Update: EU-Datenschützer (EDSA): Keine „Gnadenfrist“ nach Aus für das Privacy Shield
Der Europäische Datenschutzausschuss gibt FAQ zum Umgang mit dem Datentransfer in die USA nach der durch den Europäischen Gerichtshof festgestellten Ungültigkeit des Privacy Shield und Informationen zum Datentransfer im Zusammenhang mit dem Brexit bekannt.
Nach der Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreihheit (BfDI) vom 24.07.2020 (Ausgabe 19/2020) hat der Europäische Datenschutzausschuss (EDSA) nun FAQ im Anschluss an das EuGH-Urteil vom 16.07.2020 (Rechtssache C-311/18 – Facebook Ireland und Schrems – „Schrems II“) beschlossen.
Grund dafür ist, dass das Privacy Shield vom Europäischen Gerichtshof für ungültig erklärt wurde.
Der Europäische Datenschutzausschuss (EDSA) gibt in diesen Frequently Asked Questions (FAQ) Antworten zu den wichtigsten Fragen und zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in Länder außerhalb der EU. Dies betrifft insbesondere den Datentransfer in die Vereinigten Staaten von Amerika.
Der Europäische Datenschutzausschuss weist dabei unter anderem darauf hin, dass es keine „Gnadenfrist“ für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten „Privacy Shield“ gibt.
Der EDSA weist in den FAQ insbesondere darauf hin, dass wer weiterhin unter Berufung auf das Privacy Shield Daten in die USA transferiert, illegal handelt.
Der EDSA empfiehlt daher, die datenschutzrechtlichen Voraussetzungen für einen solchen Datentransfer einem Check zu unterziehen.
Für Unternehmen bedeutet das in der Konsequenz, dass eine datenschutzkonforme Umstellung auf Basis der Datenschutzgrundverordnung (DSGVO) zwingend und ohne Verzögerung erfolgen muss.
Die EU-Datenschützer und auch der Bundesdatenschutzbeauftragte mahnen daher Firmen und Unternehmen, die nun immer noch auf den transatlantischen Datenschutzschild (also das gekippte Privacy Shield) setzen, ihre bisherigen Praktiken zum Datentransfer in nach der DSGVO unsichere Drittländer unverzüglich umzustellen.
Dabei muss eine Einzelfallbetrachtung erfolgen und die Anforderungen für den Datenschutz von Fall zu Fall geprüft werden.
Dies gilt insbesondere beim Datenaustausch mit den USA.
Bei der Nutzung von Standardvertragsklauseln besteht nach Auffassung des Europäischen Datenschutzausschusses (EDSA) außerdem eine gemeinsame Verantwortlichkeit von Exporteur und Importeur. Und zwar dahingehend, dass das nach der DSGVO geforderte Datenschutzniveau gerade auch im Ausland aufrechterhalten wird und dort bestehen muss.
Dafür müssen Exporteure und exportierende Unternehmen in Europa selbst auch die im Land des Importeurs außerhalb der EU geltende Rechtsordnung auf Datenschutzkonformität nach der in der EU geltenden Datenschutzgrundverordnung (DSGVO) überprüfen.
Dies gilt auch bei Nutzung der Standardvertragsklauseln für Datenübermittlungen in die USA.
Denn eine Übermittlung von Daten in die USA kann danach nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.
Die Aufsichtsbehörden sind dabei angehalten, nicht regelkonforme Übertragungen – auch auf Basis der Standardvertragsklauseln – zu stoppen und zu sanktionieren.
Hier können Unternehmen, Firmen und Betrieben daher erhebliche Bußgelder nach der DSGVO drohen.
Folge:
Wenn ein Unternehmen nicht weiß, ob während der Datenverarbeitung von Unternehmen und Behörden oder über einen externen Dienstleister auch Informationen in ein datenschutzrechtlich unsicheres Drittland – wie derzeit die USA – gesendet werden, muss das Unternehmen nach Mitteilung des Bundesdatenschutzbeauftragten Ulrich Kelber seine Verträge insbesondere mit den Dienstleistern prüfen.
Fazit / Empfehlung:
Unternehmen sollten überprüfen, ob während Datenverarbeitungen von Unternehmen und Behörden oder über externe Dienstleister auch Informationen in ein Drittland gesendet werden. Falls ja, sollten Firmen ihre Verträge allgemein und insbesondere mit den jeweiligen Dienstleistern auf Datenschutzkonformität und Aktualität prüfen.
Update: Brexit und Auswirkung auf Binding-Corporate-Rules (BCR)
Der Europäische Datenschutzausschuss (EDSA) hat außerdem die Voraussetzungen erläutert, unter denen Unternehmen, Betriebe und Firmen oder andere Organisationen nach dem Auslaufen der Übergangsperiode für den Brexit bis Ende des Jahres auf Basis verbindlicher interner Datenschutzvorschriften (sog. BCR – „Binding Corporate Rules“) noch personenbezogene Daten nach Großbritannien datenschutzrechtlich legal übermitteln dürfen.
Wichtig und zu beachten ist demnach, dass bisherige, derzeit noch im Einklang mit der DSGVO erteilte Binding-Corporate-Rules nach Auffassung des EDSA mit dem Ablauf der Übergangsfrist für den Brexit ebenfalls ungültig werden.
Folge:
Unternehmen, die momentan BCR – Binding Corporate Rules als datenschutzrechtliche Grundlage für den Datenaustausch mit Großbritannien nutzen, sollten diese datenschutzrechtlich inhaltlich auf Wirksamkeit und Bestand überprüfen lassen. Auch hier können ansonsten erhebliche rechtliche und finanzielle Nachteile, wie Sanktionen und Bußgelder nach der DSGVO, drohen.
Fazit / Empfehlung:
Unternehmen, Firmen und Betrieben sollten die datenschutzrechtlichen Grundlagen für einen Datenaustausch mit Großbritannien, und insbesondere Binding-Corporate-Rules prüfen.
Unternehmen mit Datentransfer in Länder außerhalb der EU, insbesondere in die USA, sollten ihre datenschutzrechtlichen Verträge und die datenschutzrechtlichen Grundlagen daher dringend auf Datenschutzkonformität mit den Vorgaben der Datenschutzgrundverordnung überprüfen.
Ausgangspunkt: EuGH kippt das Privacy Shield
Am 16.07.2020 hat der Europäische Gerichtshof den US-EU-Datendeal „Privacy Shield“ gekippt. Für Unternehmen mit einer Datenverarbeitung oder einem Datenaustausch mit den USA entsteht durch dieses EuGH-Urteil eine erhebliche Rechtsunsicherheit und Handlungsbedarf.
Laut der Pressemitteilung Nr. 91/2020 vom 16. Juli 2020 des Gerichtshofs der Europäischen Union zum Urteil des Gerichtshofs in der Rechtssache C-311/18 – Facebook Ireland und Schrems wurde die Privacy-Shield-Vereinbarung der EU mit den USA für unwirksam erklärt.
Das Privacy-Shield-Abkommen regelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Unternehmen verpflichten sich darin aber auch selbst, Betroffene über die Datennutzung zu unterrichten und sich an Datenschutzregeln zu halten.
Bereits in der Vergangenheit hatte der EuGH als höchstes Europäisches Gericht das Safe-Harbor-Abkommen, also den Vorgänger der Privacy Shield-Verordnung, datenschutzrechtlich für unwirksam erklärt. Mit dem „Safe-Harbor“-Urteil vom 6. Oktober 2015 (Az.: C-362/14) hatte der EuGH schon in der Vergangenheit den Datentransfer in und mit den USA erheblich eingeschränkt. Das Privacy Shield ist nun bereits die zweite Vereinbarung zum transatlantischen Datenschutz, die für ungültig erklärt wurde.
Nun ist erneut unklar, wie personenbezogene Daten von EU-Bürgern und Unternehmen beim Transfer in die USA datenschutzrechtlich geschützt werden. Denn durch den Wegfall der Privacy-Shield-Vereinbarung besteht die Gefahr, dass die Datenübertragung personenbezogener Daten von der Europäischen Union in die USA in vielen Fällen datenschutzrechtlich rechtswidrig und damit letztlich illegal sein können.
Dies kann zu erheblichen datenschutzrechtlichen Auswirkungen, insbesondere für viele Unternehmen in der EU und in Deutschland führen, insbesondere für die Unternehmen, die bisher auf den Privacy Shield als datenschutzkonforme Grundlage bei der Nutzung von Geschäftsverbindungen von und in die USA, US-Firmen und Diensten, wie z.B. Social Media und Cloud-Diensten, vertraut haben.
In dem vom Europäischen Gerichtshof (EuGH) entschiedenen Fall ging es gerade um Serviceanbieter wie Facebook, Google, Microsoft, Apple und Yahoo, die viele Nutzer in der EU haben. Außerdem ging es dabei um die Frage, ob die Datenschutzgarantien der USA den Ansprüchen der Europäischen Union und der Datenschutzgrundverordnung genügen.
Denn der strenge europäische Datenschutz nach der Datenschutzgrundverordnung (DSGVO) erlaubt den Transfer von Daten in ein Nicht-EU-Land nur, wenn die Daten dort ebenfalls datenschutzrechtlich ausreichend geschützt sind. Es muss also auch dort im Ausland ein angemessenes Datenschutzniveau bestehen. Dies ist aus Sicht des EuGHs für das Privacy Shield aber gerade nicht gegeben. Daher hat der EuGH entschieden, dass das Privacy Shield nicht mit dem europäischen Datenschutzniveau vereinbar ist.
Dies betrifft letztlich mehrere tausend Unternehmen, die sich auf das Privacy Shield berufen und im Privacy Shield Framework als aktiv aufgelistet sind (vgl. https://www.privacyshield.gov/list).
Die Entscheidung des EuGHs betrifft dabei die Datenübertragung ins Ausland ganz grundsätzlich.
Denn zu beachten ist, dass Daten häufig auch in den USA gespeichert werden, selbst wenn man es mit Unternehmen oder Partnern aus Europa zu tun hat. Diese Firmen oder auch wiederum deren Vertragspartner und Subunternehmer greifen nämlich häufig auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück.
Dies betrifft somit unter anderem auch die Branche der Softwareentwicklung, aber genauso auch Unternehmen im Zuge der fortschreitenden Digitalisierung, z.B. beim Einsatz von Tools für das Homeoffice oder mobiles Arbeiten, wie z.B. bei Videokonferenzen. Auch die Nutzung von z.B. Projektmanagement-Tools aus den USA, sowie die Nutzung von mobilen Apps bei Apple (IOS) und Google (Android) kann betroffen sein.
Allerdings bleibt die Datenübermittlung in die USA und andere Staaten außerhalb der EU auf Grundlage von sogenannten Standardvertragsklauseln aus Sicht des EuGHs weiterhin grundsätzlich möglich.
Was bedeutet diese EuGH-Entscheidung für Unternehmen?
Für Firmen, die beispielsweise mit amerikanischen Unternehmen zusammenarbeiten und Daten austauschen, wie z.B. Export und Import, kann dies erhebliche Auswirkungen mit sich bringen.
Aber auch für IT-Unternehmen und Unternehmen, die US-Software oder Software mit in den USA entwickelten Teilen oder Modulen oder amerikanische Dienste wie Facebook oder auch amerikanische Cloud-Anbieter oder Cloud-Dienste nutzen, kann dies erhebliche Folgen haben. Dies schon deshalb, da bereits die IP-Adresse bei der Datenübermittlung überwiegend auch als personenbezogene Daten eingestuft wird.
Unternehmen können auch in Zukunft weiterhin auf sog. Standardvertragsklauseln als Grundlage für die Datenübermittlung setzen.
Denn Artikel 46 DSGVO sieht vor, dass eine Datenübermittlung in ein Drittland – wie z.B. die USA – vorbehaltlich geeigneter Garantien möglich ist. Dazu zählen auch die jetzigen sog. Standarddatenschutzklauseln (die vor Einführung der DSGVO Standardvertragsklauseln bezeichnet wurden).
In diesen Verträgen erklären die beteiligten Parteien, dass es auch im Ausland einen angemessenen Schutz für die Daten von EU-Bürgern gibt. Solche Klauseln gelten deshalb als einfach anwendbares Instrument, um rechtskonform personenbezogene Daten ins Ausland zu übermitteln.
Diese Standarddatenschutzklauseln sind aber kein Freibrief für die Datenübermittlung ins Ausland und den Datenaustausch mit den USA oder anderen Staaten außerhalb der Europäischen Union. Denn nach der Entscheidung des EuGHs können Standarddatenschutzklauseln, also die früheren Standardvertragsklauseln, zwar prinzipiell weiter genutzt werden, Datenschutzbehörden sind aber verpflichtet, Übermittlungen von Daten zu verbieten oder auszusetzen, wenn sie der Auffassung sind, dass die jeweiligen Klauseln im Empfängerland praktisch nicht eingehalten werden oder nicht eingehalten werden können.
Folge:
Es hängt also vom Einzelfall ab, ob das Datenschutzniveau im Empfängerland gesichert ist und Unternehmen die Klauseln wirklich für sich nutzen können. Dies muss daher im Einzelfall geprüft werden, um datenschutzrechtliche und damit verbundene finanzielle Nachteile zu vermeiden.
Eignen sich Standarddatenschutzklauseln für Ihr Unternehmen?
Die Verwendung von Standarddatenschutzklauseln stellt gerade für kleinere und mittlere Unternehmen ein einfach handhabbares Instrument zur rechtmäßigen Übermittlung personenbezogener Daten in die USA oder sonstige Drittländer dar. Mit solchen Klauseln erklären die Beteiligten, dass es auch außerhalb der EU einen angemessenen Schutz für die Daten von EU-Bürgern gibt.
Solche Klauseln gelten deshalb als einfach anwendbares Instrument für Unternehmen, um datenschutzkonform personenbezogene Daten ins Ausland zu übermitteln.
Zu beachten ist dabei aber, dass es zwar grundsätzlich möglich ist, diese Standarddatenschutzklauseln auch als umfangreichere und für Unternehmen individuell konzipierte Vertragswerke zu nutzen oder um zusätzliche Klauseln zu ergänzen. Dies ist aber nur im Einzelfall möglich.
Denn die Übermittlung von personenbezogenen Daten ist grundsätzlich nur dann genehmigungsfrei, wenn die Standarddatenschutzklauseln unverändert von Unternehmen und deren Vertragspartnern verwendet werden. Anderenfalls wird eine gesonderte Genehmigung notwendig.
Besteht nun Handlungsbedarf für Unternehmen?
Aufgrund der EuGH-Entscheidung sollte die Datenübermittlung in die USA oder andere Drittstaaten außerhalb der EU überprüft werden, speziell ob dieser Austausch oder diese Übermittlung von personenbezogenen Daten noch auf datenschutzrechtlich zulässiger Grundlage erfolgt.
Dies betrifft insbesondere IT-Unternehmen, aber auch alle anderen Firmen, die beispielsweise Import oder Export betreiben oder Daten mit in den USA ansässigen Lieferanten, Unternehmen im Verbund, in einer Gruppe oder Konzernstruktur oder Tochterfirmen austauschen. Auch Unternehmen, die IT-Infrastruktur wie Software, Social Media oder Cloud nutzen, können betroffen sein.
Denn bei Verstößen gegen Vorschriften zum Drittlandtransfer, also Verstößen im Zusammenhang mit Datenübermittlung in Drittländer ohne angemessenes Schutzniveau, sind Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Konzernjahresumsatzes möglich.
Fazit / Empfehlung:
Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses EuGH-Urteil eine erhebliche Rechtsunsicherheit und Handlungsbedarf. Unternehmen mit einer Datenverarbeitung in den USA oder einem Datenaustausch mit den USA sollten die datenschutzrechtliche Grundlage dafür überprüfen.
Wer bislang allein auf Basis des „Privacy Shields“ personenbezogene Daten verarbeitet hat, muss zumindest auf rechtlich wirksame Standardvertragsklauseln (früher Standarddatenschutzklauseln) umstellen oder andere datenschutzkonforme Möglichkeiten finden, um ein etwaiges Daten-Chaos und damit verbundene rechtliche und finanzielle Nachteile zu vermeiden.