DSGVO und ePrivacy

Datentransfer in die USA: Der Europäische Gerichtshof kippt Rechtsgrundlage „Privacy Shield“

Der Europäische Gerichtshof (EuGH) hat am 16. Juli in der Rechtssache Schrems II entschieden – und die Rechtsgrundlage für den Datentransfer in die USA gekippt. Laut Urteil des höchsten EU-Gerichts ist die EU-US Privacy Shield-Regelung für die Übermittlung personenbezogener Daten ungültig. Nutzerdaten von EU-Bürgern können auf Basis sogenannter Standardvertragsklauseln allerdings weiterhin in die USA übertragen werden. Nun müssen viele Unternehmen ihre Datenströme sicher und rechtskonform gestalten.

Dass die USA den Datenschutz grundsätzlich etwas sorgloser und entspannter sehen als Europa, ist allgemein bekannt. Wenn europäische Daten bei US-amerikanischen Unternehmen liegen, ergibt sich für Datenschutzaktivisten wie den Österreicher Max Schrems aber ein Problem. Etwa, weil die US-Gesetze die Grundrechte von Europäern nicht ausreichend vor unzulässiger Überwachung schützen und somit den Datenschutzansprüchen der Europäischen Union nicht entsprechen.

Eigentlich sollte der 2016 ausgehandelte EU-US Privacy Shield für Ordnung beim digitalen Transfer persönlicher Daten zwischen Europa und den USA sorgen. Das Abkommen regelte, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln durften. Darin enthalten war die Verpflichtung, Betroffene über die Datennutzung zu unterrichten und wesentliche Datenschutzregeln einzuhalten. Dabei wurde aber auch digitaler Beifang in Kauf genommen: US-Geheimdienste konnten etwa die Dokumente eines EU-Bürgers in der Cloud oder auf dem Profil eines sozialen Netzwerks vorsichtshalber speichern – obwohl das gegen sein Recht auf Schutz der Privatsphäre in der Europäischen Union verstoßen hat.

Die Daten europäische Nutzer im Visier von US-Behörden

Diese Regelung wurde jetzt vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Denn: Das Abkommen begrenze nicht wirksam den Zugriff von US-Sicherheitsbehörden auf personenbezogene Daten von EU-Bürgern, so die EuGH-Richter. „Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend,“ zitiert das Handelsblatt in seiner Online-Ausgabe vom 16. Juli aus dem EuGH-Urteil (C-311/18, Schrems II).

Ein Erfolg für Schrems, der seine Beschwerde genau damit begründete, dass Internetkonzerne in den USA aufgrund der Einführung des „Patriot Act“ und des „Cloud Act“ dazu verpflichtet seien, US-Behörden wie der NSA und dem FBI die Daten seiner europäischen Nutzer zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten.

Schrems hatte sich an die irische Datenschutzaufsicht gewandt, um den Transfer seiner von der europäischen Facebook-Tochter in Irland gespeicherten Daten an den Mutterkonzern in den USA zu stoppen. Die Behörde ließ die Sache gerichtlich klären und die Juristen am High Court wandten sich daraufhin an den EuGH.  „Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen“, so Max Schrems in einem Tweet nach dem Urteilsspruch.

Der gestoppte Datentransfer gefährdet die globalisierte Wirtschaft

US-Handelsminister Wilbur Ross hingegen zeigt sich „zutiefst enttäuscht“ über das Luxemburger Urteil und warnt vor wirtschaftlichen Nachteilen für die EU: Jetzt, da die Wirtschaft auf beiden Seiten des Atlantiks ihre „Post-Covid-19-Erholung“ fortsetze, sei es für die mehr als 5300 im Rahmen des Abkommens kooperierenden Unternehmen entscheidend, „Daten ohne Unterbrechung zu transferieren“, fügte der US-Minister auf dem Nachrichtenportal des Senders n-tv hinzu. Auch der deutsche Digitalverband Bitkom kritisiert das Urteil, da die Unternehmen nun keine Rechtssicherheit mehr hätten. Internationale Datenströme und digitale Geschäftsprozesse seien „das Fundament einer globalisierten Wirtschaft“, erklärt Susanne Dehmel von der Geschäftsleitung der Bitkom: „Die EU ist jetzt aufgerufen, schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen.“  Auch der Deutsche Industrie- und Handelskammertag (DIHK) warnt. „Wenn selbst die EU-Kommission nicht in der Lage war, mit dem Privacy Shield eine europarechtsgemäße Vereinbarung mit den USA zu treffen – wie soll man das in diesem von Unsicherheit geprägten Rechtsbereich dann gerade von kleinen und mittleren Unternehmen erwarten?“, sagt DIHK-Justiziar Stephan Wernicke im Handelsblatt vom 17. Juli.

Trotz erheblichem Aufwand für Unternehmen – Standardvertragsklauseln sind ein Ausweg

Eco-Geschäftsführer Alexander Rabe betont im Handelsblatt, dass den Unternehmen jetzt nur die Möglichkeit von Standardvertragsklauseln bleibe.  Diese würden aber „einen erheblichen Aufwand für die Unternehmen“ bedeuten. Laut dem aktuellen EuGH-Urteil können Nutzerdaten von EU-Bürgern nämlich weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden – allerdings unter Vorbehalt der Einzelfallprüfung und wenn der Datenschutz in dem anderen Land gewährleistet sei. Kurzum: Durch Standardvertragsklauseln garantieren die Unternehmen, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Viele Unternehmen hierzulande setzen bereits auf solche Musterverträge, um etwa persönliche Daten von Kunden oder Mitarbeitern an ausländische Dienstleister transferieren zu können. Thomas Boué, Direktor beim Industrieverband Business Software Alliance, zeigt sich im Handelsblatt jedenfalls erleichtert, dass der EuGH zumindest die Standardvertragsklauseln bestätigt habe. Die Annullierung des Privacy Shield bedeute aber, dass „eines der wenigen und vertrauenswürdigsten Wege für den Datentransfer über den Atlantik verschlossen wurde“. Damit erschwere das Urteil den Online-Handel zwischen EU und USA.

Auf die Datenschutzbeauftragten wartet jetzt viel Arbeit

Das Internetportal der wirtschaftsberatenden Juristen und Steuerberater in Deutschland und Österreich juve.de betont in seiner Bewertung des Falls zudem, dass der EuGH mit seinem Urteil andeute, an der Datensicherheit in den USA allgemein zu zweifeln. Unabhängig davon, ob Unternehmen Standardvertragsklauseln nutzen oder nicht, seien sie nun in der Verantwortung, das Zielland auf ein entsprechendes Datenschutzniveau zu prüfen. Außerdem würden nun wohl die Datenschutzbehörden und die Datenschutzbeauftragten stärker in die Verantwortung genommen. Bei einer Beschwerde werde eine Datenschutzbehörde prüfen und das Vorgehen im Zweifel verbieten müssen. „Mit dem Ende des EU-US-Privacy-Shield stellt sich die Frage, welche Länder noch sicher sind“, sagt beispielsweise Martin Braun, Datenschutzexperte von WilmerHale aus Frankfurt. Er fordert, dass Unternehmen für den Datenverkehr außerhalb von EU-Staaten eine klare und einheitliche Lösung brauchen. „Ein Lösungsansatz wäre beispielsweise, wenn die Datenschutzbehörden eine Länderliste herausgeben würden, worauf Unternehmen sich berufen können, wenn sie einen Export von Daten in diese Länder vornehmen wollen“, sagt er. Und Dr. Sibylle Gierschmann, Datenschutzrechtlerin der Hamburger Boutique Gierschmann Legal, meint: „Es reicht nicht aus, bloß die Standardvertragsklauseln zu vereinbaren. Vielmehr werden Unternehmen prüfen müssen, welchem Risiko die Daten bzw. die Betroffenen im Drittland ausgesetzt sind.“ Sie schlägt vor: „Denkbar ist zum Beispiel, dass die Daten bei einer Datenübermittlung in nicht sichere Drittländer durch Verschlüsselung zusätzlich vor dem Zugriff Dritter geschützt werden.“

Thomas Kahl, Fachanwalt für IT-Recht und Partner bei Taylor Wessing in Frankfurt warnt im ZDF: „Viele Unternehmen sind auf eine solche Entscheidung schlecht vorbereitet“. Es werde nicht möglich sein, von jetzt auf gleich alternative Mechanismen zu implementieren. „Es sein denn, man entscheidet sich, den Datentransfer von heute auf morgen zu kappen – was für viele Unternehmen nur schwer möglich sein wird.“ Laut Vera Jungkind, Partnerin der Kanzlei Hengeler Mueller, sind die Firmen schon heute verpflichtet zu prüfen, ob ihr Vertragspartner in den USA oder Asien die datenschutzrechtlichen Verpflichtungen auch einhalten könne – oder ob die dortigen Sicherheitsgesetze dem entgegenstünden. Die Expertin rechnet aber damit, dass Datenschützer nach dem EuGH-Urteil hier nun genauer hinschauen – auch auf Drängen von Nutzern wie Schrems.

Gesucht: eine neue Datenschutz-Regelung, mit der Europa und die USA klarkommen

Verstöße gegen das Urteil jedenfalls können teuer werden: Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten Jahresumsatzes eines Unternehmens drohen bei Zuwiderhandlungen. Alternativ könnten US-amerikanische Unternehmen die Daten ihrer EU-Kunden auf Servern innerhalb der EU speichern oder könnten beispielsweise Rechenzentren in Europa bauen.

Die Gerichtsentscheidung ist für die EU-Kommission jedenfalls eine herbe Niederlage, kommentiert Europa-Korrespondent Hans-Peter Siebenhaar im Handelsblatt. „Darum redet Wettbewerbskommissarin Margrethe Vestager auch gar nicht herum. Bereits vor fünf Jahren hatte der Gerichtshof die Vorgängerregelung von ‚Privacy Shield‘ – ‚Safe Harbor‘ – ins Abseits katapultiert. Die Richter legen mit ihrem Urteil das Versagen europäischer Datenschutzpolitik offen.

Die EU-Kommission will nun die zehn Jahre alten Standardvertragsklauseln modernisieren. Doch das reicht nicht. Tatsächlich wird ein neues und umfassendes Abkommen über gemeinsame Regeln bei der internationalen Datenübertragung gebraucht.“

Im Klartext heißt das: Die EU muss bei Verhandlungen über ein neues Abkommen zu pragmatischen Konzessionen bereit sein. Die neue EU-Kommission unter ihrer Präsidentin Ursula von der Leyen hat zu Recht die Digitalisierung als eine Priorität definiert. Und die deutsche EU-Ratspräsidentschaft kann eine Chance sein, ein neues und wirklich tragfähiges Datenschutzabkommen zwischen Europa und den USA anzustoßen.