Der Europäische Gerichtshof hat entschieden, dass das EU-US-Privacy-Shield keine Grundlage für den Transfer von Daten in die USA darstellen kann. Webseitenbetreiber müssen daher prüfen, ob sie Drittanbieter aus den Vereinigten Staaten weiter einsetzen dürfen. Lesen Sie in diesem Beitrag, wie Sie nun vorgehen müssen.

Inhalt

Der Europäische Gerichtshof hat entschieden, dass das EU-US-Privacy-Shield keine Grundlage für den Transfer von Daten in die USA darstellen kann. Webseitenbetreiber müssen daher prüfen, ob sie Drittanbieter aus den Vereinigten Staaten weiter einsetzen dürfen. Lesen Sie in diesem Beitrag, wie Sie nun vorgehen müssen. 

Warum war das Privacy-Shield bedeutsam? 

Drittdienste übernehmen auf Webseiten vielfältige Aufgaben, beispielsweise kann über sie die Analyse technischer Fehler oder die Messung der Effizienz von Marketingmaßnahmen erfolgen. Dies ist grundsätzlich erlaubt, wenn die Vorgaben der Datenschutzgrundverordnung (DSGVO) eingehalten werden. 

Wenn Daten in Länder außerhalb der Europäischen Union übermittelt werden sollen, muss der Webseitenbetreiber nach Art. 46 DSGVO durch „geeignete Garantien“ sicherstellen, dass der Datenschutz auch im Ausland sichergestellt ist. Nach Art. 45 DSGVO darf eine Übermittlung aber auch dann erfolgen, wenn die EU-Kommission beschlossen hat, dass ein angemessenes Datenschutzniveau besteht. Für die USA eröffnete bislang das Privacy-Shield eine solche Möglichkeit. 

Dieses Abkommen zwischen der Europäischen Union und den USA vereinfachte den Datentransfer erheblich. Webseitenbetreiber durften davon ausgehen konnten, dass nach dem Privacy-Shield zertifizierte Unternehmen ein angemessenes Datenschutzniveau sicherstellten. Wer Daten an ein solches Unternehmen übermittelte, konnte sich nach Art. 45 DSGVO darauf berufen, dass die Angemessenheit des Schutzes durch die EU-Kommission festgestellt worden war. 

Warum hat der Europäische Gerichtshof das Privacy-Shield für unwirksam erklärt? 

Wie schon der Vorgänger, das Safe-Harbour-Abkommen, sah das Privacy-Shield allerdings vor, dass es Ausnahmen vom Datenschutz geben könne, 
„als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss“.
Das bedeutete, dass die US-Geheimdienste und andere Sicherheitsbehörden im Zweifel doch auf Daten von EU-Bürgern zugreifen konnten, selbst wenn dies gegen die im Privacy-Shield-Abkommen genannten Datenschutzgrundsätze verstoßen sollte. 

Es kam daher, wie es kommen musste: Der Europäische Gerichtshof (EuGH) urteilte, dass das Privacy-Shield mit den Vorgaben der europäischen Grundrechte-Charta unvereinbar und daher ungültig ist. Nach Ansicht des Gerichts fehlt es an einem angemessenen Datenschutznievau in den USA, da die Überwachungsprogramme nicht dem in der Grundrechte-Charta verankerten Grundsatz der Verhältnismäßigkeit unterliegen: 

„Folglich ist davon auszugehen, dass [die US-Überwachungsgesetze] den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen genügen, so dass nicht angenommen werden kann, dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.

Unter diesen Umständen sind die [...] Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinigten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach Art. 52 Abs. 1 Satz 2 der Charta bestehenden Anforderungen der Sache nach gleichwertig wären.“
Das Privacy-Shield garantiert daher die Achtung des Privat- und Familienlebens (Art. 7 GRCh), den Schutz personenbezogener Daten (Art. 8 GRCh) und das Recht auf einen wirksamen Rechtsbehelf (Art. 47 GRCh) nicht in ausreichendem Maße.

Was sind die Folgen der Entscheidung?

Mit dem Urteil des EuGH ist das Privacy-Shield keine Grundlage, um sicherzustellen, dass im Ausland ein angemessenes Datenschutzniveau sichergestellt ist. Das bedeutet, dass der datenschutzrechtlich Verantwortliche den Datenschutz auf andere Weise sicherzustellen hat. Das Gericht selbst geht davon aus, dass die erforderlichen „geeigneten Garantien“ durch den Abschluss von sogenannten „Standarddatenschutzklauseln“ geschaffen werden können. Voraussetzung ist, dass diese den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe einräumen. Solche Standarddatenschutzklauseln, die auch Standardvertragsklauseln genannt werden, können ohne eine Genehmigung durch die Datenschutzbehörde verwendet werden. Voraussetzung ist, dass sie unverändert bleiben und das von der DSGVO verlangte Datenschutzniveau eingehalten wird.

Können überhaupt noch Daten in die USA übermittelt werden?

 Da nach Auffassung des EuGH ein angemessenes Datenschutzniveau in den USA nicht gewährleistet ist, kann eine Übermittlung von Daten derzeit nicht in jedem Fall auf Standarddatenschutzklauseln gestützt werden. Die Sicherheitsgesetze in den USA, wie Sec. 702 FISA, der den US-Sicherheitsbehörden ohne richterlichen Beschluss erlaubt, in bestimmten Fällen Zugriff auf personenbezogene Daten zu nehmen, gelten vorrangig gegenüber Telekommunikationsunternehmen. Für Datenübermittlungen an solche Unternehmen können die Standardvertragsklauseln in der Regel nicht verwendet werden. Ob sie generell nicht mehr für Datenübermittlungen in die USA genutzt werden können, wird nach Angaben des Landesbeauftragen für den Datenschutz in Rheinland-Pfalz gerade geprüft. Es besteht damit ein Risiko, dass die Datenschutzbehörden oder einzelne Nutzer mit Erfolg gegen eine Datenübermittlung vorgehen können. Dennoch ist der Abschluss von Standarddatenschutzklauseln nach derzeitigem Stand besser, als gar nicht zu handeln. Unternehmen sollten aber auch überlegen, ob es europäische Alternativen zu US-Anbietern gibt. 

Was müssen Webseitenbetreiber nun tun?

Wenn Drittdienste eingesetzt werden, deren Sitz in den USA ist, müssen Webseitenbetreiber nun eine Grundlage für die Datenverarbeitung im Ausland haben. Dazu gehen Sie wie folgt vor: 

  • Fragen Sie sich, welche Dienste in den USA tätig sind, bei denen nun die Grundlage für die Übermittlung entfallen sein kann.
  • Prüfen Sie, wie das angemessene Datenschutzniveau hergestellt wird. Dies wird in der Regel durch die Standarddatenschutzklauseln geschehen. Diese werden von manchen Anbietern in die allgemeinen Geschäftsbedingungen integriert oder können separat abgeschlossen werden. Wenn Sie sich unsicher sind, fragen Sie beim Anbieter nach.
  • Denken Sie darüber nach, ob der Einsatz von US-Diensten tatsächlich notwendig ist. Es gibt heute eine Vielzahl von Anbietern, sodass ein Einsatz einer europäischen Lösung möglicherweise vorzugswürdig ist.
  • Überarbeiten Sie Ihre Datenschutzerklärung und entfernen Sie alte Hinweise auf das EU-US-Privacy-Shield.

Wenn Sie eine neue Datenschutzerklärung benötigen, können Sie sich diese mit „Einfach Abmahnsicher“ generieren. Wir haben unsere Rechtstexte bereits angepasst und gehen davon aus, dass eine Übermittlung auf der Grundlage von Standarddatenschutzklauseln erfolgt. Es bleibt abzuwarten, ob sich die Europäische Union und die USA zeitnah auf eine Neuregelung einigen. Allerdings sind hier Zweifel angebracht. Denn dass sich die Vereinigten Staaten darauf einlassen werden, ihre Überwachungsprogramme für EU-Bürger abzuschwächen, ist eher unwahrscheinlich. Festzuhalten ist: Das Urteil es Europäischen Gerichtshofs stärkt den Datenschutz, für Webseitenbetreiber bleibt es kompliziert.