Der EuGH hat mit seinem aktuellen Urteil vom 16. Juli 2020, (Az. C-311/18) entschieden, dass das sog. Privacy Shield, also das Abkommen zwischen der Europäischen Union und den USA zur Übertragung von personenbezogenen Daten ungültig ist. Das hat fatale Auswirkungen auf Unternehmen etwa für Dienst-iPhones und den Einsatz von beliebten Trackern wie Google Analytics. ECC CLUB Mitglied Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER – KÖLN erläutert in einer ersten Analyse die Folgen.
Das Privacy Shield existiert durch das Urteil nicht mehr. Die europäische Datenschutzgrundverordnung (DSGVO) erlaubt den Datentransfer in ein Nicht-EU-Land nur, wenn die Daten dort in einem vergleichbaren Niveau geschützt sind, wie in der EU.
Rechtsgrundlage weggefallen
Das Urteil entzieht damit einer Datenübermittlung von der EU in die USA die rechtliche Grundlage. Der EuGH hat die Behörde in dem vom Datenschutzaktivisten Max Schrems betriebenen Verfahren ausdrücklich angewiesen, die Datenübermittlung von Facebook Irland nach Facebook USA zu untersagen. Die irische Behörde hatte wenig Neigung gezeigt, den Datensammler Facebook in die Schranken zu verweisen und ihm durch das 7 Jahre andauernde Verfahren eine lange Zeit ungestörter Aktivitätsmöglichkeiten beschert. Dabei wurde unter Fachleuten schon immer diskutiert, dass der Rechtsschutz für die EU-Bürger gegen die nahezu unbegrenzten behördlichen Datenzugriffsmöglichkeiten von NSA, FBI und Heimatschutz unzureichend im Abkommen ausgestaltet war. Facebook, Google, Apple & Co waren an den behördlichen Massenüberwachungsmaßnahmen („PRISM“) beteiligt. Ein Ombudsmann mit wenig Macht war das einzige Instrument, das die EU gegen US-Gesetze wie den Foreign Intelligence Surveillance Act (FISA) durchsetzen konnte. Genau das haben die Richter des EuGHs zum Anlass genommen, das Abkommen, wie schon zuvor das Vorgängerabkommen „Safe Harbour“ in 2015, zu kippen.
Digitaler Weltmarktführer von EU-Daten abgeschnitten
Im Rahmen des Privacy Shield Abkommens haben sich nahezu alle wichtigen Player bei Digitalleistungen des Weltmarktführers USA freiwillig bestimmten Datenschutzregeln unterworfen. Dazu gehören neben Facebook auch Google, Apple, Microsoft und Yahoo. Diese Regeln sollten dazu dienen, ein möglichst gleichwertiges Schutzniveau, wie in der EU für die Datenverarbeitung zu schaffen. Wer alles teilgenommen hatte, lässt sich der Liste unter https://www.privacyshield.gov/list entnehmen.
Durch den Wegfall des Privacy Shield müssen Unternehmen in der EU jetzt ihre Datenübermittlungen im internationalen Datenverkehr mit den USA eigentlich auf andere Grundlagen stützen, doch die Alternativen fehlen.
Wer auf politische Alternativen hofft, dürfte lange warten müssen. Die USA müssten schon ihre Überwachungsgesetze entscheidend umarbeiten. Aus den USA war bereits zu hören, dass man nichts ändern wolle.
Standardvertragsklauseln keine Rettung
Überall wird jetzt auf einen weiteren Teil des EuGH-Urteils verwiesen. Die Richter hatten die sog. Standard Vertragsklauseln unbeanstandet gelassen. Viele Berichte lesen sich so, als ob man sich jetzt einfach auf dieses Regelwerk stützen könnte. Auch die Standardvertragsklauseln enthalten theoretisch Regelungen, die Garantien dafür bieten sollen, dass die Daten durch den internationalen Empfänger sicher verarbeitet werden. Der EuGH verpflichtet aber in seinem Urteil den Nutzer solcher Klauseln genau zu prüfen, ob und wie diese denn vom Vertragspartner umgesetzt werden. Nachdem die Unternehmen mit Sitz in den USA sich den behördlichen Massenüberwachungen gesetzlich nicht entziehen können und diese bereits die Kritik des EuGHs fand, ist nicht mehr ersichtlich, wie man bei der Prüfung zu einem positiven Ergebnis kommen sollte. Angeblich arbeitet die EU-Kommission an einer Modernisierung der Regeln, die der EuGH ja aktuell als grundlegend ausreichend abgesegnet hat. Also dürften die Bemühungen in die Richtung gehen, das Prüfniveau zu senken. Damit würde sich dann allerdings neuer Raum für Klagen des Herrn Schremms ergeben.
Facebook spielt auf Zeit und stützt sich jetzt erst einmal auf diese Standardvertragsklauseln. Man darf dort vielleicht darauf vertrauen, dass die irischen Datenschutzbehörden wieder mitspielen.
Deutsche Datenschutzbehörden fordern Kündigung
Deutsche Unternehmen finden bei den hiesigen Datenschutzbehörden da weit weniger Verständnis und Rücksichtnahme. Schon machen die ersten (unabgestimmten) Stellungnahmen einzelner Datenschutzbehörden die Runde.
So ist von der Berliner Datenschutzbeauftragten zu hören:
„Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an.“ …
„Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
Deren Kollege in Thüringen sieht ebenfalls keine Grundlage mehr für eine rechtskonforme Übertragung von personenbezogenen Daten in die USA:
„Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.“
Urteil muss nicht gefallen aber umgesetzt werden
Vorsichtiger ist der Landesdatenschutzbeauftragte Baden-Württemberg Stefan Brink, der bereits überlegt, ob der EuGH seine Macht nicht überschätzt. Gegenüber der FAZ sah er allerdings wenig Optionen für ein behördliches Handeln. Bereits 2005 habe es dem EuGH nicht gefallen, dass die Behörden nicht gleich das Urteil zu Safe Harbour durchgesetzt hatten:
„Der deutsche EuGH-Richter Thomas von Danwitz hat mir sinngemäß erklärt, uns müsse das Urteil ja nicht gefallen, wir müssten es nur umsetzen: sofort, konsequent, und ohne Rücksicht auf die Kollateralschäden. Man darf sich da keine Illusionen machen: Der EuGH meint das mit dem Datenschutz wirklich ernst, inklusive aller Konsequenzen.“
Brink beschreibt damit auch das aktuelle Dilemma der Behörden. Sie haben eigentlich keinen Spielraum.
Um Wettbewerbsnachteile innerhalb der EU zu vermeiden, steht zu hoffen, dass man sich jetzt zunächst einmal innerhalb der EU (Europäischer Datenschutzausschuss) unter den Behörden abstimmt. Die Unternehmen bleiben dennoch erst einmal im Regen stehen. Ob es erneut zu einem Bußgeldmoratorium kommen kann, ist angesichts der klaren Worte des EuGHs zweifelhaft. 2005 hatte es noch 6 Monate Schonfrist gegeben.
Ansprüche der Betroffenen
Selbst wenn die Behörden in der ersten Zeit Gelegenheit geben, Prüfungen durchzuführen und keine Bußgelder auswerfen, könnten sich „Betroffene“ bemüßigt fühlen, hier selbst Ansprüche durchzusetzen. Schon aktuell ist zu beobachten, dass Abmahngespanne immer häufiger auch Schadensersatz begehren, wenn tatsächlich oder vermeintlich Datenschutznormen gebrochen worden sind. Noch gibt es dazu nur einzelne Urteile, wie z.B. das Arbeitsgericht Düsseldorf, das unlängst einem Arbeitnehmer 5.000 Euro Schadensersatz für eine verspätete, weil zunächst unzureichende, Auskunft gewährte. Andere Gerichte, wie das OLG Dresden sahen eine Schwelle für Schadensersatz nicht so schnell überwunden (für einen rechtswidrig gelöschten Post bei Facebook wurde Schadensersatz verwehrt).
Fazit
Das Urteil war zwar erwartbar, aber in seinen Auswirkungen stellt es einen schweren Schlag gegen den internationalen Datenaustausch dar. Viele US-amerikanische Anbieter sind betroffen, zu denen es kaum Alternativen in der EU gibt. Bald dürfte sich auch das Vereinigte Königreich auf der datenschutzrechtlichen Stufe von Südafrika wiederfinden, denn auch dort ist eine Einigung im Rahmen des Brexit nicht in Sicht.
Unternehmen, die ihre Daten in den USA verarbeiten lassen, müssen jetzt handeln. Hier ist nicht unbedingt in allen Fällen eine sofortig Vertragskündigung angezeigt. Bestimmte notwendige Übermittlungen bleiben erlaubt. Zudem kann man versuchen, mit Einzelfalllösungen zu arbeiten. Zuvor ist eine Analyse angezeigt. Nehmen Sie Kontakt mit Rechtsanwälten auf, die Sie im Datenschutzrecht beraten und stimmen Sie ihre ersten Maßnahmen ab.
Bleiben Sie gesund!
Ihr Rolf Becker
Über den Autor
Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC-Club kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
RA Becker auf Twitter: http://twitter.com/rolfbecker
Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de.
Pressehinweise
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC-Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!
Bildnachweis: © BillionPhotos.com_Fotolia