CR-online.de Blog

EuGH Schrems II – Eine Prognose nach dem Wolkenbruch

avatar  Dennis G. Jansen, LL.M. (Berkeley)
Rechtsanwalt (J-Law.de), General Counsel (CoachHub.io), und Gründer | Datenschutz, Software, IP, IT und IT-Beweismittel

Die EuGH-Entscheidung Schrems II (EuGH, Urt. v. 16.7.2020 – C-311/18, CR 2020, 529 ff.) ist ein starker Wolkenbruch: Das Privacy Shield ist ungültig. Aber was sind die Konsequenzen? In der Praxis drohen die üblichen Risiken einer DSGVO-Verletzung wie behördliche Bußgelder von bis zu 4% Konzernumsatz oder bis zu 20 Millionen Euro. Wen welche Risiken treffen und wo die Sonne voraussichtlich noch über Standardvertragsklauseln und Binding Corporate Rules für die Datenverarbeitung scheint, erfahren Sie im Folgenden:

Privacy Shield vollständig unwirksam

Wer? Nicht nur US-Anbietern, sondern auch Unternehmen, die solche Anbieter in ihrer Lieferkette haben, drohen die Risiken einer DSGVO-Verletzung.

Anzeige

Warum?  Eine beliebte Maßnahme zur Herstellung eines angemessenen Datenschutzniveaus in den USA war das Privacy Shield. US-Unternehmen konnten sich selbst als ausreichend DSGVO-konform zertifizieren. Das Privacy Shield wurde schon lange kritisiert: Besonders problematisch ist, dass das Privacy Shield nicht vor einer unverhältnismäßigen Massenüberwachung schützt und in den USA keine ausreichenden Rechtsbehelfe bestehen.

=>  US-Anbieter, die nur das Privacy Shield anbieten, dürfen in der EWR jetzt nicht mehr für personenbezogene Daten genutzt werden.

Ab wann?  Eine Übergangsfrist gibt es nicht. Wenn US-Anbieter keine Standardvertragsklauseln oder andere Maßnahmen anbieten, müssen diese Anbieter sofort abgestellt werden.

Wer nutzt das Privacy Shield?  Welche Anbieter ein Privacy Shield nutzen, kann man durch einen Abgleich der Privacy-Shield-Liste mit der eigenen Lieferantenkette erfahren.

Standardvertragsklauseln wirksam, aber nicht in “unsicheren Drittstaaten”

Standardvertragsklauseln sind grundsätzlich weiterhin wirksam (zur Praxis mit den Standardvertragsklauseln auch über “Schrems II” hinaus umfassend Voigt, CR 2020, 513 ff.). Allerdings sind Datenschutzbehörden verpflichtet, eine Datenübertragung zu untersagen, wenn der Datenschutz in einem Land tatsächlich nicht gewährleistet ist.

Keine US-Anbieter:  So liegt es wegen derselben Massenüberwachung (wie beim Privacy Shield) wohl regelmäßig zumindest bei Cloudanbietern in den USA. Zumindest soweit wie in den USA eine Massenüberwachung möglich ist und ein Haftungsschutz greift, dürfte die Nutzung von US-Anbietern daher gegen die DSGVO verstoßen. Dabei dürfte weitgehend unerheblich sein, ob Standardvertragsklauseln oder Binding Corporate Rules genutzt werden (ausführlich zur Ungeeignetheit von Standardvertragsklauseln für Datentransfers in die USA Lejeune, CR 2020, 522 (526 f. Rz. 17-19)).

Wer verstößt?  Aufgrund der zumindest mittelbaren Nutzung von US-Clouds für personenbezogene Daten sind daher die meisten Unternehmen in Europa und USA vom Urteil betroffen.

Zentrale Probleme: § 702 FISA, EO 12333, Rechtsstaat

Der EuGH sieht die zentralen Probleme in § 702 FISA und Executive Order 12333 (“EO 12333”).

Überwachung von Ausländern:  § 702 FISA ist zentral auf die Überwachung von Ausländern ausgerichtet, weil anderes wohl selbst den sehr partiellen und eher anspruchslosen Datenschutz des 4. Zusatzartikels der US-Verfassung gegen “unangemessene Durchsuchungen und Beschlagnahmungen” (“unreasonable searches and seizures”) – soweit dieser z. B. in der Cloud überhaupt greift – teilweise unterwandern würde.

Grundrechtsverstoß:  Dass umfassende Überwachung auf Exekutivakte wie EO 12333 gestützt wird, verstieße in Deutschland für sich bereits gegen die Wesentlichkeitstheorie des Grundgesetzes. Dazu kommt noch, dass keine wirksamen Rechtsbehelfe gegen die Überwachung existieren. Dies verletzt “den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz (…).”, EuGH v. 16.7.2020 – C-311/18, CR 8/2020, 529 (540 Rz. 187).

Maßstab:  Der EuGH verlangt (noch) nicht die vollständige Durchsetzung der DSGVO, sondern vielmehr ein absolutes Mindestmaß an Grundrechten und Rechtsstaatlichkeit in einer demokratischen Gesellschaft. Soweit das umgesetzt werden kann, könnten Standardvertragsklauseln auch in unsicheren Drittstaaten nutzbar sein.

Machtfrage:  Dass es nach alledem aus den USA unter anderem heißt, die EU wolle den USA ihre hohen Datenschutzstandards aufzwingen und würde ihre eigenen Werte verraten, überrascht daher – umso mehr, wenn man den Umgang mit TikTok betrachtet.

Unsichere Drittstaaten: Auch China, Indien, Russland und bald UK?

USA:  Die USA wurden vom höchsten außereuropäischen Datenschutzniveau in das niedrigste abgestuft: Die USA durften unter dem Privacy Shield als sicherer Drittstaat gelten. Jetzt müssen die USA nicht nur als unklarer, sondern als “unsicherer Drittstaat” betrachtet werden: Grundsätzlich ist eine personenbezogene Datenverarbeitung in solchen Staaten als unsicher einzustufen (ausführlich dazu Lejeune, CR 2020, 522 (525 Rz. 15)).

US Long-Arm Jurisdiction:  Die EuGH-Entscheidung hat eine erheblich größere Reichweite als die USA: Nicht nur US-Server, sondern auch US-Anbieter und deren Tochtergesellschaften und Server in der EU können betroffen sein. Denn auch für diese gilt oft der direkte Zugriff von US-Behörden, den der EuGH als problematisch ansieht. Ob und wann bei EU-Servern eine “Übermittlung an ein Drittland” i. S. d. Art. 44 ff. DSGVO (zur neuen unionsrechtlichen Dogmatik Botta, CR 2020, 505 ff.) vorliegt, ist aber noch nicht abschließend geklärt und hängt sicherlich auch vom Einzelfall ab.

Unsichere Drittstaaten könnten auch z.B. China, Indien und Russland sein. Großbritannien dürfte zum Jahreswechsel zu dieser Liste stoßen. Andere Angemessenheitsbeschlüsse, z. B.  bei den Five-Eyes-Staaten, sind bei vergleichbarer staatlicher Überwachung auch gefährdet. Für die Prüfung von Drittländern kann man sich beim Projekt essentialguarantees.com informieren.

In Irland nichts Neues

Von den Konsequenzen am wenigsten unmittelbar betroffen dürften die Unternehmen in Irland sein. Denn in Irland treffen voraussichtlich weiterhin die wohl schwersten Datenschutzverstöße auf ein Vakuum der effektiven Durchsetzung: 

Bis jetzt:  Es gab noch kein DSGVO-Bußgeld gegen Unternehmen in Irland. Die irische Datenschutzbehörde hat die Beschwerde von Max Schrems gegen Facebook, die alles in Gang brachte,  zuerst als missbräuchlich (“frivolous and vexatious”)  bezeichnet. Die Gerichte haben das glatte Gegenteil entschieden. Irland behielt danach relevante Informationen für sich, die das Verfahren möglicherweise schon um 5 Jahre verzögerten. Noch immer hat die Behörde nichts gegen Facebook umgesetzt.

Vorgabe des EuGH:  Hierzu äußert sich der EuGH deutlich:

Die zuständige Aufsichtsbehörde ist verpflichtet, “sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, (…) eine auf Standarddatenschutzklauseln (…) gestützte Übermittlung personenbezogener Daten (…) auszusetzen oder zu verbieten, wenn (…) der nach dem Unionsrecht (…) erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann”.
(Leitsatz 3; Hervorhebungen hinzugefügt)

Künftig?  Trotzdem ist mehr als fraglich, ob die irische Behörde ab jetzt effektiv wirksam tätig wird. Denn ihre Untätigkeit macht Irland neben steuerlichen Gründen zu einem beliebten Standort für Unternehmen. Das wird sich trotz öffentlichkeitswirksamer Äußerungen in Zeiten von Corona erst recht nicht ändern. Doch ab jetzt könnten u. a. alle Datenschutzaufsichtsbehörden in allen EU-Ländern bei allen US-Transfers aller Verantwortlicher tätig werden (das nennt Botta, CR 2020, 505 (513 Rz. 57) eine Verantwortungsdiffusion).

Fazit: USA, China, Indien, Russland und bald UK riskant

Unklares Wetter:  Wie stark es regnen wird, hängt jetzt von den Datenschutzbehörden und anderen Akteuren ab. Von einem milden Sommerregen bis Überflutungen scheint derzeit alles denkbar.

Dringlichkeit von Schutzmaßnahmen:  Besonders dringend ist eine Abschaltung von US-Anbietern, die nur Privacy Shield anbieten. Am wenigsten unmittelbar betroffen sind grundsätzlich US-Cloudanbieter, denn die Behörden werden sich an die Verantwortlichen wenden und Irland bleibt voraussichtlich ungefährlich.

Unmittelbar betroffen sind B2B-Anbieter, soweit sie Complianceprüfungen großer Konzerne bestehen müssen: Bei US-Anbietern sollte man zumindest EU-Server für personenbezogene Daten nutzen. Besonders sicher scheint eine vollständige Vermeidung sowohl Anbietern als auch von Serverstandorten aus unsicheren Drittstaaten. In jedem Fall sollte man die weitere Entwicklung genau im Auge behalten (lassen).

Prognose zur Wetterlage: Wer steht nach Schrems II wahrscheinlich im Regen?

In absteigender Risiko-Geneigtheit:  Sie oder Ihr Auftragsverarbeiter im EWR (und deren Auftragsverarbeiter usw) nutzen für Ihre personenbezogene Daten:

  • Kritisch:  Ausschließlich Privacy Shield
  • Sehr hoch:  US-Anbieter mit Massenüberwachung wie vermutlich Amazon (AWS), Microsoft (Azure) oder Google (Cloud Services) mit US-Servern
  • Sehr hoch:  Anbieter mit unverhältnismäßiger Massenüberwachung aus den USA, China, Indien und bald wohl auch UK mit Servern außerhalb des EWR
  • Hoch:  Anbieter und Server in Drittstaat ohne Angemessenheitsbeschluss mit Massenüberwachung ohne Rechtsbehelf
  • Hoch:  US-Anbieter mit Massenüberwachung mit Servern im EWR
  • Mittel:  Anbieter aus Drittstaat mit Angemessenheitsbeschluss und Massenüberwachung ohne Rechtsbehelf
  • Gering:  US-Anbieter ohne Massenüberwachung mit Servern im EWR und/oder speziellen technisch-organisatorischen Maßnahmen
  • Gering:  Ausschließliche Zuständigkeit irischer Behörden
  • Sicher:  EWR-Anbieter, der nicht Teil eines Drittstaaten-Konzerns ist, mit allen Servern im EWR

Zusätzliche Risikofaktoren:  Besonders folgenreich könnte es sein bei:

  • Daten von Kindern
  • Besonders sensiblen Daten wie z. B. über ethnische Zugehörigkeit, Gesundheit, Religion oder Sexualität oder sonst besonderer Grundrechtsrelevanz
  • Veraltete Verschlüsselung
  • Hoher Anzahl oder großem Umfang der Datensätze
  • Hoher Umsatz im Konzern

Weiterlesen:

Eine ausführliche Lektüre zu Schrems II bietet CR 8/2020 mit:

 

Dennis G. Jansen, LL.M. (Berkeley) ist Rechtsanwalt (J-Law.de), General Counsel (CoachHub.io), Co-Founder (internetbeweis.de), Mitglied des Liquid Legal Institute, der Berkeley Global Society und Instituts für Rechtsfragen der freien und Open Source Software (ifrOSS.org). Seine Interessensschwerpunkte liegen in den Bereichen Datenschutz, IT-Recht, gewerblicher Rechtsschutz, Lizenzrecht und Software. Seine juristische Bildung führte ihn nach Freiburg, Berlin, Sydney, London und Berkeley.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.