Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union im „Fall Schrems II“ entschieden. Die Entscheidung könnte möglicherweise erhebliche Folgen für alle Unternehmen haben. Lesen Sie weiter und verschaffen Sie sich einen Einblick, wie die Unternehmen mit dem Fall umgehen müssen.
Privacy Shield
Der „Fall Schrems II“ befasst sich mit möglichen Übermittlungen von personenbezogenen Daten an US-Firmen. Bisher war das mit Hilfe des so genannten „Privacy Shield Agreement“ möglich. Hierbei handelt es sich um ein System von Standardverträgen, in dem die US-Firmen garantierten, dass sie die europäischen DSGVO-Regeln einhalten können (derzeit agieren über 5000 US-Firmen innerhalb dieses Systems).
Der Privacy Shield ermöglichte es europäischen Unternehmen, US-Dienste in Anspruch zu nehmen und personenbezogene Daten an sie zu übermitteln, ohne zu überprüfen, ob der Partner (Datenverarbeiter) seinen Verpflichtungen tatsächlich nachkommen kann. Der Privacy Shield erleichterte somit unbestreitbar den Abschluss von Datenverarbeitungsverträgen mit US-amerikanischen Unternehmen.
Max Schrems reicht Beschwerde über Privacy Shield ein
Der Datenschutzaktivist Maximilian Schrems war jedoch unzufrieden mit dem Privacy-Shield-System, da er der Ansicht ist, dass US-Unternehmen die Einhaltung der DSGVO nicht garantieren können, da die USA über nationale Gesetze verfügt, die die Grundsätze der DSGVO außer Kraft setzen und verletzen. Unter anderem handelt es sich um Gesetze, die es dem US-Staat ermöglichen, Einblick in die personenbezogenen Daten zu erhalten, wenn beispielsweise ein Terrorismusverdacht besteht.
Schrems reichte gezielt eine Klage gegen Facebook ein, das im Rahmen des Privacy-Shield-Abkommens Daten aus seiner irischen Abteilung in die USA übermittelte (Facebook in Irland und Facebook in den USA sind zwei einzelne Unternehmen). Das bedeutet, dass die personenbezogenen Daten europäischer Nutzer in die Vereinigten Staaten gelangen können. Max Schrems bezweifelt, dass Facebook in den USA die Einhaltung der DSGVO im Umgang mit personenbezogenen Daten garantieren kann. Über diese Klage hat der Gerichtshof der Europäischen Union entschieden. Der Europäische Gerichtshof hat zugunsten von Schrems entschieden, wodurch das Privacy- Shield-Abkommen nun – von einem Tag auf den anderen – ungültig wurde. Das betrifft nicht nur Facebook, sondern alle Unternehmen, die an diesem System beteiligt sind. Der Privacy Shield ist keine gültige Grundlage mehr für die Übermittlung personenbezogener Daten in die Vereinigten Staaten.
Das Urteil des Europäischen Gerichtshofs können Sie hier nachlesen: EU-Gerichtshof.
Es ist nicht das erste Mal, dass ein Abkommen zurückgewiesen wurde
Dies ist nicht das erste Mal, dass ein Abkommen wie der Privacy Shield zurückgewiesen wurde. Das Privacy Shield-Abkommen war eine direkte Folge des vorherigen Abkommens, des sogenannten „Safe-Harbour-Abkommens“, das 2015 für ungültig erklärt wurde. Damals war es ebenfalls Max Schrems, der gegen die Vereinbarung klagte und ein positives Urteil erreichte. Der Privacy Shield sollte die Lösung für die Probleme sein, die mit Safe Harbour einhergingen, aber das ist eindeutig nicht der Fall gewesen. Wir befinden uns jetzt in einer Situation, in der personenbezogene Daten weder über Safe Harbour noch über Privacy Shield in die Vereinigten Staaten übermittelt werden können, und es gibt keine unmittelbar ersichtliche neue Lösung.
Betrifft die Entscheidung auch Ihr Unternehmen?
Die Antwort lautet ja.
Wenn Ihr Unternehmen US-Datenverarbeiter einsetzt oder Partner hat, die US-Datenverarbeiter einsetzen, dann sind Sie davon betroffen. Und wer nutzt heutzutage nicht auf irgendeiner Weise Dienste, die z.B. von Microsoft, Google, Amazon usw. angeboten werden? Im Alltag europäischer Unternehmen ist es schwierig geworden, die großen amerikanischen Technik-Giganten zu umgehen. Die meisten Unternehmen sind so stark in die amerikanischen Dienste integriert, dass es sehr kostspielig wäre, die Zusammenarbeit mit ihnen zu beenden. Wir haben einige Tipps, die sicherstellen, dass Ihr Unternehmen GDPR-konform bleibt.
Sollte ich dann also meine Zusammenarbeit mit allen US-Datenverarbeitern beenden?
Wie sich die Entscheidung konkret auf Unternehmen auswirken wird, ist noch nicht bekannt. Tatsache ist jedoch, dass der Export von Daten in die Vereinigten Staaten auf der Grundlage des Privacy-Shield-Abkommens nicht mehr legal ist. Allerdings können nicht alle Unternehmen ab sofort auf die Dienste von US-Unternehmen verzichten. Wir befinden uns daher in einem ungewissen Zustand, in dem wir abwarten müssen, wie es weitergeht. Die Frage ist, ob es Sache der einzelnen Unternehmen sein wird, eine Lösung zu finden, oder ob die Lösung auf politischer Ebene erfolgen muss.
Wenn die Lösung innerhalb der Unternehmen und Organisationen gefunden werden soll, bedeutet dies, dass Unternehmen aus den USA den gleichen Anforderungen gerecht werden müssen wie andere Drittländer. Das bedeutet, dass Sie als Verantwortlicher für die Datenverarbeitung in der Lage sein müssen, zu garantieren, dass Ihr Datenverarbeiter die Vorschriften der Verordnung über personenbezogene Daten einhalten kann. Auf jede Organisation, die US-Datenverarbeiter nutzt, kommt somit ein enormer Arbeitsaufwand zu, da sie die Risikobeurteilung von Grund auf selbst vornehmen und diese Unternehmen beaufsichtigen müssen. Aber wie können Sie erwarten, bei Ihrer Risikobeurteilung zu einer Schlussfolgerung zu gelangen, die sich von der des Europäischen Gerichtshofs unterscheidet: der offensichtlichen Tatsache, dass Unternehmen nicht garantieren können, dass sie in der Lage sind, die Anforderungen zu erfüllen? Und was machen Sie, wenn Sie z.B. Office365 nicht mehr nutzen können? Gibt es überhaupt eine Alternative? Es kommen viele komplizierte Fragen auf, und mit dem neuen Urteil ist es auf Anhieb schwierig geworden, zu erkennen, wie es zukünftig möglich sein wird, US-Unternehmen als Datenverarbeiter zu nutzen.
Eine politische Lösung?
Wenn es eine politische Lösung geben sollte, dann wäre es auch schwierig vorherzusagen, wie sie aussehen würde. Sollte es wasserdichte Firewalls zwischen der EU und den USA geben? Sollten Sanktionen gegen amerikanische Unternehmen verhängt werden oder sollte die Lösung anderswo gefunden werden? Es ist unwahrscheinlich, dass die EU die DSGVO-Gesetzgebung lockern wird, um den unzureichenden Rechtsvorschriften der USA entgegenzukommen. Ebenso scheint es unwahrscheinlich, dass die USA ihre Überwachungsgesetze aufgeben werden, durch die der Staat Einsicht in die Daten amerikanischer Unternehmen erhält.
Es ist schwer vorstellbar, welche Folgen es haben würde, wenn keine einvernehmliche Lösung für das Problem gefunden würde. Es würde die Übermittlung personenbezogener Daten an die Vereinigten Staaten praktisch illegal machen – und das Szenario einer fehlenden praktikablen Lösung ist mehr als unvorteilhaft.
Was nun?
Es könnte für Sie von Bedeutung sein zu prüfen, ob Ihre Anwälte Empfehlungen für Sie haben, wie Sie jetzt vorgehen sollten.
In seiner jetzigen Form wirft das Urteil mehr Fragen auf als es beantwortet. Sicher ist nur, dass das Urteil wie eine Bombe in die digitale Zusammenarbeit zwischen der EU und den USA eingeschlagen ist. Es bleibt wohl nichts anderes übrig, als tief durchzuatmen und auf Mitteilungen und Empfehlungen des Europäischen Datenschutzrates zu warten, der die Folgen der Entscheidung analysiert. Es ist jedoch ratsam, sich auf die möglichen Folgen für Ihr Unternehmen vorzubereiten, falls Sie sich neue IT-Dienstleister suchen oder die bisherigen wie andere Drittländer behandeln müssen.
Unter anderem könnte das bedeuten, dass Sie eine abwartende Haltung einnehmen müssen, wenn es um den Kauf neuer Dienstleistungen geht, und dass Sie Projekte unterbrechen müssen, durch die sich Ihr Unternehmen enger an amerikanische Datenverarbeiter binden würde.
