28.07.2020 von

Wieso Sie nach „Schrems II“ Standardvertragsklauseln brauchen

Der Europäische Gerichtshof hat „Privacy Shield“ gekippt: Um weiter Daten in den USA verarbeiten zu können, müssen Unternehmen nun Standardvertragsklauseln abschließen.

Nahezu jedes Unternehmen setzt heutzutage US-amerikanische IT-Dienstleister ein: Ob Amazon-Webservices für das Hosting von Webservern oder Microsoft Office 365 als Bürosoftware, kein Unternehmen schafft es, Daten nur mehr bei sich zu halten. Rechtliche Grundlage dafür war bislang fast immer der „Privacy Shield“ – eine Selbstzertifizierung US-amerikanischer Dienstleister, die sich zu europäischen Datenschutzstandards verpflichtet haben. Der Europäische Gerichtshof hat diese Möglichkeit mit seinem Urteil in „Schrems II“ nun gekippt – nachdem er bereits 2015 die Vorgängerregelung „Safe Harbor“ aufgehoben hatte.

Datentransfers in ein Nicht-EU-Land sind für den Gerichtshof nur zulässig, wenn die Daten dort ebenfalls adäquat geschützt sind. Überwachungsgesetze wie der U.S. Foreign Intelligence Surveillance Act („FISA“) ermöglichen den US-Behörden aber, Nicht-US-Bürger sehr breitflächig zu überwachen – und zwar ohne Verhältnismäßigkeitsprüfung und ohne ausreichenden Rechtsschutz für Betroffene.

EuGH entzieht Datenübertragungen die Rechtsgrundlage

Da der EuGH „Privacy Shield“ ohne jegliche Übergangsfrist aufgehoben hat, fehlt seit Donnerstagvormittag fast allen Datenübermittlungen in die USA die Rechtsgrundlage. Nicht betroffen ist lediglich die direkte Verwendung von US-Services durch Privatpersonen wie beim Versenden von E-Mails oder Buchungen von Hotels. Reagieren müssen nun alle Unternehmen und Serviceanbieter, die personenbezogene Daten von Nutzern, Kunden, Lieferanten oder Mitarbeitern in die USA übertragen – ganz egal, ob es sich dabei um europäische Unternehmen oder lokale Niederlassungen US-amerikanischer Unternehmen handelt.

Die Europäische Kommission wird zwar versuchen, eine Nachfolgelösung zu finden, aber das wird aufgrund der gravierenden Einwände des Gerichtshofes Jahre in Anspruch nehmen. Ein rasches Entgegenkommen der USA ist nicht zu erwarten: Da Datenschutz in den USA bisher immer der nationalen Sicherheit untergeordnet wird, ist es äußerst unwahrscheinlich, dass der US-Kongress EU-Bürgern wesentlich stärkere Rechte einräumt.

Standardvertragsklauseln als letzte Möglichkeit

Unternehmen sollten daher rasch sogenannte Standardvertragsklauseln implementieren, deren Zulässigkeit der Gerichtshof jetzt auch explizit bestätigt hat. Das sind Vertragsmuster, die die Europäische Kommission veröffentlicht hat und die das europäische Datenschutzrecht gleichsam in Vertragsform gießen. Ein entsprechender Vertrag ist künftig die einzig praktikable Möglichkeit, Daten in die USA zu transferieren.

Unternehmen sollten mit dem Umstieg auf Standardvertragsklauseln keine Zeit verlieren. Aufgrund ihres Verhaltens in der Vergangenheit darf man davon ausgehen, dass die Datenschutzbehörde nicht bereits nächste Woche erste Strafen verhängen wird. Aber wenn eine Beschwerde einlangt, wird sie nicht anders können, als darüber zu entscheiden. Beschwerde einbringen könnte jeder einzelne Betroffene, dessen Daten ohne Standardvertragsklauseln in die USA übermittelt wurden.

Standardvertragsklauseln schuldhaft verzögert?

Auch die Datenschutzbehörde wird nicht fordern, dass ein Unternehmen von einem Tag auf den anderen seine Personalmanagementsoftware abschaltet – das wäre ein sicherer Weg in den Konkurs. Aber bei der Bemessung der Strafe wird sie darauf abstellen, ob sich das Unternehmen bemüht hat, rasch Standardvertragsklauseln abzuschließen. Wurden keine abgeschlossen, weil der US-Dienstleister nicht schnell genug reagiert hat, oder weil das österreichische Unternehmen es nicht einmal versucht hat? Vom Grad des Verschuldens wird es abhängen, inwieweit die Behörde den Strafrahmen von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Konzernumsatzes ausschöpft.

Aber auch wenn Unternehmen Standardvertragsklauseln als Ersatz für die unwirksame „Privacy Shield“-Zertifizierung implementieren, wird es wesentlich häufiger als bisher zu Beschwerden kommen. Denn der Europäische Gerichtshof hat klar festgehalten, dass die Datenübermittlung einzustellen ist, wenn es die Rechtsordnung des Drittstaates unmöglich macht, die Standardvertragsklauseln zu erfüllen.

Können Standardvertragsklauseln erfüllt werden?

Insbesondere die weitreichenden Befugnisse der US-Geheimdienste könnten amerikanische Unternehmen hindern, ihre Datenschutzverpflichtungen aus den Standardvertragsklauseln zu erfüllen. Europäische Unternehmen sollten also vor jeder Datenübermittlung prüfen, ob ihr amerikanisches Gegenüber seine Verpflichtungen noch erfüllen kann. Dabei sollten sie insbesondere folgende Faktoren berücksichtigen:

  • Welche Kategorien personenbezogener Daten werden übermitteln? Welche Kategorien von Betroffenen gibt es?
  • In welchem Industriesektor sind das europäische Unternehmen und das US-Unternehmen tätig?
  • Welchen Arten von Überwachungsmaßnahmen unterliegt das US-Unternehmen nach US-Recht?
  • Wie wahrscheinlich ist auf Grundlage der obenstehenden Punkte, dass US-Geheimdienstbehörden überhaupt Interesse an den übermittelten Daten haben werden?
  • Welche Sicherheitsmaßnahmen können implementiert werden, die eine Überwachung durch US-Sicherheitsbehörden zumindest erschweren (z.B. starke Verschlüsselung aller Übermittlungen am Übertragungsweg)?

Sollten auch die Standardvertragsklauseln für Übermittlungen in die USA nicht ausreichen, drohen gravierende Folgen. Denn auch bei Ländern wie China oder Russland basiert der Datentransfer in der Praxis auf Standardvertragsklauseln – und in diesen Ländern ist der Datenschutz noch bedeutend schwächer als in den USA. Ein erschwerter Datentransfer in Drittländer würde die Wettbewerbsfähigkeit europäischer Unternehmen dramatisch vermindern – damit würde sich Europa seinen digitalen Arm amputieren.

Conclusio

Nach der Aufhebung des „Privacy Shields“ durch den Europäischen Gerichtshof sollten alle europäischen Unternehmen, die personenbezogene Daten in die USA übermitteln, Standardvertragsklauseln abschließen. Darüber hinaus sollten sie Übermittlungen in Drittländer einer Einzelfallprüfung unterziehen und für den Ernstfall auch dokumentieren. Das gilt sowohl für die Übermittlung im Konzern, als auch zu externen Dienstleistern. Da der EuGH keinerlei Übergangsfrist gewährt hat, ist Gefahr in Verzug.

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.