Original-URL des Artikels: https://www.golem.de/news/aus-fuer-privacy-shield-keine-schonfrist-mehr-beim-datenschutz-2007-149798.html    Veröffentlicht: 22.07.2020 11:58    Kurz-URL: https://glm.io/149798

Aus für Privacy Shield

Keine Schonfrist mehr beim Datenschutz

Gibt es noch eine rechtlich sichere Basis für den Datenaustausch mit den USA? Eine schnelle Klärung der vielen Fragen ist nicht zu erwarten.

Alle Jahre wieder stürzt der Europäische Gerichtshof (EuGH) mit einem Datenschutzurteil die IT-Branche in die Krise. Bereits zum zweiten Mal nach 2015 haben die Luxemburger Richter dem Datentransfer in die USA eine legale Basis entzogen. Doch dieses Mal ist das Urteil noch härter ausgefallen: Denn nicht nur das Datenschutzabkommen Privacy Shield wurde für unzulässig erklärt. Auch die sogenannten Standardvertragsklauseln stehen auf der Kippe. Wie geht es nun weiter?

Das neuerliche Aus für das Datenschutzabkommen zwischen der EU und den USA kam wenig überraschend. Datenschützer hatten den Nachfolger des Safe-Harbor-Abkommens von Anfang an als "Mogelpackung" und "schlechten Witz" bezeichnet. Wie beim Wechsel von Raider zu Twix blieb das Produkt im Wesentlichen gleich. Denn auch der Privacy Shield hat das Grundproblem des Datentransfers in die USA nicht behoben.

Kein ausreichendes Datenschutzniveau in den USA

Noch immer haben die US-Geheimdienste einen uneingeschränkten Zugriff auf die personenbezogenen Daten von EU-Bürgern. Der EuGH vermisst in den US-Überwachungsprogrammen zum Zweck der Auslandsaufklärung entsprechende Einschränkungen. Genauso wenig sei erkennbar, "dass für potenziell von diesen Programmen erfasste Nicht-US-Personen Garantien existieren", heißt es in dem Urteil. Daher könne nicht angenommen werden, dass die "Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind".

Auch den im Privacy Shield vereinbarten Rechtsbehelf für EU-Bürger hält der EuGH für unzureichend. Denn das Abkommen enthalte "keinen Hinweis darauf, dass die Ombudsperson ermächtigt wäre, gegenüber den Nachrichtendiensten verbindliche Entscheidungen zu treffen". Zudem würden in diesem Beschluss "keine gesetzlichen Garantien angeführt, die mit dieser Verpflichtung einhergingen und auf die sich die betroffenen Personen berufen könnten". Kein Zufall, dass die europäischen Datenschutzbehörden in ihrer ersten Evaluierung des Abkommens genau diese Punkte bereits moniert und Nachbesserungen gefordert hatten.

Diese Nachbesserungen gab es jedoch nie.

Müssen Daten sofort verlagert werden?

Zugleich hat der EuGH jedoch entschieden, dass die Standardvertragsklauseln prinzipiell eine Alternative zu Abkommen wie Safe Harbor oder dem Privacy Shield darstellen können. Ein entsprechender Beschluss der EU-Kommission sei rechtlich nicht zu beanstanden. Das bedeutet jedoch keinen Freibrief für aktuell gültige Standardvertragsklauseln. Denn im Grunde müssen diese ebenfalls ein angemessenes Schutzniveau europäischer Daten in einem Drittland garantieren. Und genau das hat der EuGH im Falle der USA gerade verneint.

Ist es daher nicht konsequent, wie im Falle der Berliner Datenschutzbeauftragten Maja Smoltczyk, von Datenverarbeitern zu verlangen, "in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern"? Smoltczyk fordert, "sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten". Unternehmen und Institutionen, die insbesondere bei der Nutzung von Cloud-Diensten personenbezogene Daten in die USA übermittelten, "sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln".

Smoltczyk sieht sogar finanzielle Ansprüche der Betroffenen.

Schmerzensgeld für Nutzer?

Dabei verweist die Berliner Datenschutzbeauftragte auf Randnummer 143 des EuGH-Urteils, wonach bei Verstößen gegen die Standarddatenschutzklauseln den Betroffenen ein Anspruch auf Schadenersatz zusteht. "Dieser dürfte insbesondere den immateriellen Schaden ('Schmerzensgeld') umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen", sagt Smoltczyk laut Pressemitteilung (PDF). Die EU-Datenschutz-Grundverordnung (DSGVO) sieht zudem Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes vor.

Ihr Resümee: "Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen."

Ermessensspielraum der Datenschützer

Doch nicht jede Datenschutzbehörde in Deutschland geht so weit wie Berlin. Zwar ist auch der Hamburger Datenschutzbeauftragte Johannes Caspar der Ansicht, dass nun die Datenschutzbehörden am Zug sind. Sie seien verpflichtet, jeder Beschwerde in der Sache nachzugehen, ohne dass es eine Übergangsphase gebe. Auch ohne individuelle Beschwerde können die Aufsichtsbehörden tätig werden. "Dabei liegt es jedoch in ihrem Ermessen, zunächst auf Änderungen hinzuwirken, ohne Anordnungen oder Bußgelder zu erlassen, wenn Unternehmen nachvollziehbar darlegen, aus welchen Gründen sie noch einige Zeit benötigen, um die Gerichtsentscheidung umzusetzen", sagte Caspar auf Anfrage von Golem.de.

Problematisch sei, dass die Standardvertragsklauseln nach dem Aus des Privacy Shields nun selbst mit einer großen Rechtsunsicherheit behaftet seien. Das EuGH-Urteil lasse leider offen, unter welchen Bedingungen der Datenschutz gegenüber Zugriffen der US-Regierung hergestellt werden könne.

Keine einfache Antwort zu erwarten

Wäre es daher nicht sinnvoll, wenn wichtige Gremien wie die deutsche Datenschutzkonferenz (DSK) oder der Europäische Datenschutzausschuss (EDSA) sich darauf einigen könnten, wie das Urteil konkret umzusetzen ist?

Caspar muss diese Hoffnung leider enttäuschen: "Diese Frage wird in apodiktischer Kürze weder durch die DSK noch durch den EDSA zu entscheiden sein - mit negativen Konsequenzen für die so lange fehlende Rechtssicherheit." Neben den Extrempositionen, wonach Standardvertragsklauseln in gar keinem Fall mehr relevant sein können, bis hin zu der Auffassung, dass Standardvertragsklauseln weiterhin wie bisher eingesetzt werden können, gebe es aber auch viele vermittelnde Standpunkte. Daher bleibe ein "konsolidiertes Vorgehen der europäischen und deutschen Datenschutzaufsicht besonders wichtig".

Wie soll das anhand der divergierenden Positionen aussehen?

Schwerfälliges Vorgehen auf EU-Ebene

Vor allem auf europäischer Ebene dürfte es schwierig werden, eine gemeinsame Position zu finden. Denn die irische Datenschutzbehörde, die für Facebook oder Google zuständig ist, dürfte kein Interesse daran haben, von den US-Konzernen einen sofortigen Stopp des Datentransfers in ihre US-amerikanischen Rechenzentren zu verlangen. Immerhin führt die DSK laut Caspar bereits an diesem Mittwoch eine erste Diskussion im nationalen Kontext. Der EDSA werde am Donnerstag zusammenkommen. In beiden Gremien seien bereits Expertenteams eingeschaltet.

Doch auch hier dämpft Caspar die Erwartungen: "Insgesamt ist auf EU-Ebene mit dem Modell des kooperativen Rechtsvollzugs ein schwerfälliges internes Verfahren vorgeschaltet, das sich bereits in den letzten beiden Jahren der DSGVO als Hemmnis für einen effizienten Vollzug erwiesen hat", sagt der Hamburger Datenschutzbeauftragte. Die Klärung der anstehenden Fragen, etwa im Rahmen eines Musterverfahrens, würde daher einige Zeit in Anspruch nehmen.

5.000 Firmen nutzen Privacy Shield

Die einfachste Lösung des Problems bestünde wohl darin, wenn die US-Regierung den EU-Bürgern einen angemessenen Schutz ihrer Daten garantieren würde. Doch unter US-Präsident Donald Trump ist ein solches Entgegenkommen kaum zu erwarten. Er würde vermutlich eher mit Strafzöllen drohen, wenn Europa den großen IT-Konzernen das Leben zu schwer machen wollte. Derzeit belastet der Streit über die Digitalsteuer ohnehin schon die Beziehungen. Die EU-Kommission hat dennoch schnelle Verhandlungen mit den USA zu dem Thema angekündigt.

Für die 5.000 Firmen, die derzeit den Privacy Shield nutzen, wäre es am einfachsten, wenn sie umgehend auf dessen Nachfolger umsteigen könnten. Vorausgesetzt, es handelt sich dabei nicht wieder nur um einen Etikettenschwindel. Dass ein solches Abkommen noch vor den Präsidentschaftswahlen vom November 2020 vereinbart werden kann, erscheint eher unwahrscheinlich.

Ende-zu-Ende-Verschlüsselung als Lösung

Allerdings ist es nicht völlig unmöglich, Daten sicher in die USA zu transferieren oder sichere Möglichkeiten zur Datenspeicherung zu finden. Die Vorschläge des früheren Bundesdatenschutzbeauftragten Peter Schaar nach dem Aus des Safe-Harbor-Abkommens sind auch heute wieder gültig: "Unternehmen könnten andere Serverstrukturen aufbauen, sie könnten sich andere IT-Dienstleister suchen, sie könnten in bestimmten Diensten eine Ende-zu-Ende-Verschlüsselung einrichten, sodass kein Dritter - auch sie selbst nicht - auf den Klartext zugreifen können."

Für Unternehmen, deren Geschäftsmodell auf der Analyse von Daten für möglichst zielgerichtete Werbung beruht, dürfte vor allem letzteres kaum machbar sein. "Damit sind die datenbasierten Geschäftsmodelle von Facebook oder Google ein Stück weit infrage gestellt", hatte Schaar damals gesagt.

Cloud Act erlaubt Zugriff in Europa

Darüber hinaus hat sich die rechtliche Situation für die großen IT-Konzerne seit dem Jahr 2015 in einem wichtigen Punkt geändert. Durch den sogenannten Cloud Act vom März 2018 haben US-Sicherheitsbehörden weltweiten Zugriff auf Server, die US-Firmen gehören. Ein 2015 noch anhängiger Rechtsstreit zwischen Microsoft und der US-Regierung hat sich durch das Gesetz erledigt.

Das Europaparlament hatte sich anschließend in einer Resolution besorgt gezeigt, dass der Cloud Act "schwerwiegende Folgen für die EU haben könnte, da er einschneidenden Charakter trägt und sich Widersprüche zu den Datenschutzvorschriften der EU ergeben können". Die EU-Kommission und die Mitgliedstaaten wollen hingegen auf Basis des Gesetzes über einen einfacheren gegenseitigen Datenzugriff verhandeln.

Ausnahmen möglich

Doch selbst das strenge EuGH-Urteil bedeutet nicht, dass nun der Transfer sämtlicher personenbezogener Daten von EU-Bürgern in die USA unzulässig ist. "Ausnahmen bestehen vor allem in den gesetzlich vorgesehenen Sonderfällen, etwa bei einer Hotelbuchung in den USA", erklärte die Berliner Datenschutzbeauftragte Smoltczyk. Auf diese Möglichkeit nach Artikel 49 der DSGVO weist auch der Wiener Datenschutzaktivist Max Schrems hin, dessen Dauerstreit mit Facebook zu beiden EuGH-Urteilen geführt hat.

In einer ausführlichen Stellungnahme beschreibt er die Möglichkeiten von Datenverarbeitern, sich nach dem Urteil um eine rechtskonforme Übertragung zu kümmern. Zudem stellt er Mustertexte zur Verfügung, um entsprechende Anfragen an US-Partner oder EU-Partner mit US-Beziehungen stellen zu können.

Schrems empfiehlt rasches Vorgehen

Rasches Handeln könne ein relevanter Faktor sein, wenn eine Datenschutzbehörde Geldbußen für die Nichteinhaltung der EuGH-Entscheidung erwäge, schreibt Schrems und fügt hinzu: "Es ist wahrscheinlich, dass eine Datenschutzbehörde keine Geldbuße gegen einen Kontrolleur verhängt, wenn dieser nachweisen kann, dass alle Maßnahmen zur Umsetzung des EuGH-Urteils so schnell wie möglich ergriffen wurden." Eine "Schonfrist" gebe es nicht mehr.

Ob das Datenschutzabkommen zwischen der EU und den USA künftig Privacy Harbor oder Safe Shield heißt, ist derzeit irrelevant. Entscheidend für Firmen und Nutzer dürfte sein, dass sieben Jahre nach den Snowden-Enthüllungen endlich eine Vereinbarung getroffen wird, die nicht alle Jahre wieder vom EuGH zerpflückt wird. Das ist mit Japan nach zähen Verhandlungen ebenfalls gelungen. Wenn das mit den USA partout nicht möglich ist, könnte das negative Folgen haben, die kaum zu überschätzen sind.

Nachtrag vom 24. Juli 2020, 9:12 Uhr

Auf Nachfrage von Golem.de hat die Berliner Datenschutzbeauftragte bestätigt, dass das Urteil keine Übergangsfrist zum Wechsel vorsieht. Nach Ansicht Smoltczyks hat der EuGH "grundsätzlich klargemacht, dass die Übermittlung personenbezogener Daten in die USA weder mit dem Privacy Shield, noch mit Standardvertragsklauseln oder Binding Corporate Rules (BCR) möglich ist". Über Ausnahmen im Einzelfall wie zum Beispiel eine ausreichende Verschlüsselung "wird noch zu diskutieren sein". Die Behörde wolle im Rahmen ihrer Kapazitäten prüfen, ob personenbezogene Daten unrechtmäßig in die USA übermittelt würden. "Diese Prüfungen können - anlassbezogen - ab sofort erfolgen", hieß es weiter.  (fg)


Verwandte Artikel:
Datenschutz: Facebook gibt Daten entgegen den eigenen Regeln weiter   
(02.07.2020, https://glm.io/149430 )
Causa Facebook vs. Schrems: EuGH erklärt Privacy Shield für ungültig   
(16.07.2020, https://glm.io/149690 )
Causa Facebook vs. Schrems: EuGH-Generalanwalt zweifelt am Privacy Shield   
(19.12.2019, https://glm.io/145647 )
500 Euro Schadenersatz: Schrems enttäuscht von Urteil gegen Facebook   
(01.07.2020, https://glm.io/149407 )
Instagram und Whatsapp: BGH schränkt Datensammelwut von Facebook ein   
(23.06.2020, https://glm.io/149266 )

© 1997–2020 Golem.de, https://www.golem.de/