Vergangenen Donnerstag hat der EuGH die sog. „Privacy Shield“-Regelung der EU-Kommission für unwirksam erklärt.
Folge des Urteils des EuGH ist, dass z. B. die Inanspruchnahme von US-Dienstleistern, die nur auf Basis des sog. „Privacy Shield“ erfolgt, seit letzten Donnerstag unzulässig ist und ggf. damit rechtswidrig ist. Aus der Rechtswidrigkeit allein können wiederum Bußgeldrisiken resultieren, sodass hier zügig gehandelt werden muss, um diese Datenverarbeitungen entweder sofort einzustellen oder auf eine rechtlich andere Basis zu stellen. Die Landesdatenschutzbehörde Rheinland-Pfalz bemerkte dazu, dass es keine Übergangsfrist gibt, sondern sofort gehandelt werden muss. Normalerweise wäre die Alternative, dass mit den Dienstleistern auf die sog. EU-Standardvertragsklauseln umgestellt wird. Aber leider bieten nicht alle Anbieter diese Vertragsform an. Mit dem Urteil werden wahrscheinlich mittelfristig auch die EU-Standardvertragsklauseln nicht mehr gültig sein, denn speziell im Falle der USA wird das Datenschutzniveau sowie die Durchsetzungsmöglichkeit von Rechtsmitteln auch mit dieser Vertragsform nicht besser. Im Endeffekt müssen die USA bessere Rechtsschutzmöglichkeiten gegen staatliche Überwachung einräumen. Letzteres ist aber nicht in naher Zukunft zu erwarten.
Zitat der Landesdatenschutzbehörde Berlin:
„Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln. Maja Smoltczyk: „Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
Handlungsempfehlungen nach dem Urteil zum Privacy Shield
- Ermitteln Sie alle Dienstleister aus den USA (und ggf. weiteren unsicheren Drittländern), die Sie nutzen und prüfen Sie, ob für die Übermittlung der Daten in die USA zur Gewährleistung des angemessenen Schutzniveaus allein auf eine „Privacy Shield“-Zertifizierung des Dienstleisters gesetzt wurde oder ob die EU-Standardvertragsklauseln vertraglich vereinbart worden sind. Erste Hinweise finden Sie üblicherweise im Verzeichnis der Verarbeitungstätigkeiten und in Ihrer Übersicht der Auftragsverarbeiter.
- Wenn als Basis der Datenübermittlung nur das „Privacy Shield“ angegeben ist, prüfen Sie, ob Sie auf den Dienstleister verzichten und das Vertragsverhältnis kündigen können. Das EuGH-Urteil bietet hier ggf. die Möglichkeit einer fristlosen Kündigung. Zumindest sollten Evaluationsprozesse angestoßen und dokumentiert werden, damit Sie gegenüber einer Aufsichtsbehörde nachweisen können, dass Sie sich um Alternativen bemüht haben. Des Weiteren würde ich hier eine Priorisierung der Dienstleister vornehmen – je relevanter der Dienstleister für Ihr Geschäftsmodell ist, umso länger kann der Prüfprozess dauern. Ein Newsletterversender ist einfacher auszutauschen als ein Dienstleister für ein ERP-System oder Microsoft / AWS.
- Wenn Sie auf den Dienstleister nicht verzichten können, dann schreiben Sie den Dienstleister an, weisen auf das EuGH-Urteil zur Unwirksamkeit des „Privacy Shields“ hin und fragen nach, ob kurzfristig der Abschluss der EU-Standardvertragsklauseln möglich ist.
- Wenn der Dienstleister nicht bereit sein sollte die EU-Standardvertragsklauseln abzuschließen, sollte der Dienstleister nach Möglichkeit nicht mehr eingesetzt werden.
- In bestimmten Fällen bleibt dann nur die Möglichkeit, auf in Art. 49 DSGVO enthaltene Ausnahmen zurückzugreifen. Die Aufsichtsbehörden wenden diese Norm jedoch sehr restriktiv an. Das wäre aber immer noch besser als gar keine Lösung.
- Aktualisieren Sie Ihre Datenschutzhinweise auf der Webseite (kurzfristig) sowie alle Art 13-Informationen, in denen diese Dienstleister erwähnt werden. Vor allem, wenn hier eine Übermittlung der Daten auf Basis des Privacy Shield angegeben ist.
Wichtig: Eine Datenübermittlung auf Basis einer Einwilligung durchzuführen, ist weiterhin keine gute Lösung und sollte nur dann genutzt werden, wenn es wirklich keine anderen Alternativen gibt (im Beschäftigtenkontext wird es wahrscheinlich gar nicht zulässig sein, da hier keine freiwillige Einwilligung umgesetzt werden kann).
Kann ich Microsoft 365 weiterhin einsetzen?
Trotz der andauernden Auseinandersetzung der Berliner Datenschutzaufsichtsbehörde mit Microsoft, halte ich Microsoft 365 / Microsoft Teams weiterhin für datenschutzkonform einsetzbar, wenn Sie über bezahlte Lizenzen verfügen (also einen Geschäftskundenaccount haben). Alle Kundendaten werden in der EU gespeichert (teilweise sogar in Deutschland). Für Übermittlungen von Daten in die USA ist Microsoft selbst verantwortlich (im Rahmen, der im DPA aufgeführten legitimen Geschäftszwecke) sowie auf Basis der EU-Standardvertragsklauseln, die Bestandteil Ihres Vertrags mit Microsoft sind.
Selbst wenn hier noch Unstimmigkeiten im Auftragsverarbeitungsvertrag bestehen sollten, wird Microsoft diese in Abstimmung mit den europäischen Aufsichtsbehörden abstellen. In diesem Fall rate ich einfach zum Abwarten.
Weitere Informationen, wie Sie Microsoft 365 auch nach diesem EuGH-Urteil mit gutem Gefühl einsetzen können, finden Sie in meinem Workshop „Security & Compliance in Microsoft 365„.
Auf Basis welcher Rechtsgrundlagen kann der Verantwortliche weiterhin Daten in Drittländer übermitteln?
Die Datenschutzgrundverordnung folgende rechtliche Möglichkeiten für eine zulässige Datenübermittlung in Drittländer vor:
- Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission Das gilt aktuell z.B. für Länder wie die Schweiz, Kanada oder Israel.
- Vorliegen geeigneter Garantien: verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, genehmigte Verhaltensregeln, ein genehmigter Zertifizierungsmechanismus oder einzeln ausgehandelte und von der Aufsichtsbehörde genehmigte Vertragsklauseln
- Ausnahmetatbestände nach Art. 49 DSGVO (hier sei z. B. die Übermittlung von Mitarbeiterdaten im Rahmen einer Reisebuchung in die USA genannt)
Ergeben sich besondere Pflichten, wenn der Verantwortliche Daten auf Basis der EU-Standardvertragsklauseln übermittelt?
Die Verträge müssen nicht geändert werden. Aber der EuGH hat klargestellt, dass die Verantwortlichen, die die Standardvertragsklauseln verwenden, ihren daraus erwachsenden Pflichten nachkommen müssen. Wenn sich herausstellt, dass der Auftragsverarbeiter im Drittland Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs, also des Verantwortlichen in der EU, und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, hat der datenexportierende Verantwortliche in der EU z. B. gemäß Klausel 5 des Standardvertrags für Datenübermittlungen von Verantwortlichen in der EU an Auftragsverarbeiter in Drittländern (2010/87/EU) das vertraglich begründete Recht, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten. Um nicht gegen die Vorschriften der DSGVO zu verstoßen, muss der Verantwortliche in diesem Fall von diesem Recht Gebrauch machen.
Dies galt allerdings auch schon vorher. Mit seinem Urteil verdeutlicht der EuGH, dass sich datenexportierende Stellen dauerhaft mit der Gesetzeslage des Ziellandes auseinandersetzen müssen, um nicht von den Aufsichtsbehörden in der EU für Datenschutzverstöße durch die importierende Stelle im Drittland belangt zu werden.