Die Datenübermittlung in die USA stößt bei Datenschützern schon lange auf Kritik. Zu umfangreich scheinen die Zugriffsmöglichkeiten von US-Behörden auf die Daten europäischer Nutzer. Dabei reicht der lange Arm der Behörden bis nach Europa, denn auch Töchter US-amerikanischer Firmen müssen hier gespeicherte Daten rausrücken. Im Sommer hob der Europäische Gerichtshof nun den "Privacy Shield" und damit die wesentliche Rechtsgrundlage für den Datenfluss nach Übersee auf. In diesem Beitrag beleuchten wir die Konsequenzen für Firmen.
Der Datenschutz beschäftigt Juristen in Deutschland seit spätestens Anfang der 1980er-Jahre und seinen Durchbruch hatte der Datenschutz mit dem berühmten Volkszählungsurteil des Bundesverfassungsgerichts 1983. Die Europäische Union erließ im Jahr 1995 dann eine Datenschutzrichtlinie, die in Deutschland durch das Bundesdatenschutzgesetz (BDSG, heute als BDSG alter Fassung bezeichnet) umgesetzt wurde. Eines der Prinzipien des BDSG war, dass der Datentransfer in andere EULänder grundsätzlich erlaubt war bei Beachtung der übrigen Datenschutzbestimmungen, während Datentransfer in Nicht-EU-Länder – sogenannte Drittländer – grundsätzlich verboten war.
Der Datentransfer in Drittländer war nur ausnahmsweise erlaubt, wenn die Europäische Kommission dem jeweiligen Drittland ein "angemessenes Schutzniveau" attestierte. Ein solcher Beschluss der Kommission heißt "Angemessenheitsbeschluss" und macht aus dem Drittland ein sogenanntes "sicheres Drittland". Die USA gelten seit Juli 2007 als ein solches. Dieser Angemessenheitsbeschluss heißt "Safe Harbor" oder auch "Safe Harbor Abkommen". Rechtstechnisch handelt es sich jedoch nicht um ein Abkommen. Das Wort kommt daher, dass der Angemessenheitsbeschluss mit der Regierung der USA abgestimmt war und Zusicherungen der USA erfolgten, um den Angemessenheitsbeschluss herbeizuführen.
Aus für Safe Harbor und Privacy Shield
Die Enthüllungen von Edward Snowden führten dazu, dass der Europäische Gerichtshof (EuGH) den Safe-Harbor-Beschluss mit Urteil aus dem Jahr 2015 aufhob. Erstritten hatte das Urteil der Österreicher Max Schrems gegen die Datenschutzbehörde in Irland in Bezug auf Datentransfer von Facebook in die USA. Das Safe-Harbor-Urteil führte dazu, dass die europäische Wirtschaft von einem Tag auf den anderen keine Daten mehr in die USA transferieren durfte. Die EUKommission und die US-Regierung reagierten schnell und brachten das sogenannte Privacy Shield im Jahr 2016 auf den Weg. Sie vermieden, das neue Abkommen "Safe-Harbor-II" zu nennen, denn es sollte wohl nicht allzu deutlich werden, dass grundsätzlich alles beim Alten blieb.
Das Privacy Shield besteht aus einer Reihe von Zusicherungen der USA, insbesondere von Rechtsschutzmöglichkeiten für EU-Bürger. Auf europäischer Seite wurde in diesem Zuge ein neuer Angemessenheitsbeschluss erlassen. Die USA sind für das Privacy Shield stark auf Europa zugegangen. Gleichwohl äußerten Datenschützer weiterhin Kritik. Erneut musste sich der EuGH mit dem Angemessenheitsbeschluss der Europäischen Kommission zu den USA befassen; erneut war Max Schrems Kläger; erneut ging es um einen Datentransfer von Facebook Irland zur Konzernmutter in die USA. Und erneut hob der EuGH den Angemessenheitsbeschluss auf. Die nachrichtendienstlichen Befugnisse hatten US-Behörden nämlich gestattet, Zugriff auf in den USA gespeicherte Daten zu nehmen, ohne dass die Betroffenen Rechtsschutzmöglichkeiten erhalten. Erneut erweist sich der EuGH damit als ausgesprochen unpolitisch und konsequent in der Durchsetzung europäischen Rechts.
Die USA genießen damit nicht mehr den Status eines sicheren Drittlandes. In der Konsequenz des EuGH-Urteils stellt jede Datenübermittlung in die USA, die sich auf das Privacy Shield stützt, einen Datenschutzverstoß dar. Dies betrifft grundsätzlich alle Arten der Datenübermittlung, also auch das Reporting von Mitarbeiterdaten an Muttergesellschaften, die Weitergabe von Daten an Tochtergesellschaften, anderweitiger Datenaustausch im Konzern sowie im Rahmen einer Handelsbeziehung.
Ferner betrifft dies auch alle Formen der Auftragsverarbeitung in den USA, also die Datenspeicherung bei Dienstleistern dort, die Inanspruchnahme von Provider-Leistungen wie E-Mail, Hosting, Videotelefonie et cetera. Gleiches gilt für die Nutzung von Software-as-a- Service, soweit durch Dienstleister in den USA erbracht.
Konsequenzen für Datenverarbeitung
Für die Datenverarbeitung innerhalb Europas hat das EuGH-Urteil zunächst keine Auswirkungen, denn in diesem Fall liegt gerade keine Datenübermittlung in die USA vor. Vorausgesetzt, alle anderen Datenschutzbestimmungen werden eingehalten, ist die Datenübermittlung in EU-Mitgliedsstaaten und andere sichere Drittländer legal.
Dies gilt jedoch nur solange, wie garantiert keine Informationen in die USA übermittelt werden. Nimmt ein Unternehmen die Dienstleistung eines Auftragsverarbeiters in Europa in Anspruch, muss es sicherstellen, dass dieser keine Auftragsverarbeiter in den USA einsetzt.
Nach US-amerikanischem Recht unterliegen auch europäische Konzerntöchter von US-Gesellschaften dem vollen Zugriff der US-Behörden. So verlor Microsoft in einem Gerichtsverfahren gegen die USA und das Unternehmen musste aufgrund des US-CLOUD-Acts Daten herausgeben, die auf Servern der europäischen Tochtergesellschaft in Irland lagen.
Das bedeutet, dass die Ermittlungsbefugnisse der US-Behörden, die dazu führten, dass das Privacy Shield aufgehoben wurde, auch gegenüber europäischen Unternehmen bestehen, sofern diese Tochtergesellschaften von US Gesellschaften sind. In letzter Konsequenz hat dies zur Folge, dass Unternehmen, deren Gesellschafter aus US-amerikanischen Unternehmen bestehen, nicht Auftragsverarbeiter im Rahmen der DSGVO sein können.
Eine legale Auftragsverarbeitung setzt voraus, dass der Auftragsverarbeiter sich verpflichtet, Daten in ein Drittland nur zu übermitteln aufgrund ausdrücklicher und dokumentierter Weisung des Verantwortlichen. Eine erzwungene Herausgabe der Daten an US-Behörden erfolgt jedoch gerade nicht auf Weisung des Verantwortlichen. Da eine solche Herausgabe auch eine Datenübermittlung in die USA ist, verstößt sie gegen die DSGVO. Eine europäische Tochtergesellschaft eines US-amerikanischen Unternehmens kann seine Pflichten aus der Vereinbarung über Auftragsverarbeitung von vornherein nicht erfüllen.
Standardvertragsklauseln keine Pauschallösung
Eine weitere legale Möglichkeit, Daten in ein nicht-sicheres Drittland zu übermitteln, sind Standardvertragsklauseln – auch Standarddatenschutzklauseln genannt. Es handelt sich dabei um ein Vertragswerk, das die Europäische Kommission veröffentlicht hat. Dienen sie als Vertragsvorlage zwischen Datenexporteur und Datenimporteur, darf der Datenimporteur auch in einem nicht-sicheren Drittland sitzen. Der EuGH hat in seiner Entscheidung die Standardvertragsklauseln ausdrücklich als rechtswirksam beurteilt. Nicht wenige Unternehmen nehmen dies zum Anlass, die Datenübermittlung in die Vereinigten Staaten nicht mehr auf das Privacy Shield zu stützen, sondern auf Standardvertragsklauseln.
Das ist jedoch eine falsche Interpretation des EuGH-Urteils. Voraussetzung für die legale Datenübermittlung auf Grundlage der Standardvertragsklauseln ist nicht nur der Abschluss eines Vertrags, der die Standardvertragsklauseln enthält. Damit die Datenübermittlung legal bleibt, muss dieser Vertrag auch eingehalten werden. Was banal und logisch klingt, ist in der Praxis der Datenübermittlung in die USA gerade nicht gegeben. Der Datenimporteur muss in den Standardvertragsklauseln garantieren, dass er keinen Gesetzen unterliegt, die ihn an der Befolgung von Anweisungen des Datenexporteurs hindern. Das kollidiert mit den gesetzlichen Ermittlungsbefugnissen der US-Behörden.
Und genau so hat es auch der EuGH entschieden: Die Standardvertragsklauseln sind wirksam. Der Datenexporteur hat jedoch in seiner Verantwortung sicherzustellen, dass im Drittland ein angemessenes Schutzniveau herrscht und dass die Garantien der Standardvertragsklauseln umgesetzt werden können.
Rechtssicheres Handeln kaum möglich
Nach gegenwärtiger Rechtslage ist nur auf der sicheren Seite, wer ab sofort
- keine Daten in die USA übermittelt, sei es im Konzernverbund oder in einer Kundenbeziehung,
- keine Auftragsverarbeiter in den USA beauftragt,
- keine Auftragsverarbeiter in Europa beauftragt, die ihrerseits Auftragsverarbeiter in den USA beauftragen und
- keine Auftragsverarbeiter in Europa beauftragt, die Tochtergesellschaften USamerikanischer Unternehmen sind.
Abweichend davon dürfen Daten in die USA übermittelt werden, wenn diese vollständig verschlüsselt oder vollständig anonymisiert sind. Dies muss jeweils so geschehen, dass ausschließlich der Verantwortliche die Entschlüsselung oder die Personalisierung vornehmen kann. Es gibt keine Schonfrist.
Die dargestellte sichere Lösung ist jedoch nicht wirklich praktikabel. Zu einigen Dienstleistungen von US-amerikanischen Auftragsverarbeitern gibt es entweder keine europäische Alternative oder die Qualität und der Preis weichen erheblich ab. Ferner sind durch die komplexe Verflechtung der globalisierten Wirtschaft auch die Datenströme verflochten. Ein schlichtes Abschalten solcher Datenströme ist nur mit schwerwiegenden wirtschaftlichen Konsequenzen möglich.
Auch Anonymisierung und Verschlüsselung stellen nur eingeschränkte Lösungsansätze dar. Eine Verschlüsselung ist technisch bei reiner Datenspeicherung umsetzbar. Diese ist jedoch auch ohne weiteres bei europäischen Anbietern möglich. In der Regel kommt es gerade auf die Datenverarbeitung an, weshalb eine Verschlüsselung keine Option ist. Auch die Datenübermittlung in anonymisierter Form ist dann nicht möglich, wenn es auf die Verarbeitung der personenbezogenen Daten ankommt.
Gleichwohl ist dringend zu empfehlen, in den Fällen, in denen es mit gerade noch vertretbarem Aufwand möglich ist, auf die rechtssichere Lösung auszuweichen. Es sollte nach folgender Maxime vorgegangen werden: "Lieber mit Schmerzen in Europa als mit Risiko in die USA". In den Fällen, in denen das nicht möglich ist, besteht dringender Handlungsbedarf. Diese Risikofälle sollten IT-Verantwortliche isolieren, der Geschäftsleitung unter Benennung des Risikos mitteilen und gemeinsam mit dem betrieblichen Datenschutzbeauftragten eine Lösung herbeiführen.
Die Aufsichtsbehörde aus Baden-Württemberg hat ein bemerkenswertes Paper veröffentlicht. Darin schlägt sie unter anderem Änderungen der Standardvertragsklauseln vor. Ferner empfiehlt sie dringend, in den Fällen, in denen eine Datenübermittlung in die USA unerlässlich ist, zumindest Art und Maß auf das unbedingt Nötige zu beschränken.
Weitere Konsequenzen
Das Urteil des EuGH lässt sich 1:1 auf alle anderen Drittländer übertragen, soweit es aufgrund von Standardvertragsklauseln zur Datenübermittlung kommt. Bereits jetzt sollten alle Unternehmen, die Daten in das Vereinigte Königreich übermitteln, sich mit den identischen Problemen befassen, die in der gleichen Form ab dem 1. Januar 2021 auftreten – sollte nicht doch noch ein seriöses Abkommen mit der EU zustande kommen.
Die europäische Kommission und die Regierung der USA dürften erneut Regelungen vereinbaren und einen Angemessenheitsbeschluss fassen. Diese Regelung wird nicht Safe-Harbor-II heißen und auch nicht Privacy-Shield-II, sondern einen neuen eigenständigen Namen bekommen, und Änderungen gegenüber der bisherigen Regelung enthalten. Dem Grunde nach wird es sich allerdings wieder um neuen Wein in alten Schläuchen handeln. Aufgrund dieser neuen Regelung kann die transatlantische Datenübermittlung wieder für voraussichtlich vier bis sechs Jahre stattfinden. Bis dann könnte der EuGH die neue Regelung erneut aufgehoben haben, womöglich wieder auf Betreiben von Max Schrems.
Fazit
Derzeit gibt es keinen gangbaren und rechtssicheren Weg, um Daten in die USA zu transferieren beziehungsweise zu verarbeiten. Auch die Nutzung von Dienstleistungen US-amerikanischer Tochterfirmen in Europa ist davon betroffen. Die Situation ist unbefriedigend und wird es bleiben, solange der Technologievorsprung der US-Konzerne gegenüber rein europäischen Wettbewerbern derart groß bleibt.
Kjell Vogelsang ist Fachanwalt für IT-Recht und seit 2003 Rechtsanwalt in der Kanzlei Vogelsang Rechtsanwälte.
Kjell Vogelsang/dr