Neue Anforderungen bei Datenübertragung in USA und andere Länder: EuGH erklärt Privacy Shield für unwirksam
Derzeit herrscht große Rechtsunsicherheit bei der Frage, ob umfangreiche Datenübertragungen in die USA, zum Beispiel, wenn EU-Unternehmen auf Cloud-Angebote von US-Unternehmen zurückgreifen, überhaupt noch zulässig sind.
In der Entscheidung „Schrems II“ (C-311/18) hat der Europäische Gerichtshof am 16. Juli 2020 das EU-U.S. Privacy Shield für ungültig erklärt, auf dessen Grundlage bisher personenbezogene Daten in die USA übermittelt werden konnten.
Grund für die Entscheidung des EuGH: Die digitale Kommunikation wird von US-Behörden in einem Ausmaß überwacht, das – zumindest nach einem europäischen Verständnis von Grundrechten – jedes Maß vermissen lässt und daher unverhältnismäßig ist. Dies ist aufgrund der Enthüllungen von Edward Snowden seit vielen Jahren bekannt. Außerdem haben europäische Bürger, deren personenbezogene Daten in die USA übertragen werden, keinen wirksamen Rechtsschutz gegen die staatlichen Überwachungsmaßnahmen in den USA.
Die sogenannten EU-Standardvertragsklauseln, die in vielen Fällen für Datenübertragungen in die USA herangezogen werden, waren ebenfalls Gegenstand des EuGH-Urteils. Diese wurden vom EuGH nicht wie das Privacy Shield für unwirksam erklärt. Gemäß EuGH-Entscheidung müssen jedoch EU-Unternehmen, die Daten in die USA übertragen (etwa weil sie Cloud-Angebote von US-Unternehmen nützen) und dafür auf EU-Standardvertragsklauseln zurückgreifen, den Schutz der personenbezogenen Daten in den USA auf nach EU-Standards angemessene Weise sicherstellen. Es bleibt abzuwarten, wie EU-Unternehmen, die personenbezogene Daten in einer US-Cloud hinterlegt haben, den geforderten Datenschutz trotz der in den USA derzeit praktizierten Überwachung effektiv gewährleisten können.
Internationale Datentransfers mithilfe von EU-Standardvertragsklauseln, die nicht den Vorgaben des EuGH-Urteils entsprechen, können von den Aufsichtsbehörden unterbunden werden. Zusätzlich drohen bei unzulässigen Datenübertragungen empfindliche Bußgelder. Bei Beschwerde einer von unzulässigen Datenübertragungen betroffenen Person muss die Behörde zwingend tätig werden.
Das EuGH-Urteil betrifft im Übrigen nicht nur Datenübertragungen in die USA, sondern in alle Länder, in denen kein angemessenes Datenschutzniveau besteht, wie etwa China oder – mit Blick auf den Brexit – auch Großbritannien, wo ebenfalls umfangreiche staatliche Überwachung stattfindet.
Alternativen zum Einsatz von EU-Standardvertragsklauseln gibt es zwar, wie zum Beispiel die Einwilligung der betroffenen Personen. Diese dürften aber für umfangreiche Datenübertragungen, wie insbesondere bei der Inanspruchnahme von Cloud-Angeboten, in vielen Fällen nicht praktikabel sein. Hierbei besteht jedoch die Gefahr der Unwirksamkeit in Folge einer unvollständigen oder intransparenten Darstellung der möglichen Risiken des Drittlandtransfers.
Wenn die Einholung von Einwilligungen nicht in Betracht kommt, ist momentan der sicherste Weg, auf Datenübertragungen in die USA und andere Problem-Länder zu verzichten. Häufig wird dies aber, jedenfalls kurzfristig, nicht möglich sein.
Inzwischen haben die US-Regierung und die EU-Kommission Gespräche über eine Neuregelung der Datenübermittlung in die USA aufgenommen, wobei die Aussichten für einen verbesserten Rechtsrahmen ausgelotet werden sollen. Wie diese Gespräche verlaufen und ob ein verbesserter Rechtsrahmen realistisch ist, ist zurzeit jedoch noch völlig unklar.
Das EuGH-Urteil hat direkte Auswirkungen vor allem für die Unternehmens-IT, die (mit hohem Aufwand) neue hybride IT-Systemlandschaften bzw. SaaS-Lösungen (Software as a Service) unter Nutzung von Clouddiensten wie AWS, Azure usw. aufgebaut hat, um die eigenen Rechenzentren zu entlasten, Funktionen auszulagern oder Skaleneffekte zu nutzen.
In den letzten Jahren hat zudem die Nutzung von Applikationen wie WhatsApp, Evernote usw. auf Mobile Devices auch im betrieblichen Umfeld ohne eine Risikoabschätzung zugenommen.
Nach dem neuen Urteil stellt sich die Frage, wo sensible Daten gehostet werden und welchen Zugriff die Anbieter solcher IT-Dienstleistungen auf unternehmenskritische wie personenbezogene Daten haben. Parallel greifen neue Bedrohungsszenarien aus dem Cyberraum in die betrieblichen Ökosysteme ein. Auch dies kann zu empfindlichen Strafzahlungen in Folge von Datenschutzverletzungen bei fehlenden organisatorischen wie technischen Maßnahmen führen.
Die neue Situation erfordert nun (endgültig) einen ganzheitlichen Ansatz, der juristisch sowie technisch die Fragen zur Informations- und Datensicherheit umfassend berücksichtigt.
Gerne unterstützen wir Sie bei der Beurteilung des aktuellen Stands in Ihrem Unternehmen und geben Ihnen Handlungsempfehlungen für den Umgang mit der gegenwärtigen Situation.
