«Privacy Shield» ungültig: Wie geht es jetzt weiter?

Wer als Unternehmen personenbezogene Daten von EU-Bürgern verarbeitet und zugleich auf US-Anbieter zurückgreift, steckt nach dem Ende des «Privacy Shield» in einem Dilemma: Aktuell gibt es kaum eine rechtssichere Möglichkeit dafür. In diesem Beitrag erklären wir die derzeitige Lage.

Zum zweiten Mal hat der Europäische Gerichtshof (EuGH) eine Datenschutzvereinbarung zwischen der Europäischen Union und den Vereinigten Staaten für ungültig erklärt: Nach «Safe Harbor» im Jahr 2015 ist nun auch dessen Nachfolger «Privacy Shield» Geschichte. Betroffen sind davon alle Organisationen und Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten und dafür auf Anbieter aus den USA zurückgreifen. Ebenso manche international aufgestellte Konzerne mit Standorten in Europa und in den Vereinigten Staaten müssen sich für ihren internen Datenaustausch neu aufstellen.

Das parallele Privacy Shield zwischen der Schweiz und den USA ist vom Urteil zwar nicht direkt betroffen. Rechtsanwalt Martin Steiger erklärt allerdings: «Was nach dem EuGH-Urteil für den Privacy Shield zwischen der EU und den USA gilt, trifft sinngemäss auch auf den amerikanisch-schweizerischen Privacy Shield zu. Man darf deshalb nicht mehr davon ausgehen, damit die Übermittlung von Daten von Personen in der Schweiz in die USA absichern zu können.»

Wie es zum EuGH-Urteil kam

Ausgangspunkt für die Entscheidung des EuGH war ein Rechtsstreit zwischen dem österreichischen Juristen und Datenschutz-Aktivisten Max Schrems einerseits und Facebook andererseits. Max Schrems bezweifelte, dass die Daten von EU-Bürgern in den USA tatsächlich so geschützt sind wie das europäische Recht es verlangt. Vor allem die Enthüllungen von Edward Snowden rund um die weitreichende Überwachung des Internetverkehrs in den USA führten zum Ende des ersten Abkommens «Safe Harbor». Ein entscheidendes Problem war zugleich, dass sich EU-Bürger gegen solche Datenabfragen der US-Behörden nicht ausreichend wehren konnten. Und das ist auch heute noch der Fall.

Der schnell eingeführte Nachfolger «Privacy Shield» wurde von Anfang an kritisiert, weil die neue Vereinbarung ähnliche Schwächen aufwies. Wie sich nun zeigt, hatten die Skeptiker recht.

Lichtblicke im Privacy-Shield-Urteil

Ein Lichtblick im neuen Urteil des EuGH: Es geht um personenbezogene Daten, nicht um jede andere Form von Daten. Zudem könnten sich Unternehmen eventuell auf Ausnahmen aus dem Artikel 49 der Datenschutz-Grundverordnung (DSGVO) beziehen. Unter welchen Bedingungen das möglich ist, scheint allerdings aktuell nicht klar.

Unternehmen könnten alternativ auf Standardvertragsklauseln zurückgreifen. Ein Freifahrtsschein sind die allerdings ebenfalls nicht: Die Richter erklärten, dass die Unternehmen in diesem Fall selbst herausfinden müssen, ob die notwendigen Datenschutzregeln im Drittland eingehalten werden oder nicht. Rechtsanwalt Dr. Thomas Schwenke empfiehlt, den fraglichen US-Dienstleistern diesen Fragebogen zukommen zu lassen. «Wenn die Fragen positiv beantwortet werden, dann können Sie nachweisen, zumindest aktiv auf die Unwirksamkeit des Privacy Shields reagiert zu haben», schreibt er in seiner Einschätzung.

Die derzeit unklare Lage

In dem Zusammenhang stellt sich allerdings die grundlegende Frage, ob Datenschutz nach EU-Standard in den USA überhaupt möglich ist. Falls nicht, sind auch die Vertragsklauseln keine Hilfe. «Wenn bereits das Abkommen als ungültig angesehen wird, würde auch die Überprüfung der Einhaltung vertraglicher Klauseln am Ende zum Verbot führen müssen», sagt beispielsweise Christian Schmidt, Fachanwalt für Internetrecht und Datenschutz und Partner der Kanzlei Schmidt & Schmidt in einer Pressemitteilung.

Wer auf die Klauseln setzt, sollte nach Meinung einiger Fachleute eine entsprechende Einwilligung der Nutzer einholen. Denn der oben schon erwähnte Artikel 49 der DSGVO sieht das als Option an. Ob das zum Beispiel im Rahmen der bereits vorhandenen «Cookie-Banner» geschehen kann oder nicht, ist derzeit offen. Dr. Thomas Schwenke sieht das zwar als eine potenzielle Möglichkeit an. Er weist allerdings auch darauf hin, dass es sich als unwirksam herausstellen kann.

Die Datenschutzbehörden könnten die Übermittlung der Informationen zudem untersagen, falls diese Klauseln nach ihrer Ansicht nicht eingehalten werden oder aufgrund der Rechtslage in den USA gar nicht eingehalten werden können. Hier sind zudem Bussgelder möglich.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit stellte dazu in einer Pressemitteilung klar, dass sich Unternehmen nach alternativen Anbietern umschauen sollten: «Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.»

Rechtsanwältin Ulrike Berger erklärt in ihrem Beitrag hingegen, dass «niemand fürchten muss, dass nächste Woche die zuständigeAufsichtsbehörde vor der Türe steht und alle Datenübermittlungen in die USA untersagen wird.» Klar sei aber zugleich, dass es «Datenübermittlungen in die USA geben kann, bei denen das geforderte Schutzniveau, insbesondere das Recht auf wirksamen gerichtlichen Rechtsschutz für Nicht-US-Bürger nicht gegeben ist, etwa bei der Datenübermittlung an US-Telekommunikationsunternehmen». Denn hier hätten US-Behörden bisweilen ganz ohne richterlichen Beschluss Zugriff auf personenbezogene Daten.

Schlusswort

Sehr viel einfacher wäre die Lage, würden die USA ihre Überwachung entsprechend zurückfahren. Fachleute halten das angesichts der politischen Lage in den Vereinigten Staaten für unwahrscheinlich. Entsprechend ist auch ein Nachfolger für das «Privacy Shield» nicht so bald zu erwarten.