Mit <kes>+ lesen

„Schrems II“ und die Folgen : Wie das Urteil des Europäischen Gerichtshofs den transatlantischen Datentransfer ins Stocken bringt

Nach dem Urteil des Europäischen Gerichtshofs vom Juli können Übermittlungen personenbezogener Daten nicht länger auf der Basis des EU-US-Datenschutzschilds (kurz: Privacy-Shield) erfolgen. Ein rechtssicherer Ersatz ist derzeit nur sehr schwierig umsetzbar.

Lesezeit 12 Min.

Von Stefan Jaeger, Wiesbaden

Bekanntermaßen hat der Europäische Gerichtshof (EuGH) Mitte Juli 2020 (Az. C-311/18, [1]) das sogenannte „Privacy Shield“ für ungültig erklärt. Damit hat der Jurist Maximilian Schrems aus Österreich in einem Rechtsstreit gegen die irische Datenschutz-Aufsichtsbehörde einen für viele europäische Firmen folgenschweren Sieg errungen.

Schrems hat beanstandet, dass die in Dublin (Irland) ansässige Facebook Ireland Limited – eine Tochter des US-Konzerns Facebook Inc. mit Sitz in Menlo Park, Kalifornien – unter Berufung auf den „EU-US-Datenschutzschild“ (kurz: Privacy Shield) personenbezogene Daten europäischer Bürger auf ihre Server in die USA transferierte und verarbeitete, obwohl dort US-Behörden, wie die NSA, das FBI und in weiterer Folge auch die CIA, Zugang zu diesen Daten haben. Die luxemburgischen Richter urteilten nun, dass durch diese Zugriffsmöglichkeiten die Sicherheit der Daten nicht mehr gewährleistet sei.

Das Privacy Shield [2] ist ein nach langen Verhandlungen zwischen der EU und den USA ausgehandelter Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 Abs. 1 Datenschutzgrundverordnung (DSGVO) mit Erwägungsgrund 103 aus dem Jahr 2016, mit dem der Transfer von Daten in die USA als zulässig eingestuft wurde, da er unter den behandelten Randbedingungen ein ausreichendes Schutzniveau haben sollte.

America first!

Diese Einschätzung teilten die Richter nun offenbar nicht – was sicherlich nachvollziehbar und richtig ist. Bereits Section 702 des Foreign Intelligence Surveillance Act (FISA) von 1978 (ein Gesetz zur Überwachung in der Auslandsaufklärung) erlaubt in erheblichem Maße die Beschaffung von Informationen über Menschen, die keine US-Staatsbürger sind. Dies erfolgt im Rahmen der Überwachungsprogramme PRISM und UPSTREAM, wonach Telekommunikationsunternehmen verpflichtet sind, der NSA zu gestatten, Internetdatenflüsse zu kopieren und zu filtern, was letztlich bedeutet, dass die Behörde auch Zugang zu den Inhalten selbst besitzt. Im Dezember 1981 erweiterte der Präsidialerlass E. O. 12333 [3] von Ronald Reagan in erheblichem Maße die Befugnisse der amerikanischen Behörden zur Sammlung relevanter Informationen – so dürfen diese etwa durch direkten Zugriff auf das im Atlantik verlegte Seekabel nach Nordamerika verschickte Daten sammeln und speichern, noch bevor sie überhaupt in den USA eintreffen.

Die Presidential Policy Directive 28 (PPD-28) von US-Präsident Barack Obama [4] verwehrt seit 2014 Betroffenen jeglichen Rechtsbehelf hiergegen, gibt dafür aber vor, dass die nachrichtendienstliche Tätigkeit „as tailored as feasible“ (so gezielt wie möglich) sein soll. Da zudem der Vierte Zusatzartikel zur US-Verfassung (Gewährleistung des Schutzes vor illegaler Überwachung) für Bürger der EU nicht gilt, muss man auch beim Datenverkehr „America first“ konstatieren.

Zapfenstreich

Was aus dem jetzigen Urteil für europäische Unternehmen, die auf Grundlage des Privacy Shields bislang ihre Daten (bzw. Daten ihrer Kunden) in die USA übermittelten, folgt, ist ebenso einfach wie gravierend: Diese Datenübermittlung ist seit dem 16. Juli 2020 nicht mehr zulässig, mithin rechtswidrig. Denn die Ermächtigungsgrundlage hierfür ist weggefallen und das Urteil des EuGH sieht keine wie auch immer geartete Aufbrauchfrist vor. Zwar richtet sich dieses Urteil an sich zunächst nur an die irische Datenschutzbehörde, die Partei in diesem Rechtsstreit war, und nicht gezielt gegen deutsche Unternehmen – da das Urteil die Ermächtigungsgrundlage insgesamt für ungültig erklärt hat, entfällt aber die Ermächtigung für den Export personenbezogener Daten in die USA auf Basis des Privacy Shield für alle europäischen Unternehmen.

Nun hat der EuGH zwar gleichzeitig festgestellt, dass die von der Kommission 2010 beschlossenen Standardvertragsklauseln (Standard Contractual Clauses – SSCs [5]) prinzipiell nicht zu beanstanden sind, sodass unter dieser Prämisse ein Datenexport zulässig sein könnte. Da aber diese Voraussetzungen rein vertraglicher Natur sind und die Behörden eines Drittlandes nicht binden können, kommt man angesichts der Zugriffsmöglichkeiten von US-Behörden auf Daten in den USA zum gleichen Ergebnis – es sei denn, in der Praxis würde durch geeignete Maßnahmen sichergestellt, das ein der EU gleiches Sicherheitsniveau gewährleistet werden kann. Dies bedeutet wieder für exportierende europäische Firmen, dass sie ohne zusätzliche Maßnahmen auf keinen Fall personenbezogene Daten in die USA exportieren dürfen.

Für die Verantwortlichen für die Datenverarbeitung im Unternehmen hat dies weitreichende Folgen: Nach Art. 82 DSGVO haften sie auf Schadensersatz für jede Person, der durch die rechtswidrige Handlung ein materieller oder immaterieller Schaden entstanden ist. Außerdem kann ihnen und dem Unternehmen eine Geldbuße bis zu 10 Millionen Euro auferlegt werden – oder bei einem Unternehmen sogar bis zu 2 % des weltweit erzielten Jahresumsatzes. Bei einem Umsatz von rund 70 Milliarden Dollar im Jahr 2019 könnte eine Zuwiderhandlung Facebook also bis zu 1,4 Milliarden Dollar kosten – fast 10 % des 2019 erzielten Unternehmens-Ergebnisses.

Zusammenfassung der Urteilsfolgen

  • Durch das Urteil des EuGH vom 16. Juli 2020 entfällt sofort die Ermächtigung für europäische Unternehmen, personenbezogene Daten auf Basis des Privacy Shield in die USA zu exportieren.
  • Da die Standardvertragsklauseln keine Bindungswirkung für US-Behörden haben können, entfällt in der Regel auch hiernach eine Ermächtigung für einen solchen Export, da wohl nur wenige, vielleicht sogar gar keine zusätzlichen Maßnahmen einen gleichwertigen Schutz gewährleisten können. Für andere Drittländer muss die (weiter zulässige) Anwendbarkeit der SSCs im Einzelfall geprüft werden.
  • Erfolgt ein rechtswidriger Export, kann dies hohe Bußgelder und Schadensersatzforderungen nach sich ziehen, für die auch eine persönliche Haftung der Verantwortlichen gegeben sein kann.

Guter Rat ist teuer

Angesichts dessen, dass es keine Übergangsfrist gibt, kann man zurzeit nur jedem Unternehmen empfehlen, sofort jedwede Datenübermittlung in die USA zu unterbinden. Ein Berufen auf die SSCs erscheint auch im Einzelfall aufgrund des genannten Gründe kaum erfolgversprechend. Hierzu müsste man erfolgreich – etwa durch Verschlüsselung oder Anonymisierung – unterbinden können, dass US-Behörden auf die eigentlichen Daten zugreifen können, wobei nicht wirklich bekannt ist, wie leistungsfähig diese bei einer „gewaltsamen“ Entschlüsselung aktuell wirklich sind.

Einige Unternehmen haben mit US-Unternehmen eigene verbindliche Datenschutzregeln vereinbart, sogenannte Binding Corporate Rules (BCR). Auch diese helfen aber nicht weiter, weil sie US-Behörden ebensowenig am Zugriff hindern können. Und wenn der EuGH allein dies schon für ausreichend erachtet, um eine zwischen den USA und Europa auf höchster Ebene explizit ausgehandelte Vereinbarung als unzulässig zu qualifizieren, so gilt dies für interne Unternehmensregeln natürlich umso mehr! Nur wenn sichergestellt ist, dass aufgrund dieser BCR ein Zugriff von US-Behörden und natürlich auch Dritten tatsächlich ausgeschlossen ist, lediglich dann wäre ein Export zulässig.

Ähnliches gilt für eine Berufung auf Art. 46 DSGVO, wenn bestimmte Garantien für den gleichwertigen Schutz bestehen sollen: Denn auch hier ist nach dem Postulat des EuGH zu befürchten, dass US-Behörden Daten abziehen könnten. Da etwaige interne Garantien diese Behörden nicht binden, wird man eine solche wohl kaum durchsetzen können. Hinzu kommt, dass nach Erwägungsgrund 108 zur DSGVO (https://dsgvo-gesetz.de/erwaegungsgruende/nr-108/) erforderlich wäre, auch die Rechte der betroffenen Person durchsetzen zu können, was aber wiederum wegen PPD-28 nicht funktioniert.

Hohe Hürden

Art. 49 DSGVO lässt eine Übermittlung an ein Drittland unter bestimmten Bedingungen ausnahmsweise zu: Eine solche Bedingung ist die ausdrückliche Einwilligung der betroffenen Person (Art. 49 Abs. 1a DSGVO). Damit ist die Hürde höher, als wenn es nur um eine einfache Einwilligung geht – weiterhin ist es erforderlich, dass diese Einwilligung für einen bestimmten Fall erfolgt. Beide Voraussetzungen wird man sicherlich noch irgendwie erfüllen können. Nach wohl richtiger Ansicht des Europäischen Data Protection Board (siehe Leitlinien zu Art. 49 DSGVO, Seite 9 in [6]) muss ein Betroffener aber vor der Einwilligung über Risiken der Datenübermittlung unterrichtet worden sein, die bestehen, wenn seine personenbezogenen Daten in ein Drittland exportiert werden. Man müsste also zunächst darüber aufklären, dass US-Behörden, etwa die NSA, auf diese Daten zugreifen dürfen und der Betroffene sich nicht auf dem Rechtsweg dagegen wehren kann. Nur bei einer derart schonungslosen Aufklärung vorab wäre die sodann erfolgte Einwilligung ausreichend.

Wohl kaum ein Unternehmen dürfte bislang derart drastisch aufklären, wohl kaum ein Bürger eine solche Regelung akzeptieren. In der Praxis schalten in den letzten Wochen immer mehr Unternehmen vor der Nutzung ihrer Homepages „Zustimmungserfordernisse“, in denen sie beispielsweise unter der Überschrift „Datenschutz und Nutzungserlebnis“ eine Einwilligung erbitten, die auch eine Einwilligung „nach Art. 49 (1) (a) DSGVO“ umfassen soll (so etwa auf www.bild.de). Eine solche Einwilligung kann aber niemals die hohen Ansprüche an eine echte Einwilligung nach Art. 49 DSGVO erfüllen und ist damit rechtlich nichts wert. Erst recht wird keine Einwilligung genügen, für die man wesentliche Informationen in unendlich langen Datenschutzerklärungen versteckt.

Eine Ausnahme nach Art. 49 DSGVO durch Einwilligung des Betroffenen wird in der Praxis daher schwer zu erreichen sein. Im Ergebnis muss man feststellen, dass die EU personenbezogene Daten grundsätzlich sehr stark schützt – und deren Übermittlung in ein Drittland nur zulässig ist, wenn die Voraussetzungen der Art. 44 bis 50 DSGVO eingehalten sind. Eben deshalb wurde das Privacy Shield ausgehandelt, um eine Übermittlung in die USA zu ermöglichen. Die Richter des EuGH sahen aber hierin dennoch (offenbar im Gegensatz zur Kommission) eine Gefahr für die Daten von EU-Bürgern, sodass der vorgesehene unproblematische Export in die USA nunmehr nicht mehr möglich und zurzeit sogar unrechtmäßig ist.

Sofortmaßnahmen

Verantwortliche für die Datenverarbeitung müssen zunächst einmal prüfen, welche Daten ihres Unternehmens überhaupt in ein Drittland gelangen. Dazu zählt natürlich auch, wenn Dienstleister aus einem Drittland auf die inländischen Unternehmensdaten zugreifen können. Gibt es solche Fälle, ist zu prüfen, ob es sich um die USA handelt oder um Drittländer, für die es einen Angemessenheitsbeschluss nach Art. 45 DSGVO gibt. Das ist nach aktueller Aufstellung der EU [7] für Andorra, Argentinien, Kanada (kommerzielle Unternehmen), die Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, die Schweiz und Uruguay der Fall.

Da Standardvertragsklauseln Behörden in den USA nicht binden, helfen sie hier nicht weiter. Dies muss aber nicht für andere Drittstaaten gelten, sodass in jedem Einzelfall zu prüfen wäre, ob SSCs für das jeweilige Drittland Bestand haben können. Eine solche Prüfung muss sich an der Entscheidung des EuGH orientieren: Wenn Behörden oder vergleichbare Stellen des Drittlandes in ähnlicher Weise wie im Fall der USA Zugriff auf Daten nehmen können, darf eine Übermittlung nicht möglich sein.

Fazit

Für betroffene Datenschutzverantwortliche hat der EuGH die Büchse der Pandora weit geöffnet. Ein (auch) Drittländer übergreifender Datenstrom kann wohl kaum noch erstrebenswert sein, wenn man an Schadensersatz und Ordnungsgelder denkt – inklusive einer persönlichen Haftung.

Das eigentliche Dilemma ist, dass personenbezogene Daten seit Jahren nicht mehr in Papierform, sondern elektronisch erfasst werden und damit ganz leicht weltweit zur Verfügung stehen können. Hiervon ist das klassische Recht schlichtweg überfordert, was schon die unglaublich vielen, kaum noch zu erfassenden rechtlich relevanten Verordnungen, Beschlüsse und sonstigen Regeln beweisen (alleine das Privacy Shield umfasst mit Anhängen 112 eng beschriebene Seiten). Dem Datenschutz ist damit kein Gefallen getan! Denn wenn man Regeln nicht einfach erfassen kann, wird man sie übergehen oder ignorieren. Ob man das Problem in Zukunft wirklich überschaubar lösen kann, bleibt eine spannende Frage. Zumindest ist man schon seit Langem an einem Punkt angekommen, an dem man sich über eine grundlegende Neuregelung zur Behandlung „personenbezogener Daten“ Gedanken machen sollte.

Die strafrechtliche Regelung für eine der schlimmsten Straftaten, die man begehen kann und mit der man in höchster Weise in das Recht eines anderen eingreift, ist gerade einmal 18 Wörter lang und lautet: „Wer einen Menschen tötet, ohne Mörder zu sein, wird als Totschläger mit Freiheitsstrafe nicht unter fünf Jahren bestraft.“ (§ 212 StGB – Totschlag). Dieser Paragraph ist seit dem 1. Januar 1872, also seit 148 Jahren praktisch unverändert geblieben.

Entweder war der Gesetzgeber damals unglaublich viel klüger oder der moderne Mensch ist nicht mehr in der Lage, Sachverhalte zu systematisieren und verständliche, überschaubare und praktisch leicht umsetzbare Regelwerke zu schaffen. Die Überregulierung im Bereich Datenschutz ist jedenfalls kaum noch zu erfassen und führt letztlich zu seiner Verwässerung.

Wie sich angesichts des praktisch ungehinderten Zugriffs der NSA und des FBI seinerzeit die EU über ihre eigene Kritik hinwegsetzen konnte, ist kaum noch zu ertragen und zeigt, dass Überregulierung nichts nutzt, wenn man anschließend selbst indirekt Bürgerdaten sehenden Auges ungehindert den Behörden in Drittländern zur Verfügung stellt. Die 2016 angekündigte Besetzung einer Ombudsstelle des Datenschutzschilds mit Catherine A. Novelli hat, wie man sieht, nicht viel gebracht. Spätestens als Donald Trump bereits wenige Monate später am 25. Januar 2017 eine Order erließ, dass der Privacy Shield nicht für Drittstaatenbürger gilt (Section 14 in [8]), hätten alle Alarmglocken klingeln müssen. Aber selbst das „Läuten“ des ehemaligen Bundesbeauftragten für den Datenschutz Peter Schaar [9] war wohl nicht laut genug.

Der Wiesbadener Rechtsanwalt Stefan Jaeger (www.jaeger. legal) betreut diese Kolumne seit 2013. Er referiert über IT-Rechtsfragen seit Jahren an der Deutschen Richterakademie und beim Deutschen Richterbund. Er ist darüber hinaus Referatsleiter Datenschutz bei der GenoServ eG.

Literatur

[1] Der Gerichtshof der Europäischen Union, Urteil des Gerichtshofs (Große Kammer) … in der Rechtssache C-311/18, 16. Juli 2020, http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&doclang=DE
[2] Europäische Kommission, Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-USDatenschutzschild gebotenen Schutzes, in: Amtsblatt der Europäischen Union L 207/1, August 2016, https://eurlex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016D1250&from=DE
[3] US-Präsident Ronald Reagan, Executive Order 12333– United States intelligence activities, Dezember 1981, www.archives.gov/federal-register/codification/executiveorder/12333.html
[4] US-Präsident Barack Obama, Presidential Policy Directive/PPD-28: Signals Intelligence Activities, Januar 2014, online verfügbar auf: www.hsdl.org/?abstract&did=748332
[5] Europäische Kommission, Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, in: Amtsblatt der Europäischen Union L 39/5, Februar 2010, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32010D0087&from=DE
[6] Der Europäische Datenschutzausschuss, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, Mai 2018, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_de.pdf
[7] Europäische Kommission, Adequacy decisions, How the EU determines if a non-EU country has an adequate level of data protection, https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-dataprotection/adequacy-decisions_de
[8] US-Präsident Donald Trump, Executive Order: Enhancing Public Safety in the Interior of the United States, Januar 2017, www.whitehouse.gov/presidential-actions/executive-order-enhancing-public-safety-interior-unitedstates/
[9] Peter Schaar, Analyse: Amerika mauert sich ein – Privacy Shield vor dem Aus?, heise online, Januar 2017, https://heise.de/-3609712

Diesen Beitrag teilen: