Kaum ein Thema beherrscht die digitale Rechtswelt so sehr, wie die DSGVO. Für Endanwender zeigt sich das insbesondere durch eine unendliche Flut an Cookie-Boxen, zumeist mit schönen großen, grünen Buttons, um alle Cookies zu akzeptieren und einen alternativen, verwundenen Pfad durch die Untiefen vieler Tabs, um auch ohne diese Wahl leben zu können.
Doch die wirkliche Macht der DSGVO zeigt sich momentan an ganz anderer Stelle: Durch den Datenschutz wird mal wieder deutlich, dass sich das Internet selten an die Grenzen von Staaten und Staatenbündnissen halten möchte. Und so ist es nicht verwunderlich, dass sich Anwender in Europa an einer Vielzahl schöner, digitaler Dienste aus den USA erfreut. Für viele Privatanwender, aber auch für viele Firmen ist eine Welt ohne Google, Microsoft, Apple & Co. gar nicht mehr vorstellbar.
Aber was bedeutet das für den Datenschutz? Durch die DSGVO wurde in Europa ein einheitlicher, sehr hoher Standard für die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten geschaffen, der auch im Blick hat, diese Daten nicht nur vor einer all zu großen Neugierde großer Konzerne zu schützen, sondern z.B. auch vor Regierungen. Traditionell wird das in den USA z.B. allerdings ganz anders gelebt – insbesondere, was die Daten von Nicht-US-Bürgern betrifft. Hier hat die USA beispielsweise mit der NSA den mächtigsten Datensammler geschaffen, den diese Welt je gesehen hat.
Und so war es nicht verwunderlich, dass die Feststellung des EuGH im sogenannten “Schrems-II-Urteil” am 16.07.2020 lauten musste, dass das Schutzniveau für personenbezogene Daten von EU-Bürgern in den USA nicht ausreicht, um eine Übertragung auf Basis des sog. “Privacy Shields” zu ermöglichen. Doch das hat weitreichende Folgen, die wir im folgenden einmal genauer betrachten möchten!
Exkurs: Was war noch gleich das Privacy Shield?
Der Gesetzgeber schreibt mit der DSGVO vor, dass eine Übertragung personenbezogener Daten in Länder außerhalb der EU nur erfolgen kann, wenn gewährleistet wird, dass diese dort angemessen geschützt werden. Das kann auf zwei Wege passieren: Entweder, das Land gilt auf Basis eines “Angemessenheitsbeschlusses” durch die Europäische Kommission als sog. “sicheres Drittland” oder es wird individuell auf Basis geeigneter Verträge sichergestellt, dass ein ausreichender Schutz der übertragenen Daten erfolgt.
Im Fall der USA wurde durch das “EU-US Privacy Shield”-Abkommen zwischen EU und USA ein Rahmen geschaffen, der durch eine Reihe von Zusicherungen durch die US-Regierung ein einheitliches Schutzniveau für personenbezogene Daten schaffen sollte, wodurch die USA zum sicheren Drittland wurden. Auf Basis des Privacy Shield war somit eine Übertragung personenbezogener Daten in die USA zulässig, da die betroffenen Personen davon ausgehen konnte, dass ihre Daten auch in den USA zureichend geschützt werden.
Was bleibt nun?
Existiert für ein Land, in das personenbezogene Daten übertragen werden soll kein Angemessenheitsbeschluss, handelt es sich also nicht um ein sicheres Drittland, bedeutet das nicht unbedingt, dass eine Übertragung generell unzuläsig ist. Es bedeutet aber, dass die für die Übertragung verantwortliche Stelle nun selbst aktiv werden muss, um die Übertragung zu legitimieren, indem ein entsprechendes Schutzniveau geschaffen wird.
Dafür sieht der Gesetzgeber mehrere Werkzeuge vor:
Standardvertragsklauseln
Die EU-Kommission hat durch die sog. “Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer” eine Vertragsvorlage geschaffen, die ein Datenexporteur in der EU mit einem Datenimporteur außerhalb der EU abschließen kann. Hier werden bestimmte Rechte des Exporteurs und Pflichten des Importeurs definiert, um zu garantieren, dass die Daten seitens des Importeurs im Sinne der DSGVO behandelt werden. Die verantwortliche Stelle muss nun ggf. nur noch die betroffenen Personen über die Weitergabe bzw. Auftragsverarbeitung informieren.
Binding Cooperate Rules
Für den Fall, dass ein Konzern mit Sitz in der EU Daten an eine Niederlassung außerhalb der EU übertragen möchte, kann er sich selbst sog. “Binding Cooperate Rules” geben, um innerhalb eine Datenverarbeitung auf Niveau der DSGVO zu gewährleisten. Diese Regeln müssen jedoch extern zertifiziert bzw. geprüft werden, die Daten dürfen den Konzern dann jedoch auch nicht verlassen.
Persönliche Einwilligung
Als letztes Mittel (abgesehen von einigen Ausnahmen des Art. 49 DSGVO und von einem erkennbar notwendigen Datentransfer, z.B. bei der Buchung eines Flugtickets in die USA) bleibt einer verantwortlichen Stelle immer das Mittel einer persönlichen Einwilligung bei der betroffenen Person. Das kann je nach Situation komplex sein, da die betroffene Person einwilligunsfähig (d.h. min. 16 Jahre alt) sein und diese Einwilligung freiwillig erteilen muss. Zudem muss für die betroffene Person transparent sein, welche Daten an wen und zu welchem Zweck übertragen werden.
Aber war da nicht der US Cloud Act?
So weit, so gut – prinzipiell wäre eine Übertragung in die USA möglich, indem mit der verarbeitenden Stelle in den USA einfach ein Standardvertrag abgeschlossen wird. In diesem Fall wären die Daten auch in den USA vor Zugriffen all zu neugieriger Konzerne und Behörden geschützt und der hiesige Anwender könnte sich in Sicherheit wiegen.
An dieser Stelle wird der Sache allerdings der 2018 erlassene “CLOUD Act” zum Verhängnis! Dieser verpflichtet amerikanische IT-Dienstleister dazu, Behörden weitreichenden Zugriff auf gespeicherte personenbezogene Daten zu gewähren. Und damit nicht genug – der Zugriff darf selbst auf Daten erfolgen, die nicht in den USA gespeichert werden (z.B. auch in einem Rechenzentrum in Frankfurt oder Dublin)! Da es sich dabei um ein Gesetz handelt, kann auch ein Standardvertrag im Sinne der DSGVO daran nichts ändern.
Eine Übertragung personenbezogener Daten in die USA ist durch den US CLOUD Act damit selbst auf Basis von Standardvertragsklauseln oder Cooperate Binding Rules nicht zulässig!
Was bedeutet das nun?
Diese Rechtslage hat natürlich weitreichende Folgen! Ohne die komplexe persönliche Einwilligung der betroffenen Personen ist es Firmen in der EU damit – momentan – nicht mehr möglich, Daten an US-Unternehmen zu übertragen, selbst wenn diese die Daten innerhalb der EU speichern!
Unter anderem aus diesem Grund ist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 15.07.2020 zum Schluss gekommen, dass der Einsatz von Microsoft Office 365 in Unternehmen aus Sicht des Datenschutzes nicht rechtskonform ist. Die Rechtslage ist dabei natürlich komplex – sobald ein Konzern mit Hauptsitz in den USA IT-Dienstleistungen erbringt, fällt er unter den CLOUD Act und kann somit gar kein ausreichendes Schutzniveau im Sinne der DSGVO leisten! Erbringt der Konzern seine Dienstleistung trotzdem auch in der EU, kann er sich somit faktisch aussuchen, ob er lieber gegen geltendes Recht in der EU oder in den USA verstoßen möchte. Im Falle von Microsoft hat man sich dafür entschieden, Strafzahlungen in der EU in Kauf zu nehmen, falls die USA auf personenbezogene Daten zugreifen! In einem Statement dazu heißt es, dass man “die Nutzer*innen unserer Kunden finanziell entschädigen [wird], wenn wir [Microsoft] ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen müssen”.
Unserer Einschätzung nach ist Microsoft hier der erste Präzedenzfall – andere US-Konzerne werden vor den gleichen Herausforderungen stehen. Es bleibt zu hoffen, dass hier ein Umdenken stattfindet, personenbezogene Daten nicht gedankenlos an US-Behörden auszuliefern und dass die EU hier ihrem ersten Schritt treu bleibt und das Schutzniveau der DSGVO aufrecht erhält! Bis dahin lautet unsere Empfehlung, den Einsatz US-amerikanischer Dienste umfangreich zu prüfen und Betroffene ausreichend zu informieren.
Benötigen Sie Unterstützung bei der Prüfung Ihrer Prozesse und Datenverarbeitungen? Dann kontaktieren Sie uns gerne! Unsere Datenschutzexperten begleiten Sie unkompliziert auch in stürmischen Zeiten.
