DSGVO: EuGH erklärt EU US Privacy Shield für ungültig

Dass der Schutz von Daten in der EU einen höheren Stellenwert als in den USA hat, ist an und für sich nichts Neues. Eine Lösung des Problems war der EU-US Privacy Shield, der es im Rahmen der DSGVO ermöglichte, dass personenbezogene Daten von europäischen Webseiten in die USA vermittelt werden konnten. Diese Möglichkeit hat nun der EuGH gekippt. Die Folgen sind dramatisch, da viele Lösungen für Webseiten davon betroffen sind.

Der EU-US Privacy Shield

In der EU sind personenbezogene Daten durch die Datenschutz-Grundversorgung (kurz DSGVO) geschützt. Diese schützt die Bürgerinnen und Bürger der EU vor unerlaubter Verarbeitung ihrer Daten. Verlassen diese Daten die EU, ist der Schutz der EU-Datenschutz-Grundversorgung nicht mehr gegeben, da sie nur innerhalb der EU gültig ist. Was wie eine Binsenweisheit klingt, wirft jedoch die Frage auf, wie die Handhabung ist, wenn personenbezogene Daten an ein Drittland übermittelt werden. Diese Frage ist gerade in Bezug auf das Internet nicht ohne Bedeutung, da das Internet von seiner Natur her international ist und viele große Unternehmen ihren Sitz in einem Drittland, wie zum Beispiel den USA, haben.

Dieser Umstand ist auch den europäischen Datenschützern nicht unbekannt. Deshalb dürfen laut DSGVO personenbezogene Daten in ein Drittland übermittelt werden, wenn das Schutzniveau der Daten angemessen ist, und der Schutz sichergestellt werden kann. Beispiele für Drittländer, auf welche diese Vorgaben zutreffen, sind die Schweiz, Neuseeland oder Kanada. Die USA zählen nicht zu diesen Drittstaaten, da der Datenschutz dort als nicht angemessen gilt. Daher dürf(t)en nach DSGVO keine personenbezogenen Daten in die USA übermittelt werden. Allerdings ist in der DSGVO auch vorgesehen, dass die Datenübermittlung in ein Drittland, wie den USA, möglich und zulässig ist, wenn die Europäische Kommission dies feststellt. Diese Feststellung nennt sich Angemessensheitsbeschluss und „bescheinigt“, dass das Schutzniveau nach europäischen Vorgaben ausreichend ist. Der EU-US Privacy Shield ist eine Absprache zwischen der EU-Kommission und den USA, die auf schriftlichen Zusicherungen der USA beruht. Diese ermöglichten es der Kommission, den Angemessenheitsbeschluss auszustellen. In diesem wurde von der EU-Kommission ausdrücklich festgestellt, dass ein Datentransfer an US-Unternehmen, die sich vorab zertifiziert haben, DSGVO-konform möglich ist.

Kritik am EU-US-Privacy Shield

Die Kritik am Privacy Shield blieb nicht aus. Sie lässt sich an vier Punkten festmachen:

Der Zugriff von US-Behörden (v. a. der Geheimdienste) auf übermittelte Daten von EU-Bürgern ist trotzdem möglich.
Die Daten von EU-Bürgern sind trotzdem nicht ausreichend geschützt, weil es sich nur um Zusicherungen und keinen verbindlichen Vertrag (Abkommen) handelt, der diesbezügliche Regelungen fixiert.
Maßnahmen der Massenüberwachung sind trotz der Zusicherung möglich, ohne dass EU-Bürger davon erfahren.
Die Ombudsstelle, die von den US-Geheimdiensten eingerichtet worden ist, sei nicht unabhängig. Außerdem verfüge sie nicht über ausreichende Befugnisse zum wirksamen Eingreifen bei Verstößen.

Das EuGH-Urteil vom 16. Juli 2020

Dass bei dermaßen heftiger Kritik am EU-US-Privacy Shield eine Klage nicht lange auf sich warten ließ, ist nicht weiter verwunderlich. Das Urteil fällten die Richter des EuGH am 16. Juli 2020 (Urteil in der Rechtssache C-311/18. Data Protection Commissioner versus Maximalian Schrems und Facebook Ireland; kurz Schrems II-Urteil). Der Gerichtshof urteilte, dass der Angemessenheitsbeschluss (2016/1250, EU-US Privacy Shield) ungültig ist.

Konkret bedeutet dies:

Der Schutz personenbezogener Daten in den USA ist nicht ausreichend.
Daher dürfen keine personenbezogenen Daten in die USA übermittelt werden.

Ihre Webseite DSGVO konform gestalten

Dass dieses Urteil Folgen für viele Betreiber von Webseiten hat, ist klar. Denn viele Webseiten arbeiten mit Lösungen von US-amerikanischen Unternehmen, die auf dem EU-US Privacy Shield basieren. Betroffen sind gut 5.000 US-Unternehmen, die bei der International Trade Administration des US-amerikanischen Handelsministeriums gelistet sind. Es geht also nicht nur um die üblichen prominenten Beispiele wie Facebook, Pinterest, Google oder Amazon. Die komplette Liste finden Sie übrigens auf https://www.privacyshield.gov/list#.

Angesichts der Vielzahl der betroffenen Unternehmen, stellt sich die Frage, was Sie tun können, damit Ihre Webseite wieder DSGVO konform ist bzw. wird? Denn die Datenschutz-Aufsichtsbehörden in den EU-Mitgliedstaaten sind verpflichtet, unzulässige Datenexporte in die USA zu verbieten und bei Verstößen zu sanktionieren. Mit anderen Worten, an die Stelle von US-amerikanischen Unternehmen müssen jetzt europäische treten – oder Unternehmen aus einem Drittland, in welchem der Schutz von personenbezogenen Daten DSGVO-konform ist.

Die rc:com bietet die Möglichket an, mit dem Koopertationspartner easyrechtsicher eine Datenschutzerklärung zu erstellen die von den Gesetzestexten DSGVO-konform automatisiert und immer aktuell ausgeliefert wird.

Dies erleichtert zwar nicht die Auswahl der Anbieter, aber so ist zumindens als erstes die Grundlage für ein rechtssichere Datenschutz- und Impressumsseite gegeben.

FAQ bei der EDSA

Eine erste Anlaufstelle für Fragen ist die FAQ des Europäischen Datenschutzausschusses (EDSA), die am 23. Juli 2020 beschlossen worden ist. Bei der FAQ handelt es sich um ein Dokument, dass zwar nicht abgeschlossen ist, jedoch entscheidende Fragen klärt, wie zum Beispiel:

Die Umstellung muss ohne Verzögerung stattfinden. Eine „Gnadenfrist“ gibt es nicht.
Wenn Sie nicht wissen, ob bei der Verarbeitung Daten in ein Drittland vermittelt werden, müssen Sie die Verträge prüfen.
Standardvertragsklauseln sind weiterhin möglich, unterliegen jedoch besonderen Bestimmungen.

Wechsel von US-amerikanischen zu europäischen Anbietern

Der Wechsel zu europäischen Anbietern gilt aktuell als die sicherste Lösung. Allerdings müssen die europäischen Anbieter erst gefunden werden. Denn europäisch meint, dass der Sitz des Unternehmen in der EU ist. Tochtergesellschaften von US-amerikanischen Unternehmen sind hier nicht die Lösung, da auch diese personenbezogene Daten in die USA übermitteln. Mit anderen Worten, der Teufel steckt hier im Detail. Eine Liste europäischer Unternehmen gibt es bislang nicht, im Internet werden jedoch folgende Anbieter als europäisch genannt (ohne Gewähr):

Online Termine: harmonizely.com, cituro.de, Calenso
Videohosting: video-stream-hosting.com, videolyser.de
Webanalyse: Matomo, focal-analytics
Backups: Backup Monkey
Alternative zu Dropbox: Nextcloud

Fazit

Das sog. Schrems II-Urteil des EuGH hat viele Webseitenbetreiber erschüttert, da der Gerichtshof das EU-US Privacy Shield für ungültig erklärt hat. So sind mit einem Schlag viele Lösungen US-amerikanischer Unternehmen nicht mehr erlaubt, da diese Daten in die USA übermitteln und der Schutz personenbezogener Daten in den USA nicht ausreichend ist. Konkrete Hilfe für betroffene Webseitenbetreiber gibt es bislang nicht in ausreichender Form, obwohl die Umstellung ohne Gnadenfrist zu erfolgen hat. Deshalb müssen Sie selbst prüfen, welche Lösungen sie verwenden, und ob diese DSVGO-konform sind.

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.