Im Juli 2020 hat der Europäische Gerichtshof das so genannte Privacy Shield, also das Abkommen zwischen der Europäischen Union und Drittstaaten zum Schutz personenbezogener Daten außerhalb des Geltungsbereiches der DSGVO, für unwirksam erklärt.
Darüber, was das für Designer bedeuten kann, haben wir mit den Rechtsanwälten Fabian Braches und Jens Thurn von der Kanzlei Eins gesprochen.
Was war/ist das Privacy Shield?
Die Datenschutzgrundverordnung (DSGVO) stellt ein gewisses Maß an Datenschutz für die von einer Datenverarbeitung betroffenen Personen sicher. Soll die Übermittlung von Daten in ein Drittland erfolgen, d. h., in ein Land, das nicht Europäischen Union bzw. dem Europäischen Wirtschaftsraum angehört, ist dies grundsätzlich gemäß den gesetzlichen Vorschriften der DSGVO nur dann zulässig, wenn dort ein angemessenes Datenschutzniveau sichergestellt werden kann, dass dem der DSGVO entspricht. Das Privacy Shield war darauf angelegt, dieses erforderliche angemessene Datenschutzniveau sicherzustellen. Neben Betroffenenrechten, die wir aus der DSGVO kennen, sichert das Privacy Shield dem Betroffenen bei Rechtsverletzungen gewisse Rechtsschutzmöglichkeiten. Sofern diese nicht bereits durch die dort unmittelbar geltende Rechtsordnung durchgesetzt werden konnten, ist die Kommission auf der Grundlage von Art. 45 DSGVO davon ausgegangen, dass ein angemessenes Datenschutzniveau für Unternehmen, die nach dem Privacy Shield zertifiziert waren, sichergestellt werden kann.
Bei dem Privacy Shield handelte sich um ein selbst Zertifizierungsverfahren, das amerikanische Unternehmen auf der Grundlage der aufgestellten Richtlinien durchlaufen konnten. Nach erfolgreichem Abschluss der Zertifizierung wurde das Unternehmen in eine Liste aufgenommen, aus der für jedermann erkennbar war, dass ein Datentransfer an diese Unternehmen auch in Drittländern, also die USA, möglich war, da so sichergestellt werden sollte, dass die Daten nach den vereinbarten datenschutzrechtlichen Grundsätzen verarbeitet werden.
Fabian Braches
Zu viel Überwachung
Das Bemerkenswerte an der jetzt getroffenen Entscheidung des Europäischen Gerichtshofes (EuGH) zum Privacy Shield ist, dass das Privacy Shield den Vorgänger, das EU/US-Safe-Harbor-Abkommen abgelöst hat, nachdem zunächst das Safe-Harbor-Abkommen durch den EuGH gekippt wurde. Grundlage der damaligen Entscheidung waren die Erkenntnisse zu den anlasslosen und umfassenden Überwachungstätigkeiten der US-amerikanischen Sicherheitsdienste, die durch die Snowden-Enthüllungen bekannt geworden sind. Das daraufhin neu ausgehandelte Privacy Shield sollte dem Abhilfe schaffen und bestimmte Betroffenenrechte einführen.
– Recht auf Information,
– gegebenenfalls Recht auf Widerspruch gegen eine Datenverarbeitung,
– Recht auf Auskunft,
– Recht auf Berichtigung unrichtiger Daten,
– gegebenenfalls Recht auf Löschung,
– Recht auf Inanspruchnahmen von Beschwerde-/Abhilfeverfahren und
– Recht auf Einreichung eines Antrags zur Anrufung der sogenannten Ombudsperson.
Leider war das Privacy Shield bereits von Anfang an den Bedenken ausgesetzt, dass diese Ideen der Datenverarbeitung nicht ausreichend sichergestellt werden können, da das eigentliche Problem mit dem EU/US-Safe-Harbor-Abkommen, nämlich die US-Überwachungsgesetze durch das Privacy Shield nicht angegangen worden ist. Diese Bedenken wurden nun durch den EuGH aufgegriffen und führten zu der Entscheidung, die auch das Privacy Shield kippte.
Jens Thurn
Wann und warum ist es durch ein Urteil des EuGH kassiert worden?
Die Entscheidung des EUGH (Urteil vom 16. Juli 2020, Rechtssache C-311/18 „Schrems II“) geht zurück auf eine Vorabentscheidungsersuchen des High Court Ireland zur Auslegung einzelner gesetzlicher datenschutzrechtlicher Regelungen. Der EuGH geht davon aus, dass aufgrund der Befugnisse der US-Geheimdienste und der Rechtslage in den USA kein ein angemessenes Datenschutz-Niveau, das dem der DSGVO entspricht, sichergestellt werden kann. Hierzu wird unter anderem auf die nachfolgenden gesetzlichen Regelungen in den USA verwiesen:
a. Section 702 des Foreign Intelligence Surveillance Act (FISA): dieser sieht keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger vor in Bezug auf personenbezogenen Daten vor.
b. Presidential Policy Directive 28 (PPD-28): Hiernach stehen dem Betroffenen keine wirksamen Rechtsbehelfe gegen Maßnahmen der US-Behörden zu. Zudem werden für etwaige Eingriffe keine Schranken vorgesehene, die sich an dem Maßstab der Verhältnismäßigkeit orientieren.
c. Schließlich stellte der EuGH fest, dass der im Privacy Shield vorgesehene Ombudsmann keine genügende Unabhängigkeit von der exekutiven Gewalt (also insbesondere den Behörden) hat, sodass er keine bindenden Anordnungen gegenüber den Geheimdiensten treffen kann.
Im Ergebnis bedeutet dies, dass das Privacy Shield mit der Entscheidung des EuGH wirkungslos geworden ist. Es kann vor diesem Hintergrund nicht mehr als Grundlage zur Sicherstellung des angemessenen Datenschutzniveaus herangezogen werden und damit als Grundlage für den Datentransfer in die USA dienen.
Standardvertragsklauseln helfen nicht automatisch
Gleichzeitig entfaltet die Entscheidung jedoch auch Wirkung auf die sogenannten Standardvertragsklauseln, die als Alternative zur Datentransfer in den USA verwendet worden sind. Zwar sind die von der Kommission im Jahr 2010 beschlossenen Standardvertragsklauseln (2010/87/EU vom 05.02.2010) (Art. 46 Abs. 2 c DSGVO) weiterhin gültig, aber auch für deren Verwendung muss ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht. Der bloße wirksame Abschluss von Standardvertragsklauseln bedeutet damit nicht, dass jeglicher auf dieser Grundlage durchgeführte Datentransfer auch ein entsprechendes erforderliches Schutzniveau aufweist.
Es muss vielmehr tatsächlich oder rechtlich gewährleistet sein, dass sich der Datenimporteur an seine Verpflichtung aus den Standardvertragsklauseln auch halten kann. Dies könnte etwa in Zweifel zu ziehen sein, wenn der Datenimporteur nach nationalem Recht weitreichenden Auskunftspflichten gegenüber Sicherheitsbehörden unterliegt, die nicht den gesetzlichen Anforderungen der DSGVO entsprechen. Hierzu ist es erforderlich, die Standardvertragsklausel im Lichte der EU-Grundrechte-Charta und im Hinblick auf Art. 46 Abs. 1 DSGVO auszulegen, sodass Garantien vom Verantwortlichen und Auftragsverarbeiter eines dem europäischen gleichwertigen Datenschutzniveaus bestehen, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen geschaffen werden.
Hier sind nicht nur die vertraglichen Beziehungen zwischen Datenexporteur und Datenimporteur relevant, sondern auch die rechtlichen oder faktischen Zugriffsmöglichkeit auf die Daten durch Behörden des Drittlandes und das Rechtssystem dieses Landes insgesamt (Gesetzgebung und Rechtsprechung, Verwaltungspraxis von Behörden). Die Standardvertragsklauseln können allerdings die Behörden des Drittlandes nicht binden und stellen daher in den Fällen, in denen die Behörden nach dem Recht des Drittlandes befugt sind, in die Rechte der betroffenen Personen einzugreifen, ohne zusätzliche Maßnahmen der Vertragspartner keinen angemessenen Schutz dar. Entsprechend können die Standardvertragsklauseln nicht blind als Ersatz für das Privacy Shield abgeschlossen werden, sie müssen vielmehr im Lichte der Gesamtumstände betrachtet werden.
Jens Thurn
Was bedeutet das für die Nutzung von Leistungen amerikanischer Provider wie zum Beispiel Dropbox, Zoom, Slack, Amazon (AWS), Apple, Cloudflare, Facebook, Google oder Microsoft etc.?
Das Urteil des EuGH wirkt zwar nur zwischen den Klageparteien selbst, es ist also erst einmal nur für das vorlegende irische Gericht bindend. Faktisch entfaltet es aber bereits jetzt Bindungswirkung für alle Behörden und Gerichte der Mitgliedstaaten, die sich mit derselben Auslegungsfrage beschäftigen und die DSGVO unter Berücksichtigung der Rechtsprechung des EuGH auslegen und anwenden müssen. Auf der Grundlage des Privacy Shields dürfen damit dem EU-Recht unterworfenen Unternehmen keine personenbezogenen Daten von der EU in die USA transferieren.
Auf der Grundlage der Entscheidung müssen wir uns also daher genau ansehen, ob es sich um einen »amerikanischen« oder »europäischen« Provider handelt. Lediglich der Datentransfer in die USA wird nun problematischer. Es kommt damit in erster Linie nicht auf den Sitz des Unternehmens an, sondern um den Ort der tatsächlichen Datenverarbeitung. Können die Provider sicherstellen, dass personenbezogene Daten nicht in die USA übermittelt werden und von dort kein Zugriff auf diese Daten möglich ist, bringt die Entscheidung keine wesentlichen Änderungen mit sich. Zum Teil wird dieser eingeschränkte Datenzugriff auch von amerikanischen Providern versprochen. Ob dies tatsächlich umgesetzt werden kann, unterliegt der Prüfung im Einzelfall.
Fabian Braches
Können sie gar nicht mehr genutzt werden, oder »beschränkt« sich das auf die Verarbeitung personenbezogener Daten?
Die Entscheidung des EuGH bezieht sich ausschließlich auf personenbezogenen Daten, die dem strengen Anwendungsbereich der DSGVO unterworfen sind. Sämtliche weitere Daten, die keinen Personenbezug aufweisen, bleiben außen vor. Sind aber personenbezogene Daten in irgendeiner Weise tangiert, erfolgt keine weitere Differenzierung. Bei der Beurteilung des angemessenen Datenschutzes in einem Drittland wird keine Unterscheidung zwischen unwichtigen und wichtigen Daten, essenziellen oder nützlichen Verarbeitung und solche mit geringem oder hohem Risiko vorgenommen. Entweder gibt es ein rechtsstaatliches, durch unabhängige Aufsichtsbehörden durchgesetztes und die Rechte der Betroffenen achtendes Schutzniveau oder nicht. Ist dies nicht der Fall, kennt die DSGVO nur eine Antwort: Einstellung der Drittlandübertragungen.
Jens Thurn
Nun sind unsere Mitglieder Designer und arbeiten mit Adobe-Produkten. Diese werden standardmäßig abonniert, nicht gekauft, und liegen demnach auf Servern bei Adobe in San Francisco. Was bedeutet das für sie? Können sie mit Adobe-Produkten gar nicht mehr arbeiten?
Vertragspartner von in der EU ansässigen Unternehmern ist im Regelfall die Adobe Systems Software Ireland Limited mit Sitz in Irland. Irland ist bekanntlich eines der Mitgliedstaaten der EU und daher unmittelbar dem Anwendungsbereich der Datenschutzgrundverordnung unterworfen. Im Grundsatz gelten die rechtlichen Verpflichtungen, die sich aus der EuGH-Entscheidung ergeben, also vorrangig für Adobe Ireland. Adobe Ireland hat damit sicherzustellen, dass eine Übertragung von personenbezogenen Daten in die USA – sofern erfolgt – auf der Grundlage gültiger und zulässiger gesetzliche Regelungen und Verfahren ereignet. Nach der aktuellen Datenschutzinformation sichert Adobe Ireland zu, dass lediglich personenbezogenen Daten verarbeitet und an die amerikanische Mutter übertragen werden, die über eine online Funktion der Adobe Ireland gesendeten oder empfangenen werden. Bei der Anwendung der Programme im Übrigen, also bei der Erstellung und Bearbeitung von Werken, möchte Adobe Ireland sicherstellen, dass keine personenbezogenen Daten in die USA gelangen.
Sofern personenbezogenen Daten etwa im Rahmen der Nutzung von etwaigen Cloud-Leistungen in die USA übertragen werden, beruft sich Adobe Ireland auf die Standardvertragsklausel. Aufgrund der dargestellten Problematiken bei der Verwendung von Standardvertragsklausel sollte aus unserer Sicht derzeit darauf verzichtet werden, Adobe Ireland personenbezogene Daten von Kunden etwa durch ein Abspeichern auf deren Cloud-Lösungen zur Verfügung zu stellen.
Fabian Braches
Was empfehlen Sie zur eigenen Absicherung zu tun? DS-Erklärungen überarbeiten? Abwarten? Nutzereinwilligungen abholen? Nach EU-Anbietern suchen?
Eine Anpassung der Datenschutzerklärung kann notwendig werden, da jede betroffene Person darauf hinzuweisen ist, wenn eine Datenübermittlung in ein Drittland erfolgen soll, in dem kein angemessenes Datenschutzniveau herrscht. Sofern weiter eine Datenübermittlung in die USA notwendig ist, kann die Einwilligung der betroffenen Person eine Möglichkeit sein, einen vermeintlich rechtskonformen Zustand herzustellen. Diese Praxis ist allerdings sehr aufwendig und wohl nur im Einzelfall zu realisieren. Zudem muss der Betroffene bereits vor der Datenübertragung informiert werden. Es bedarf einer Aufklärung über die Risiken, die bei einer Übermittlung ihrer Daten in ein Land, welches nicht ein gleichwertiges Schutzniveau wie die DSGVO aufweist, bestehen (Art. 49 Abs. 1 S. 1 lit. a DSGVO).
Sofern auf die Lösung der Einwilligung zurückgegriffen werden soll, schließt sich natürlich unmittelbar die Frage an, wie verfahren werden kann, wenn der Betroffene seine Einwilligung nicht erteilt oder zu einem späteren Zeitpunkt widerruft. Wenn in diesem Fall eine Lösung bereitsteht, welche die Problematik der EuGH-Entscheidung ausklammern kann, etwa weil eine Datenverarbeitung ausschließlich in der EU stattfindet, sollte dies vielmehr als Regelfall etabliert werden. Eine sichere Lösung des Konfliktfalls kann nach unserer derzeitigen Auffassung nur sein, auf europäische Anbieter zurückzugreifen, sofern diese überhaupt vorhanden sind.
Jens Thurn
Welche Ersatzlösungen zum Privacy Shield gibt es im Moment? Was ist von Standardvertragsklauseln zu halten, die von einigen Providern angeboten werden?
Aus unserer Sicht löst die Verwendung der angebotenen Standardvertragsklausel die aufgeworfene gesetzliche Problematik nicht, sofern personenbezogene Daten in die USA übertragen werden. Die Standardvertragsklauseln sehen sich im Ergebnis wohl den gleichen Vorwürfen ausgesetzt, die gegenüber dem Privacy Shield erhoben werden. Andererseits geht der EuGH nicht davon aus, dass auch die Standardvertragsklauseln generell zu kippen sind. Aus verschiedenen Quellen hört und liest man daher derzeit, dass der Abschluss von Standardvertragsklausel noch immer besser sei, als keine Grundlage für die Datenübertragung zu haben. Diese Meinung kann man grundsätzlich vertreten, wir denken aber nicht, dass sie die Datenschutzaufsichtsbehörden überzeugen wird, sofern nicht die notwendigen Begleitumstände passen.
In diesem Zusammenhang möchten wir auf die Orientierungshilfe des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg hinweisen, der mit Hinweis vom 25. August 2020 die Standardvertragsklauseln als geeignete Grundlage heranzieht und hier lediglich einzelne Modifikationen vorschlägt. Grundsätzlich können wir jedoch nicht zu den vorgeschlagenen Modifikationen raten, da es sich hierbei um einen tiefgreifenden Eingriff in das Vertragswerk handelte, der es erforderlich macht, dass die Datenübertragung im Einzelfall durch die zuständige Datenschutzaufsichtsbehörde genehmigt wird. Unsere Erfahrungen zeigen, dass nicht kurzfristig mit einer entsprechenden Genehmigung der Aufsichtsbehörde gerechnet werden kann, die es dem Datenverantwortlichen erlaubt, auf dieser Grundlage die angestrengte Datenübertragung vornehmen zu können.
Jens Thurn
Sofern derzeit die Datenübertragung in die USA unumgänglich ist, sollten Ihre Mitglieder ihre Kunden auf die Problematik hinweisen. Die Mitglieder sollten offen gegenüber ihren Kunden kommunizieren, in welcher Zwickmühle sie sich befinden. Da sich derzeit keine sinnvolle Möglichkeit zum Datenaustausch mit den USA ergibt, kann der Kunde damit selbst entscheiden, ob er das rechtliche Risiko bereit ist einzugeben, das ein Datenaustausch mit den USA mit sich bringt, ohne ihre Mitglieder später aufgrund eines möglichen Datenschutzverstoßes in die Haftung zu nehmen.
Fabian Braches
Gibt es andere sichere Lösungen?
Als einzigen wohl sicheren Weg für die weitere Übertragung von personenbezogenen Daten in die USA schlagen wir die Verschlüsselung vor. Sofern die Daten derart verschlüsselt sind, dass lediglich der Datenverantwortliche den entsprechenden Schlüssel hat und dem Provider damit jegliche Möglichkeit genommen wird, auf die Klardaten zuzugreifen, ist die datenschutzrechtliche Problematik gelöst. Ebenso verhält es sich selbstverständlich mit nicht-personenbezogenen Daten, die etwa durch Anonymisierung erreicht werden. Auch die Pseudonymisierung von personenbezogenen Daten könnte eine Lösung sein, sofern ausschließlich der Datenverantwortliche mit Sitz innerhalb der EU die Fähigkeit hat, die Daten einer Person konkret zuzuordnen.
Jens Thurn
Ist die Einwilligung in den Datentransfer in die USA im Cookie-Banner eine Lösung?
Hier ist sicherlich ein wenig genauer zu differenzieren, welche Verarbeitung oder welcher Datentransfer in den USA genau abgedeckt werden soll. Sofern die Betroffenen überhaupt über eine Seite geschleift werden, auf der eine entsprechende Warnmeldung in Form eines Cookie-Banners angezeigt werden kann, scheint dies vielleicht eine Möglichkeit, einen rechtskonformen Zustand herzustellen. So ist schließlich die Einwilligung in Art. 49 DSGVO als Möglichkeit für bestimmte Fälle vorgesehen, in denen ein angemessenes Datenschutzniveau nicht grundsätzlich festgestellt werden konnte.
Eine Einwilligung im Sinne von: »Guck‘ mal, wir schicken Deine personenbezogenen Daten in die USA« wird aber wohl nicht ausreichen. Bereits der gesetzliche Wortlaut erfordert eine ausführliche Belehrung des Betroffenen über die bestehenden möglichen Risiken, die sich aus einer Datenübermittlung ergeben. Es muss daher im Einzelfall auf der Grundlage der verarbeiteten personenbezogenen Daten geprüft werden, welche konkreten Risiken sich für den Betroffenen hieraus ergeben könnten. Diese müssen dem Betroffenen transparent und verständlich dargestellt werden, sodass dieser in Kenntnis dieser Umstände bewusst in eine Datenübermittlung einwilligen kann. Schweigen oder bereits vorangekreuzte Kästchen genügen nicht, um eine wirksame Einwilligung des Betroffenen einzuholen. Gleichzeitig muss jedoch, auch wenn eine bewusste Einwilligung des Betroffenen eingeholt werden konnte, eine »Fall Back Lösung« geschaffen werden, da dem Betroffenen jederzeit die Möglichkeit eingeräumt werden muss, seine Einwilligung für die Zukunft zu widerrufen.
In der überwiegenden Anzahl von möglichen Verarbeitungsvorgängen sehen wir jedoch die Einwilligung als keine praktikable Lösung. Derjenige, der die Daten am Ende in die USA übertragen möchte, hat im Zweifel keinen direkten Kontakt zu den Betroffenen, von denen er eine Einwilligung einholen müsste. Die Einwilligung bleibt damit eine nette Idee, die leider in den vielzähligen Fällen nicht umgesetzt werden kann.
Jens Thurn
Wie wird es aus Ihrer Sicht weitergehen?
Es ist sicherlich kein Geheimnis, dass es bei den deutschen Datenschutzaufsichtsbehörden derzeit Vollzugsdefizite aufgrund von Personalmangel gibt, sodass wir persönlich nicht davon ausgehen, dass kurzfristig Bußgelder wegen der Datenübermittlung in die USA aufgrund der derzeit nicht ganz einfachen Situation geben wird. Allerdings entbindet dies nicht von der Verpflichtung, sich um einen rechtskonformen Zustand zu bemühen. Als sichern Anker kann man empfehlen, sich auf europäische Möglichkeiten zu besinnen, sofern es die denn gibt.
Langfristig ist aber auch klar, dass wir nicht ohne einen unkomplizierten Datentransfer in die USA auskommen werden. Perspektivisch kann man sich daher vorstellen, dass sich die USA und die EU aufeinander zu bewegen, um die Möglichkeiten zur Zusammenarbeit wiederherzustellen.
Jens Thurn