Wie weiter nach „Schrems II“?
Mit Urteil vom 16. Juli 2020 hat der EuGH in der Rechtssache „Schrems II“ entschieden, dass das sog. EU-US Privacy Shield, auf Grundlage dessen ein Großteil der Datentransfers zwischen der EU und den USA abgewickelt wurde, rechtswidrig ist. Mit teilweise identischer Begründung wie im „Schrems I“-Urteil aus 2015 in Bezug auf Safe Harbor urteilte das Gericht, dass das Privacy Shield kein angemessenes Schutzniveau für die Daten der EU-Bürgerinnen biete: weitreichende Überwachungsbefugnisse der US-Geheimdienste in der einen, keine Rechtsschutzmöglichkeiten in der anderen Seite der Waagschale – das Privacy Shield als Angemessenheitsbeschluss der EU-Kommission war seit jeher ein Feigenblatt und für Experten war klar, dass es wie das Safe Harbor-Abkommen für unwirksam erklärt werden würde. Der Grundkonflikt zwischen den durch das europäische Recht verbürgten Datenschutzrechten und den weitreichenden Überwachungsbefugnissen der US-Geheimdienste ist also final eskaliert. Ob und wie dieser im Kern politische Konflikt gelöst werden wird, ist derzeit überhaupt nicht absehbar. Klar ist nur, dass Unternehmen einmal mehr mit großer Rechtsunsicherheit umgehen müssen. Wie Sie in dieser Situation dennoch Ihr Bußgeld- und Schadensersatzrisiko minimieren können, soll im Folgenden skizziert werden.
Das „Schrems II“-Urteil des EuGH lässt für internationale Datentransfers in die USA eine Hintertür offen. Zwar ist das Privacy Shield rechtswidrig und ohne Übergangsfrist unanwendbar. Die Datenübermittlung kann jedoch nach den Ausführungen des EuGHs unter Umständen weiter auf den Abschluss der sog. Standardvertragsklauseln (Standard Contractual Clauses – SCC) gestützt werden. Dies allerdings nur unter der – in der Rechtssache „Schrems II“ nicht gegebenen – Voraussetzung, dass hierdurch ein der EU vergleichbares Schutzniveau, d. h. geeignete Garantien des Verantwortlichen oder des Auftragsverarbeiters, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen hergestellt wird. In der Fachwelt wird diese Maßgabe knapp als „SCC+“ bezeichnet.
Wie unter dieser Voraussetzung eine rechtskonforme Datenübermittlung in die USA gelingen kann, wird von Aufsichtsbehörden in etwa folgenden drei Schritten beschrieben:
1. Schritt
Als erstes gilt es, den Empfänger bzw. Datenimporteur, sei es ein Auftragsverarbeiter oder eine eigenständig verantwortliche Stelle, auf das Urteil und die (möglichen) Konsequenzen hinzuweisen, sollte der Abschluss von SCC+ nicht gelingen. Da für US-Dienstleister durch das Urteil des EuGH ein bedeutender Markt wegzubrechen droht, dürfte es im Interesse der US-Partner sein, eine rechtskonforme Datenübermittlung hinzubekommen, wenngleich ebenfalls klar ist, dass etwa Google auf eine entsprechende Anfrage eines deutschen Mittelständlers nicht seine Geschäftspraktiken ändern wird.
2. Schritt
Im Zuge der Kontaktaufnahme zum US-Geschäftspartner sollten die EU-Datenexporteure sodann die Initiative ergreifen, um „geeignete Garantien des Verantwortlichen oder des Auftragsverarbeiters, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen“ herzustellen. Hierzu kann man sich in einem ersten Schritt einer Anfrage bedienen, die von der Schrems-NGO NOYB kostenlos zur Verfügung gestellt wird. Mit diesem Fragebogen wird zunächst abgefragt, ob das jeweilige Unternehmen unter die US-Überwachungs-Direktiven fällt. In einem zweiten Schritt wird nach technischen und organisatorischen Maßnahmen des Unternehmens gefragt, mit denen das vergleichbare Schutzniveau hergestellt werden kann. Eine technische Maßnahme könnte etwa die Verschlüsselung sein, eine organisatorische Maßnahme die vertragliche Verpflichtung des US-Partners, gegen Überwachungsmaßnahmen den Rechtsweg zu beschreiten.
3. Schritt
Nun kommt der entscheidende Part: Abzuwägen sind die durch den US-Partner getroffenen oder angebotenen technischen und organisatorischen Maßnahmen und der Schutzbedarf der betroffenen Daten. Im Falle des Aktivisten Schrems war die Sache klar: Der Schutzbedarf der Daten in einem Facebook-Profil ist hoch bis sehr hoch, da von Religion über politische Einstellungen bis hin zu sexuellen Vorlieben alles dabei ist und Facebook nicht gewillt war, den EU-Nutzern in irgendeiner Form entgegenzukommen. Die Abwägung kann jedoch auch schnell ganz anders ausgehen, etwa, wenn stark pseudonymisierte Daten auf den US-Servern zusätzlich verschlüsselt werden. In diesem Fall kann die Datenübermittlung auf der Grundlage der Standardvertragsklauseln „Plus“ (Verschlüsselung) rechtmäßig sein. Kommt der Datenexporteur zu einem negativen Abwägungsergebnis, sollte er die Datenübermittlung allerdings überdenken. Nur wenn es um existentiell wichtige Geschäftsprozesse geht und keine passable Alternative „ohne Transferproblematik“ – sprich: ein Dienstleister innerhalb der EU – besteht, kann ggf. vertreten werden, dass die Datenübermittlung auf Grundlage der SCC fortgesetzt wird.
Praxistipp: Unabhängig davon, ob der erwähnte Fragebogen beantwortet wird und wenn ja, welche Antworten gegeben werden, dokumentiert ein Datenexporteur in der EU gegenüber Aufsichtsbehörden und Betroffenen mit der Beachtung der vorstehenden Schritte, dass man sich tatsächlich bemüht hat, den Vorgaben des Urteils zu entsprechen. Wie immer im Datenschutz gilt auch jetzt: „Etwas ist besser als Nichts“. Dass hiermit den Unternehmen die letztlich politische Aufgabe der EU-Kommission aufgebürdet wird, Möglichkeiten und Grenzen des internationalen Datentransfers zu bestimmen, ist gleichwohl ärgerlich und der Sache des Datenschutzes abträglich.