Update Datenschutz Nr. 84
Nach EuGH-Urteil zum Privacy-Shield - Datenschutzbehörde veröffentlicht Handlungsempfehlungen für die Praxis
Im Juli 2020 hatte der Europäische Gerichtshof (C-311/18, „Schrems II“) das EU-US-Privacy-Shield als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für ungültig erklärt und die EU-Standardvertragsklauseln unter erhöhte Anforderungen gestellt. Dieser Beitrag gibt einen Überblick zur zwischenzeitlichen Reaktion der Aufsichtsbehörden auf Grundlage einer am 24.08.2020 veröffentlichten Orientierungshilfe der Datenschutzaufsicht in Baden-Württemberg Handlungsempfehlungen für Unternehmen.
Sachverhalt
Der EU-US-Privacy-Shield (ein Angemessenheitsbeschluss der EU-Kommission auf Grundlage vertraglicher Abreden zwischen EU und USA) war seit 2016 u.a. ein Mechanismus für den Transfer personenbezogener Daten im Rahmen der Nutzung von Cloud-Diensten von US-Providern wie Amazon, Microsoft, Google oder Salesforce. Er wurde mit Urteil des EuGH vom 16.07.2020 für ungültig erklärt, wie auch bereits in 2015 sein Vorgänger, das Safe-Harbour-Abkommen. Unternehmen der EU können daher seit dem 16.07.2020 ihre Nutzung von US-Cloud-Diensten nicht mehr auf den Privacy-Shield stützen. Die EU-Kommission hat zwischenzeitlich Gespräche mit dem US-Handelsministerium zur Findung eines neuen Abkommens aufgenommen. Gemäß Art. 46 DSGVO verbleiben als Alternative zunächst insbesondere noch die EU-Standardvertragsklauseln. Auch diese wurden jedoch vom EuGH als ungenügend qualifiziert, wenn im Einzelfall feststeht, dass ein angemessenes Schutzniveau aufgrund der Überwachungspraxis von Regierungsbehörden im betreffenden Land nicht gegeben ist. Steht daher fest, dass etwa US-Regierungsbehörden unter Verletzung von Rechten von EU-Bürgern jederzeit unkontrolliert Zugriff auf deren Daten haben, so können die EU-Standardvertragsklauseln nur unter Einhaltung ergänzender Garantien als taugliche Rechtsgrundlage für die Inanspruchnahme von US-Cloud-Diensten dienen.
In den vergangenen Wochen bestand innerhalb der EU nun Ungewissheit, unter welchen Voraussetzungen Unternehmen weiterhin derartige Dienste wie Microsoft Office 365, Amazon Web Services oder Salesforce in Anspruch nehmen oder auch im Rahmen von Lieferbeziehungen oder aufgrund von Konzernvorgaben Daten in das Nicht-EU-Ausland transferieren können. Da die EU-Standardvertragsklauseln ja weiterhin Gültigkeit besitzen, stellte sich insbesondere die Frage nach den vom EuGH geforderten angemessenen, ergänzenden Garantien.
Reaktion der Aufsichtsbehörden
Die Aufsichtsbehörden der Länder hatten sich bislang eher allgemein geäußert und klare, eindeutige Handlungsempfehlung vermissen lassen, etwa die Landesbehörden in Thüringen, Hamburg, Rheinland-Pfalz, die deutsche Datenschutzkonferenz oder der Datenschutzausschuss der EU. Lediglich die Landesbehörde in Berlin äußerte sich recht eindeutig dahingehend, dass EU-Unternehmen nach den Feststellungen des EuGH nun von US-Providern wechseln müssten zu Providern in der EU oder in Drittstaaten mit angemessenem Datenschutzniveau. Vor wenigen Tagen hat auch der Kläger im obigen EuGH-Verfahren (Max Schrems) eine dreistellige Zahl von Beschwerden an Aufsichtsbehörden in der EU eingereicht, um die Durchsetzung der neuen, schärferen Anforderungen an den US-Datentransfer zu beschleunigen.
Am 24.08.2020 trat nun die Landesbehörde in Baden-Württemberg mit Handlungsvorschlägen an die Öffentlichkeit. In ihrer Orientierungshilfe gibt die Behörde konkrete Anleitungen zur Umsetzung der neuen EuGH-Vorgaben. Hier die wichtigsten Aussagen:
- Ein Datentransfer in die USA allein auf Grundlage des (nun ungültigen) Privacy-Shield kann Bußgelder nach sich ziehen. Das gilt jedenfalls dann, wenn das Zielunternehmen dem FISA Act, dem Cloud Act oder der Presidential Policy Directive 28 unterliegt.
- Wird der US-Datentransfer auf EU-Standardvertragsklauseln gestützt (die der betreffende US-Provider natürlich unterzeichnet haben muss), dann reicht dies nur aus, wenn zusätzliche Garantien geschaffen wurden, etwa a) Einsatz von Verschlüsselungstechnik, b) Anonymisierung oder Pseudonymisierung (wenn nur das EU-Unternehmen die Zuordnung vornehmen kann) oder c) Vereinbarung mit den US-Providern, dass die Daten ausschließlich auf EU-Territorium gespeichert und verarbeitet werden („EU-Option“). Verarbeitung auf EU-Territorium bedeutet, dass auch der Fernzugriff aus Drittstaaten (wie den USA) entsprechend beschränkt sein muss.
- Die Ausnahmevorschrift des Art. 49 DSGVO ist nur sehr restriktiv anzuwenden; insoweit kann etwa die Einwilligung oder Vertragserforderlichkeit nur begrenzt dauerhaft als Rechtsgrundlage für den US-Datentransfer Verwendung finden.
- Zum Nachweis eines Willens zum rechtkonformen Handeln gegenüber den Aufsichtsbehörden ist die individuelle Kontaktaufnahme zu den betreffenden US-Providern zu belegen; diese sollte sich insbesondere auf eine einvernehmliche Änderung der EU-Standardvertragsklauseln beziehen (die in der Orientierungshilfe konkret beschrieben wird).
- Nachzuweisen gegenüber den Aufsichtsbehörden ist auf Anfrage auch, ob zumutbare Alternativangebote ohne Transferproblematik bestehen (z.B. von deutschen Providern) und zu begründen, weshalb diese ggf. nicht in Anspruch genommen wurden.
Handlungsempfehlungen
Die Vorschläge der Landesbehörde in Baden-Württemberg sind damit bereits sehr viel konkreter, als bisher von den anderen Behörden wahrgenommen. Unternehmen sollten sich daher auf Grundlage der neuen Orientierungshilfe Nachweise zurechtlegen, die im Falle eines behördlichen Audits vorgelegt werden können. Im Hinblick auf den ungültigen EU-US-Privacy-Shield sollte zudem die eigene Datenschutzerklärung der Website daraufhin überprüft werden, ob dort noch bestimmte Verarbeitungen (z.B. Google Analytics) auf diese Rechtsgrundlage gestützt werden; ggf. sind die Verarbeitungen entsprechend umzustellen und alle Hinweise auf das EU-US-Privacy-Shield zu löschen.