Privacy Shield – umstrittenes Datentransferabkommen zwischen der EU und den USA
Der EU-US Privacy Shield regelte von 2016 bis 2020 die Übermittlung von personenbezogenen Daten von der EU in die USA. Das Datentransferabkommen wurde vom Europäischen Gerichtshof im Juli 2020 für unwirksam erklärt (Schrems-II-Urteil), da es kein DSGVO-konformes Datenschutzniveau garantieren konnte. Zumindest bis Neuregelungen greifen, werden Unternehmen stärker in die Pflicht genommen und müssen sich – wollen sie Sanktionen vermeiden – nun aktiver mit dem Datenschutz in den USA beschäftigen.
Was bedeutet das Urteil des EuGH zu Privacy Shield für Ihr Unternehmen in Deutschland? Sind Standardvertragsklauseln ein Ausweg? Erfahren Sie mehr über diesem Thema in dem Privacy Shield Webinar von IONOS.
Der aktuelle Stand: Wie geht es weiter nach dem Ende des EU-US Privacy Shields?
Obwohl der Privacy Shield für ungültig erklärt wurde, können Unternehmen weiterhin personenbezogene Daten in die USA exportieren. Sie können dazu bereits verwendete EU-Standardvertragsklauseln (SCC) weiterhin nutzen. KMUs, die bislang ausschließlich dem Privacy Shield vertrauten, können auf Standardvertragsklauseln oder andere Alternativen umstellen. Für einige Unternehmen kommen etwa Binding Corporate Rules infrage.
Binding Corporate Rules setzen vor allem international aufgestellte und verzweigte Unternehmen ein, um konzernweit gültige und verbindliche Vorgaben zur Regelung von Datentransfers vorweisen zu können. Nach einer aufsichtsbehördlichen Genehmigung erlangen diese verbindlichen Unternehmensrichtlinien den Status einer EU-weit gültigen Datenschutzgarantie. Die DSGVO regelt die Voraussetzungen und Anforderungen an Binding Corporate Rules im Artikel 47.
Allerdings ist die Verwendung von Standardvertragsklauseln nach dem Schrems-II-Urteil an strengere Regeln und Bedingungen geknüpft: Unternehmen müssen zusätzliche Maßnahmen ergreifen und im Prinzip bei jeder Datenübermittlung eine Einzelfallprüfung vornehmen. Dabei müssen sie sich vergewissern, dass in dem jeweiligen Drittland tatsächlich ein angemessenes Datenschutzniveau vorliegt. Sollte dies etwa aufgrund der dort gültigen nationalen Sicherheitsgesetze nicht der Fall sein, muss ein Unternehmen die Datenübermittlung stoppen.
Des Weiteren unterliegen Standardvertragsklauseln einer Überprüfung durch europäische Aufsichts- und Datenschutzbehörden. Kann ein Datenempfänger aufgrund der Rechtslage in einem Drittland die Pflichten aus den Standardvertragsklauseln nicht einhalten, können Datenübermittlungen ausgesetzt oder gar verboten werden. Zu berücksichtigen ist bei der Prüfung des Datenschutzniveaus der gesamte Ablauf. Es muss also durchgängig garantiert sein, dass etwa nationale Sicherheits- und Ermittlungsbehörden im Empfängerland keinen Zugriff auf personenbezogene Daten haben.
In der aktuellen Situation erweist sich die Einzelfallprüfung gerade für KMUs als schwierig, da sie normalerweise nicht über das Know-how und die Mittel verfügen, um etwa ein angemessenes Datenschutzniveau in einem Drittland in allen Einzelheiten zu überprüfen. Zudem legt der EuGH in seinem Urteil nicht genau fest, welche konkreten Maßstäbe an Einzelfallprüfungen oder an mögliche Erweiterungen von Standardvertragsklauseln zu stellen sind.
Dennoch sollten sich KMUs aktiv mit dem Thema auseinandersetzen. Rechtsexperten raten dazu, sich bestmöglich abzusichern und eine solide Dokumentation über die eigenen Datenschutzbemühungen anzulegen. Für eine mögliche gerichtliche Auseinandersetzung sind Unternehmen dann gewappnet und können das eigene Vorgehen nach dem Ende des Privacy Shields vor Gericht besser verteidigen.
Eine konkrete Maßnahme zur Absicherung ist, auch die formellen Aspekte von Standarddatenschutzklauseln sorgfältig umzusetzen (z. B. durch eine genaue Beschreibung von Datenflüssen). Zudem sollte man nur zwingend benötigte personenbezogene Daten sammeln und weitergeben. Außerdem raten Rechtsexperten zu einer fundierten und gut dokumentierten Risikoanalyse, die alle relevanten Probleme in den Blick nimmt. So sollte die Rechtslage in den USA oder einem anderen Zielland außerhalb der EU genauer analysiert und die Wahrscheinlichkeit eines unangemessenen Datenzugriffs eingeschätzt werden.
Zudem sollte geklärt werden, ob der Empfänger angesichts der aktuellen Situation besondere vertragliche Pflichten übernimmt (z. B. erhöhte Beobachtungs- und Mitteilungspflichten). Unternehmen könnten in der aktuellen Situation auch amerikanische Geschäftspartner und Dienstleister dazu auffordern, alle verfügbaren technischen Mittel zur Optimierung des Datenschutzes einzusetzen (z. B. Verwendung einer Ende-zu-Ende-Verschlüsselung bei einer Videokonferenzsoftware.
Wer auf Datentransfers, Cloud-Dienste und Server in Drittländern außerhalb der EU verzichten kann, sollte sich nach DSGVO-konformen Alternativen in Europa umsehen. Außerdem sollte man die datenschutzrechtlichen Entwicklungen genau verfolgen. Der Europäische Datenschutzausschuss (EDSA) informiert Interessierte und Betroffene in einem FAQ-Dokument zum Privacy-Shield-Urteil des EuGHs über den aktuellen Stand.
Was ist der EU-US Privacy Shield?
Der Privacy Shield wurde Mitte 2016 offiziell als Nachfolger des EU-US-Datentransferabkommen Safe Harbor eingeführt. Mit dem Abkommen wollte man die Daten europäischer Bürger schützen, die nach einem Transfer in die USA von dort ansässigen Unternehmen gespeichert und verarbeitet werden. Dabei ging es ausschließlich um personenbezogene Daten, die beispielsweise in größerem Umfang im E-Commerce anfallen. Zu den personenbezogenen Daten gehören u. a. Telefon-, Kunden-, Kreditkarten- oder Personalnummern, Kontodaten, das Aussehen einer Person oder die Anschrift von EU-Bürgern in Kombination mit weiteren individuellen Daten.
Die Gültigkeit des Safe-Harbor-Nachfolgers endete im Juli 2020 durch ein Urteil des Europäischen Gerichtshofs (EuGH). Im sogenannten Schrems-II-Urteil vom 16.07.2020 geht der EuGH davon aus, dass das in der Datenschutz-Grundverordnung (DSGVO) geforderte Sicherheitsniveau bei der Speicherung und Verarbeitung von personenbezogenen Daten in den USA nicht erreicht wird.
Die Datenschutz-Grundverordnung wurde vom Europäischen Parlament am 14. April 2016 mit breiter Mehrheit angenommen und trat nach einer Übergangsphase von zwei Jahren am 25. Mai 2018 in Kraft.
Damit hob der EuGH auch den Angemessenheitsbeschluss der Europäischen Kommission auf, der den USA wiederholt ein ausreichendes Datenschutzniveau bescheinigte. Auslöser des EuGH-Urteils war eine Klage des Datenschützers Maximilian Schrems, der zuvor schon mit einer Klage das Ende des Safe-Harbor-Abkommens einleitete. Der Österreicher wollte Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten untersagen und hatte bei der irischen Datenschutzbehörde eine Beschwerde eingelegt. Als der irische High Court kein Verfahren einleitete, wurde er von Schrems verklagt. In zweiter Instanz legte die irische Datenschutzbehörde die Angelegenheit dem EuGH zur juristischen Überprüfung vor, der letztlich den EU-US Privacy Shield kippte.
Inhalte und Rahmenbedingungen des Privacy Shields
Der Safe-Harbor-Nachfolger basierte auf besonderen Datenschutzmaßnahmen und -standards, die von den USA erfüllt werden mussten. Ein wichtiger Baustein war, dass sich US-Unternehmen für den Privacy Shield zertifizieren konnten. Nachdem sich ein US-Unternehmen freiwillig den Bedingungen des Abkommens unterstellte, fand eine Überprüfung durch das US-Handelsministerium statt. Hatte ein Unternehmen den Prozess erfolgreich durchlaufen, wurde es in eine öffentlich zugängliche Datenbank aufgenommen. Die Liste umfasste am Ende der Gültigkeit des Abkommens insgesamt 5.384 Organisationen.
Der EU-US Privacy Shield garantierte EU-Bürgern umfassende Rechte, wenn personenbezogene Daten an zertifizierte Unternehmen in die USA übermittelt wurden. Um diese geltend zu machen, konnten sich EU-Bürger direkt an die Unternehmen wenden. Diese mussten den Anliegen der Bürger innerhalb von 45 Tagen nachkommen. Die im Privacy Shield zugesicherten Rechte waren im Einzelnen:
- Recht auf Information und Auskunft
- Widerspruchsrecht (gegen eine Datenverarbeitung konnte ggf. Widerspruch eingelegt werden)
- Recht auf Berichtigung unrichtiger Daten
- Recht auf Löschung von Daten
- Beschwerde-/Abhilfeverfahren konnten in Anspruch genommen werden
Zur Durchsetzung und Wahrung ihrer Rechte konnten sich EU-Bürger auch an eine Ombudsstelle innerhalb des US-Außenministeriums wenden. Die Vermittlungsinstanz sollte von allen Nachrichtendiensten unabhängig sein, den Anliegen von Privatpersonen nachgehen sowie in konkreten Fällen Auskunft erteilen, ob geltendes Recht eingehalten werde. Das Amt wurde allerdings erst 2018 auf Drängen der EU besetzt. Zunächst fungierte Manisha Singh als Ombudsperson, im Juni 2019 folgte Keith Krach.
Alternativ konnten sich EU-Bürger an ihre nationalen Datenschutzbehörden wenden, die sich dann zur weiteren Klärung direkt mit der US Federal Trade Commission (FTC) in Verbindung setzen konnten. Das Schiedsverfahren mit einem vollstreckbaren Schiedsspruch war die letzte Instanz, falls keine andere Form der Einigung gefunden werden konnte. Alle Unternehmen konnten zusätzlich nach den Empfehlungen europäischer Datenschutzbehörden handeln. Jene Unternehmen, die Personaldaten verarbeiten, sind dazu ohnehin verpflichtet.
Voraussetzung für die Gültigkeit des Privacy Shields war ein Angemessenheitsbeschluss der EU-Kommission, der den Vereinigten Staaten angemessene Datenschutzstandards für die Speicherung und Verarbeitung von personenbezogenen Daten aus der EU attestierte. Der Angemessenheitsbeschluss von 2016 wurde jährlich überprüft und bei Einhaltung des geforderten Datenschutzniveaus erneuert. Die EU-Kommission und das US-amerikanische Handelsministerium führten die Überprüfung gemeinsam unter Einbezug von Sachverständigen durch. Aus dem Verfahren ging ein öffentlich zugänglicher Bericht hervor, der dem Europäischen Parlament und dem Rat vorgelegt wurde.
Trotz dieser umfänglichen Maßnahmen zum Datenschutz wurde eine Massenüberwachung nicht komplett ausgeschlossen. In sechs Bereichen, die bei genauerer Betrachtung einen gewissen Interpretationsspielraum offen lassen, konnten die USA weiterhin Daten sammeln:
- Bekämpfung des Terrorismus
- Aufdecken von Aktivitäten fremder Mächte
- Kampf gegen die Verbreitung von Massenvernichtungswaffen
- Cybersicherheit
- Schutz von US- und verbündeten Streitkräften
- Bekämpfung transnationaler krimineller Bedrohungen
Privacy Shield: Pro und Contra
Die umfangreichen Rechte der EU-Bürger, die sich im Falle von konkreten Datenschutzverstößen von US-Unternehmen über diverse Instanzen beschweren konnten, zählten zu den Vorteilen der Privacy-Shield-Vereinbarung. Eine wichtige Komponente war zudem der Zweckbindungsgrundsatz. Daten durften ausschließlich zu einem im Voraus festgelegten, unmissverständlichen und rechtlich zulässigen Zweck protokolliert und verarbeitet werden.
Der EU-US Privacy Shield stieß allerdings von Beginn an auf Widerspruch. Kritikern war das Abkommen nicht weitreichend genug. Man beklagte, dass die Forderungen des Europäischen Gerichtshofs nicht ausreichend erfüllt wurden und viele Unstimmigkeiten nur kosmetisch kaschiert wurden. Da die Stelle des Ombudsmannes dem Außenministerium zugeordnet war, vermissten Kritiker eine institutionelle Unabhängigkeit und sahen darin einen Konflikt mit der Datenschutz-Grundverordnung (Art. 52 Abs. 1 DSGVO). Außerdem bemängelten sie, dass betroffene EU-Bürger gegen Entscheidungen der Ombudsstelle nicht prozessieren konnten.
Ein weiterer Hauptkritikpunkt war, dass die Massenüberwachungsmaßnahmen keiner Verhältnismäßigkeitsprüfung unterlagen und somit gegen europäisches Recht verstoßen werde. Die USA seien noch immer zentraler Kontrollmachthaber und eine Untersuchung von nationalen Aufsichtsbehörden sei nicht erkennbar. Die Kritiker vermissten außerdem die dringend notwendige Kontrolle großer US-Onlineunternehmen.
Aufgrund dieser Defizite gingen Kritiker und Experten schon damals davon aus, dass das Abkommen einer konkreten Überprüfung durch den Europäischen Gerichtshof nicht standhalten werde und daher keine langfristig rechtssichere Lösung darstelle. Die auffällig geringen Unterschiede zu Safe Harbor wurden wiederholt angeprangert. Viele Kritiker gingen davon aus, dass diverse Datenschutzschlupflöcher de facto nicht durch den Privacy Shield geschlossen wurden.
Die Umsetzung des Privacy Shields in der Praxis
Nach dem abrupten Ende des Safe-Harbor-Abkommens war die Unsicherheit in der Wirtschaft zunächst groß. Man befürchtete Sanktionen (z. B. Bußgeldzahlungen), falls bei einer Überprüfung eigene Verstöße gegen den Datenschutz festgestellt würden. Zudem bedeuteten die neuen Bestimmungen, dass zeit- und kostenaufwendige Umstellungen im Bereich des Datenschutzes auf die Unternehmen zukommen würden.
Viele Unternehmen stellten damals auf EU-Standardvertragsklauseln um oder nutzten diese bereits als Alternative bzw. ergänzend zum Safe-Harbor-Abkommen (wie z. B. Facebook). Diese Praxis nahm in der Übergangsphase bis zur umfassenderen Durchsetzung des EU-US Privacy Shields zu und wurde im Laufe der Gültigkeit des Safe-Harbor-Nachfolgers beibehalten. Laut einer Studie von Bitkom Research nutzten 2016 bereits 78 Prozent der befragten Unternehmen Standardvertragsklauseln, 17 Prozent verwendeten Binding Corporate Rules als Grundlage für Datentransfers in die USA.
Die Zahlen belegen: Viele Unternehmen wollten sich in der Praxis nicht mehr ausschließlich auf ein Datenschutzabkommen verlassen, das wie sein Vorläufer grundlegende Datenschutzprobleme und -konflikte nicht aus dem Weg räumte. Jährliche Gültigkeitsprüfungen, bei denen das Ende des Privacy Shields immer im Raum stand, verstärkten das Misstrauen. Die alternative bzw. parallele Nutzung von Standardvertragsklauseln war auch eine Reaktion auf die teils schleppende Umsetzung von Kernpunkten des Privacy Shields in den USA, beispielsweise die lange hinausgezögerte Besetzung der Position des Ombudsmannes.
Fazit: Nur eine Übergangsregelung ohne solides Fundament
Seit Inkrafttreten der DSGVO haben es internationale Datenschutzabkommen deutlich schwerer. Der Privacy Shield blieb daher eine provisorische Übergangsregelung, die nur vorübergehend einen verbindlichen Rechtsrahmen für internationale Datentransfers zur Verfügung stellte und nach ihrem Scheitern vor allem für Ratlosigkeit und Verunsicherung bei betroffenen Unternehmen sorgt.
Das Schicksal des Privacy Shields belegt, dass sich grundlegende Datenschutzprobleme in Zeiten zunehmender Digitalisierung nicht kaschieren lassen, sondern nachhaltig im Sinne der DSGVO gelöst werden müssen. Ansonsten wird langfristig angelegten Businessmodellen, die auf internationaler Ebene mit personenbezogenen Daten operieren, das Fundament entzogen.
Ansätze für ein steigendes Datenschutzbewusstsein in den USA und damit auch für eine Annäherung an die DSGVO sind zumindest derzeit schon erkennbar, wie der California Consumer Privacy Act (CCPA) zeigt. Ob sich allerdings die hohen und durchaus berechtigten Standards der DSGVO zu einem weltweit akzeptierten Standard entwickeln werden und sich auf alle digitalen Handelspartner übertragen lassen, erscheint angesichts global höchst unterschiedlicher Datenschutzauffassungen eher fraglich.
Die DSGVO, die aktuell noch von anderen EU-Datenschutz-Verordnungen wie der ePrivacy-Verordnung und -Richtlinien wie der EU-Cookie-Richtlinie ergänzt wird, könnte sich zunehmend als Streitpunkt und Hemmnis in den internationalen Wirtschaftsbeziehungen erweisen.
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.