäßigkeit der EU-Standardvertragsklauseln anzweifelte, wurde der Fall Mitte 2019 erneut vor dem EuGH verhandelt. Überprüft wurde die Gültigkeit der Standardvertragsklauseln, auf die sich Facebook für den Transfer personenbezogener Daten europäischer Nutzer in die USA beruft. Der EuGH erklärte daraufhin in seinem finalen Urteil am 16. Juli 2020 den Privacy Shield für unwirksam. Die Standardvertragsklauseln dagegen seien zwar grundsätzlich ein geeignetes Mittel, um Datenschutzkonformität zu gewährleisten, es bedürfe bei Datentransfers in Drittstaaten, die nicht einem Angemessenheitsbeschluss der EU-Kommission unterliegen, aber zusätzlichen geeigneten Garantien (EuGH, Urteil v. 16.07.2020, C‑311/18).
Aber was bedeutet das nun für die Praxis? Steht der Datentransfer in die USA vor dem Aus? Und was sollte einem Mandanten geraten werden, der Daten in nicht-europäische Staaten transferiert?
Der datenschutzrechtliche Hintergrund
Für die Übermittlung personenbezogener Daten in Länder außerhalb der EU bzw. des europäischen Wirtschaftsraumes, sogenannte Drittländer, sieht die DSGVO in den Artikeln 44 bis 49 besondere Regeln vor, die neben den sonstigen Regelungen der DSGVO beachtet werden müssen.
Neben der Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DSGVO) können auch das Vorliegen geeigneter Garantien (Art. 46 DSGVO) oder Ausnahmen für bestimmte Fälle (Art. 49 DSGVO) den Datentransfer in Drittländer ermöglichen. Als geeignete Garantien im Sinne des Art. 46 DSGVO gelten insbesondere die Standardvertragsklauseln, zu denen das genannte EuGH-Urteil erging.
Werden personenbezogene Daten in ein Drittland übermittelt, ohne dass die Regelungen der Artikel 44 bis 49 erfüllt sind, drohen empfindliche Bußgelder.
Wie hoch ist das Bußgeldrisiko wirklich?
Die DSGVO sieht in Artikel 83 Abs. 5 lit c. für Verstöße gegen die Artikel 44 bis 49 Bußgelder von bis zu 20 Mio. Euro vor. Gerade in Zeiten von Lockdown, Remote-Working und Home-Schooling sind aber viele Unternehmen und Behörden auf die Nutzung von Online-Diensten angewiesen – und nicht wenige hiervon haben ihren Sitz in den USA oder einem anderen Drittstaat. Muss also neben den „Coronawellen“ nun eine „Bußgeldwelle“ befürchtet werden? Die Antwort lautet hier wohl: Jein.
Zwar ist grundsätzlich durchaus ein Risiko gegeben, dass die Datenschutzaufsichtsbehörden die Nutzung der Standardvertragsklauseln für Datentransfers in einen Drittstaat für nicht ausreichend erachten und ein entsprechendes Bußgeld verhängen. Insbesondere bei Datentransfers in die USA ist nach dem Urteil des EuGH das Risiko gegeben, dass Bußgelder drohen. Auch wenn Standardvertragsklauseln genutzt werden, sind diese schließlich – ohne weitere zusätzliche Garantien – nicht mehr ausreichend.
Andererseits hat die Datenschutzaufsicht in diesem Zusammenhang bislang nicht flächendeckend mit Bußgeldern gearbeitet, obwohl das Urteil jetzt nun bereits mehr als ein halbes Jahr alt ist und in der Praxis zahlreiche Verstöße vermutet werden dürfen. Zudem haben auch die Datenschutzaufsichtsbehörden ein Bewusstsein dafür, dass in den aktuellen Zeiten eine große Abhängigkeit von Online-Dienstleistern besteht, und wollen die Nutzung auch von „Kollaborationswerkzeugen aus US-Clouds“ nicht grundsätzlich verhindern.
Anbieter bessern Sicherheitslücken teils aus
Hierfür sprechen auch jüngste Veröffentlichungen verschiedener Datenschutzaufsichtsbehörden zu dem Thema Home-Schooling und Third Party Tools. Nachdem zum Beispiel der Videokonferenzdienst Zoom nach einiger Kritik schwere Sicherheitslücken ausbesserte, zog der Datenschutzbeauftragte Baden-Württembergs die Warnung bezüglich dieses Dienstes zurück. Es bestünde „kein Anlass mehr, seine an alle Schulen in Baden-Württemberg ausgesprochene Warnung länger aufrechtzuerhalten“ (LfDI BaWü, Pressemitteilung v. 24.06.2020). Es kann vor diesem Hintergrund in der Praxis lohnenswert sein, sich die Standardbedingungen von Zoom, Microsoft Teams, AWS, Google Meets/Hangouts und ähnlichen Diensten anzusehen. Man wird feststellen, dass diese Bedingungen alle die Standardvertragsklauseln beinhalten, jedoch nicht unbedingt viele oder gehaltvolle zusätzlichen Garantien. Offenbar genügt das Level an Garantien aus diesen Verträgen jedoch in der Praxis.
Auch die Erfahrungen aus dem Parallelfall Safe-Harbor sprechen eher für ein geringes Risiko. Zwar wurden in einzelnen Fällen, in denen Unternehmen sich auch nach dem Urteil des EuGH weiterhin auf das Safe-Harbor-Abkommen beriefen, Bußgelder verhängt. Diese erreichten aber nicht ansatzweise die zu diesem Zeitpunkt von der DSGVO angedrohten Bußgelder von bis zu 300.000 Euro (Adobe 8.000 Euro, Punica 9.000 Euro, Unilever 11.000 Euro).[1]
Nichtsdestotrotz muss der Mandant natürlich auf das potenziell sehr hohe Bußgeldrisiko hingewiesen werden. Trotz aller bestehender standardisierter Lösungsmöglichkeiten in der Praxis, darf das Thema nicht „auf die leichte Schulter“ genommen werden.
Was sollte dem Mandanten konkret geraten werden?
Was aber kann einem Mandanten konkret geraten werden, der Dienstanbieter nutzt, die ihren Sitz in einem Drittland haben?
In jedem Fall sollte die Speicherung der Daten in Europa vereinbart werden. Zudem sollten auch die Standardvertragsklauseln der EU-Kommission mit dem Vertragspartner abgeschlossen werden. Diese Klauseln behalten nach der EuGH-Rechtsprechung Gültigkeit und können grundsätzlich geeignete Garantien für eine Datenübermittlung in Drittländer darstellen. Es bleibt aber dabei, dass im Einzelfall überprüft werden muss, ob durch die Vereinbarung der Standardvertragsklauseln tatsächlich ein angemessenes Datenschutzniveau gewährleistet wird.
Wichtig ist hierbei vor allem die Prüfung, ob der Vertragspartner unter den Anwendungsbereich bestimmter Überwachungsgesetze fällt. Der EuGH hatte das mangelnde Datenschutzniveau bei Datenübermittlungen in die USA vor allem mit den US-amerikanischen Überwachungsgesetzen FISA-Act und Executive Order 12333 begründet. Diese Gesetze erlauben die Weitergabe personenbezogener Daten auch von Personen aus der EU bzw. dem EWR an US-Nachrichtendienste, ohne dass gegen solche Maßnahmen geeigneter Rechtsschutz möglich wäre.
Fällt der Vertragspartner nicht in den Anwendungsbereich dieser Normen, kann gut argumentiert werden, dass neben den Standardvertragsklauseln keine weiteren Garantien erforderlich sind.
Sollte dies aber doch der Fall sein, ist der Abschluss „zusätzlicher geeigneter Garantien“ erforderlich. Welche dies sind, ist aber weder durch den EuGH noch durch die Datenschutzaufsichtsbehörden eindeutig geklärt worden. Einige deutsche Aufsichtsbehörden wie der Landesbeauftragte für den Datenschutz und
die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg)[2] und die europäische Datenschutzaufsichtsbehörde EDPB[3] haben hierzu aber Richtlinien veröffentlicht, in denen als zusätzliche Garantien zum Beispiel Verschlüsselung und Anonymisierung genannt werden.
Viele der US-Anbieter mit „Standardprodukten“, insbesondere die „Hyperscaler“ Google, Amazon Web Services und Microsoft, lassen sich hierauf aber nicht ein. In diesen Fällen ist ein Umstieg auf europäische Anbieter wohl vorzugswürdig.
Ausblick – Datentransfers in die USA wird es vorerst weiterhin geben
Es ist nicht davon auszugehen, dass Datentransfers in die USA dauerhaft und endgültig nicht mehr möglich sein werden. Derzeit sucht die EU-Kommission nach zukünftigen Lösungen.
Am 12. November 2020 hat die EU-Kommission bereits einen Entwurf neuer Standardvertragsklauseln veröffentlicht, die gemäß Art. 46 DSGVO als Grundlage für den Datentransfer in Drittländer ohne Angemessenheitsbeschluss dienen können.[4] Die neuen Klauseln enthalten auch an die Vorgaben des EuGH angelehnte Regelungen. Insbesondere soll ein Vertragspartner, der von staatlichen Offenlegungsverpflichtungen betroffen ist, verpflichtet werden, diesen Umstand seinem Vertragspartner mitzuteilen, oder, sofern eine solche Mitteilung rechtlich verboten ist, mit größter Anstrengung versuchen, eine Aufhebung dieses Verbots zu erwirken. Die neuen Standardvertragsklauseln sollen voraussichtlich im Frühjahr 2021 in Kraft treten. Ob sie jedoch in der Praxis tatsächlich die endgültige Lösung für eine rechtmäßige Datenübermittlung in Drittländer darstellen, bleibt fraglich.
Daneben haben die US-Regierung und die EU-Kommission aktuell Gespräche aufgenommen, in denen über ein neues Datenschutzabkommen mit den USA diskutiert werden soll.[5] Voraussetzung wird dennoch sein, dass die USA von ihrem nachrichtendienstlichen Zugriff auf Daten von EU/EWR-Bürgern Abstand nehmen. Eine dahingehende Bereitschaft ist aber bislang nicht erkennbar.
[1] https://www.spiegel.de/netzwelt/netzpolitik/safe-harbor-suender-hamburgs-oberster-datenschuetzer-verhaengt-bussgelder-a-1096091.html, abgerufen am 11.01.2020.
[2] Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?, Stand: 07.09.2020.
[3] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, adopted on 10 November 2020
[4] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries
[5] vgl. ausführlicher hierzu: heise online, EU-Kommission verhandelt zu neuem Privacy Shield l, abgerufen am 11.01.2020.
Foto: Adobe.Stock/©Urupong
Dr. Lutz Martin Keppeler (Fachanwalt für IT-Recht) arbeitet seit 2014 bei Heuking Kühn Lüer Wojtek in Köln im Bereich IT/IP. Er berät Mandanten zu allen Fragen des IT- und Datenschutzrechts und ist in diesen Bereichen sowohl außergerichtlich als auch forensisch tätig.
