EuGH kippt Privacy Shield – was nun?

Am 16. Juli 2020 ist datenschutzseitig vergleichsweise ein Erdbeben passiert für alle Datenverarbeiter mit Anbindungen in die Infrastrukturen US-amerikanischer Unternehmen. Dass gemäß EuGH-Urteil die bisherigen Vereinbarungen zwischen Europa und den USA nach dem Privacy Shield nicht mehr den Anforderungen an die EU-DSGVO genügen und deshalb für ungültig erklärt wurden, schafft über Nacht gewaltige Probleme für die Wirtschaft. Die Datenverarbeitung etwa mit Social Media Plattformen wie Facebook & Co., Cloud-Diensten, Online-Händlern oder auch den großen Betriebssystemherstellern mit deren Cloud-Diensten wird in vielen Fällen nicht mehr rechtskonform sein. Einfache Lösungen wird es aber nicht geben, das Problem sitzt zu tief.

Die europäischen Richter haben entschieden, dass der Datenschutz in den USA insbesondere aufgrund der dortigen zahlreichen Überwachungsgesetze nicht nach europäischen Regeln eingehalten werden kann. Konkret hatte Facebook eingeräumt, dass auch die durch Facebook Ireland verarbeiteten Daten in die USA übertragen werden können.

Die sogenannten EU-Standardvertragsklauseln als zu untersuchende einzige Alternative bieten leider auch keine Grundlage, da das momentan ungelöste Problem der Weitergabe europäischer Daten aufgrund der US-Überwachungsgesetze fortbesteht. Konkret die Klausel 5 – Pflichten des Datenimporteurs dürfte jede Vereinbarung auf dieser Grundlage ungültig machen. Dazu kommt, dass solche Vereinbarungen vergleichbar zu einer Auftragsdatenverarbeitung wirken und damit z.B. Kontrollrechte des Datenexporteurs beim Vertragsunternehmen inkl. der dort ggf. einbezogenen Subunternehmen beinhalten würden. Keiner der US-Tech-Giganten würde wohl darauf eingehen. Und weil die Standardvertragsklauseln nur um Bedingungen erweitert werden dürfen, welche nicht im Widerspruch zu den bestehenden Klauseln stehen, dürften diese für US-amerikanische Verträge untauglich sein – Ende Gelände.

Die Wirtschaft darf zu Recht eine Lösung „von oben“ erwarten, und das ist konkret die Richtung, aus der auch das Problem entstanden ist. Eine politische Lösung, die aber noch dauern wird, denn die Interessenlagen sind zu verschieden. Erlaubt sei auch die Feststellung, dass Europa es langfristig und geradezu sträflich versäumt hat, eigene technologische Global Player auf Augenhöhe mit den anderen globalen Internet-Dienstleistern zu fördern. Es bleibt die Hoffnung, dass europäische Unternehmen nicht von der Politik vor den Karren gespannt werden, um europäisches Datenschutzrecht etwa durch Aufkündigung von Geschäftsbeziehungen aufgrund des im Raum stehenden Damokles-Schwertes hoher Strafen doch noch irgendwie durchzusetzen.

Unternehmer, welche die nun offenbar nicht mehr rechtssicheren Datenverarbeitungen aktiv halten, riskieren Bußgelder. Vor dem Hintergrund, dass Entscheidungen zur Datenverarbeitung und zum Datenschutz immer auch die Komponente der Angemessenheit enthalten, darf für die rechtliche Einschätzung und Anpassung der internen Prozesse auch eine ausreichende Zeit veranschlagt werden. Wir empfehlen allen betroffenen Unternehmen dieses Vorgehen:

  • die neu entstandenen rechtlichen Bedingungen aufgrund der Ungültigkeit des Privacy Shield detailliert zu besprechen und zu dokumentieren sowie politische Initiativen aufmerksam weiter zu verfolgen, insbesondere Äußerungen der zuständigen Landesdatenschutzbeauftragten zum Umgang mit der Situation
  • eine Bestandsaufnahme für betroffene Kunden und Mitarbeiter zu erheben und die betriebliche Notwendigkeit solcher Datenverarbeitungen einzuschätzen

sowie im Falle der Beibehaltung des amerikanischen IT-Partners …

  • eine Datenschutzfolgeabschätzung für die Auswirkungen auf Kunden und Mitarbeiter anzustellen
  • Alternativen für eine rechtssichere Datenverarbeitung zu prüfen
  • die Einwilligungserklärungen von Kunden und Mitarbeitern zu prüfen und ggf. neu formuliert einzuholen

Wir stellen für betroffene Unternehmen in unserem Downloadbereich eine Vorlage für so eine interne Besprechung der Situation bereit.

Wer diese Überlegungen und Handlungen anstellt, hat in einer möglichen Auseinandersetzung mit einer Aufsichtsbehörde gute Karten, etwaige im Raum stehende Bußgelder abzuwenden und sein möglicherweise existentiell mit amerikanischen Geschäftspartnern durchzuführendes Geschäftsmodell auch weiter fortzuführen. Es sollte aber niemand davon abgehalten werden, sich nach rechtssicheren Alternativen umzuschauen.