Im Fall „Schrems II“ liegt seit dem 16. Juli 2020 ein Urteil des Europäischen Gerichtshofs (EuGH) vor und dieses hat weitreichende Auswirkungen auf viele im Internet aktive deutsche Unternehmen. Es erklärt den umstrittenen EU-US Privacy Shield Abkommen für ungültig. Wenn der Datenpakt nicht mehr gilt, fällt der Datenschutz der EU-Bürger in den USA und es entstehen neue Rechtsunsicherheiten. Deutsche Anbieter von Cloud-Lösungen rücken damit stärker als Alternative in den Fokus.
Der Datenschutzschild ist gefallen
Experten gingen seit langem davon aus, nun hat es der EuGH bestätigt: Der EU-US Privacy Shield ist ungültig, die Übermittlung personenbezogener Daten in die USA ist auf dieser Grundlage nicht mehr erlaubt. Diese wichtige europäische Errungenschaft im Datenschutzrecht aus dem Jahr 2015/2016 sollte sicherstellen, dass Datenübermittlungen nur erlaubt sind unter Berücksichtigung der strengen in der Europäischen Union geltenden Datenschutzstandards. Damit ist es jetzt vorbei.
Übermittlung personenbezogener Daten in die USA ist auf dieser Grundlage nicht mehr erlaubt
Die Entscheidung gegen den EU-US-Datenschutzschild fiel am 16. Juli 2020. Der Datenschutzschild bestand aus verschiedenen Zusicherungen der US-Regierung und einem Angemessenheitsbeschluss der EU-Kommission. Die USA räumten EU-Bürgern zum Beispiel Klagemöglichkeiten ein, sollten Verletzungen des Datenschutzes vorliegen.
Den Angemessenheitsbeschluss der EU-Kommission hat der EuGH mit dem Schrems II-Urteil nun für ungültig erklärt. Damit ist der Datenschutzschild, der die alte Safe-Harbor-Entscheidung ablöste, ebenfalls Geschichte.
Was sind die Gründe für diese Entscheidung?
Nach Ansicht der Richter kann der EU-US-Datenschutzschild nur zulässig sein, wenn ein wirksames Datenschutzniveau gewährleistet wäre. Das ist jedoch laut EuGH nicht der Fall. So erhalten US-Behörden zum Beispiel Prüfungsrechte, ohne dass Bürger der Europäischen Union dagegen vorgehen könnten.
Der EuGH hält die Daten der EU Bürger in den USA für nicht ausreichend geschützt
Ohne gerichtlichen Beschluss und Rechtsschutz erhalten US-Behörden Zugriff auf die Daten von EU-Bürgern, die elektronische Kommunikationsdienste nutzen. Möglich ist das zum Beispiel nach Section 702 des Foreign Intelligence Surveillance Acts (FISA). Auf diesen Act berief sich Schrems explizit in seiner Klage, um zu verdeutlich, dass der Datenschutz nicht gewährleistet sei. Den EuGH überzeugte diese Argumentation.
Solange die EU-Kommission Datenübertragungen in die USA bei Bestehen von FISA 702 sowie vergleichbarer Zugriffsrechte zulässt, seien die Grundrechte der EU-Bürger nicht geschützt. Neben dem Grundrecht auf Privatleben gehört dazu auch der Schutz der Daten. Diese Voraussetzungen des Pricacy Shields sind also nicht erfüllt, der EU-US-Datenschutzschild ist damit ungültig.
Unternehmen leiden erneut unter Rechtsvakuum
Aus diesem Urteil ergeben sich für Unternehmen neue Rechtsunsicherheiten. Das Mindeste, was Unternehmen zum Beispiel aus Deutschland tun können, ist es, bei ihren US-Anbietern ausdrücklich nach EU-Servern zu fragen. Trotzdem sollte jedem Nutzer klar sein, dass auch hier Rechtsunsicherheiten bestehen. Anbieter wie Amazon Web Services oder Microsoft mit dem Cloud-Dienst Azure bieten für die Datenspeicherung zwar EU-Server an, Datentransfers in die USA und deren Weitergabe schließt das aber dennoch nicht aus.
Selbst bei Nutzung von Servern innerhalb der EU, die bei US Anbietern gemietet werden, besteht massive Rechtsunsicherheit
Auf der sicheren Seite befinden sich Unternehmen nur dann, wenn sie sich gegen US-Anbieter entscheiden. Wer ein hohes Datenschutzniveau für seine Kunden gewährleisten möchte, muss überprüfen, ob der Dienstleister Daten in den USA verarbeitet. Die Betrachtung erstreckt sich auch auf Subunternehmen. Der Dienstleister darf keine Subunternehmer einsetzen, die ihrerseits Daten in den USA verarbeiten.
Erforderlich ist auch, bestehende Verträge sowie die häufig besonders umfangreichen Datenschutzerklärungen anzupassen. Unternehmen müssen alle Hinweise auf den EU-US-Datenschutzschild daraus entfernen. Das bedeutet zusätzliche Arbeit.
Die weitreichenden Folgen sind noch kaum abschätzbar
Datentransfers in die USA sind nicht mehr erlaubt, bleiben aber offenbar Teil der täglichen Praxis vieler Unternehmen in der Europäischen Union. Und dagegen wehrt sich der Urheber der Datenschutzklage Max Schrems. Seit Juli ist es wie oben ausgeführt nicht mehr erlaubt, Nutzerdaten in die USA weiterzugeben. Doch viele Websites nutzen Dienste wie Google Analytics und Facebook Connect und haben daran auch nach der Urteilsverkündung nichts geändert.
Bei US Unternehmen besteht immer die Gefahr, dass die US Geheimdienste auf Nutzerdaten zugreifen können
Der Datenschutzaktivist Max Schrems hat mit noyb eine eigene NGO gegründet und erhebt mittlerweile Beschwerde gegen insgesamt 101 Unternehmen in der Europäischen Union. Google Analytics ist für die Betreiber von Websites nützlich, um Zugriffszahlen und Klickbewegungen zu verfolgen. Schrems kritisiert, dass die Betreiber diese US-amerikanischen Dienste nicht deaktiviert hätten und eigentlich ersetzen müssten.
Google und Facebook gehören zu den größten Konzernen der USA. Gelangen die Nutzerdaten erst einmal in deren Besitz, könnten auch die US-Geheimdienste darauf zugreifen. Dienstleistungen wie Google Analytics sind für die Datenanalyse jedoch häufig schwer zu ersetzen.
Noyb argumentiert, dass Google und Facebook beide eindeutig von den US-amerikanischen Überwachungsgesetzen betroffen seien. Es sei damit nicht möglich, die persönlichen Daten europäischer Nutzer zu schützen.
Mit diesen Konsequenzen müssen Unternehmen rechnen
Welche konkreten Strafen drohen Unternehmen, die weiterhin Daten in den USA verarbeiten lassen? Tatsächlich besteht grundsätzlich die Möglichkeit der Abmahnung durch die Nutzer oder durch Konkurrenten. Schadensersatzansprüche könnten zum Beispiel nach Art. 82 DSGVO bestehen. Und diese können empfindliche Höhen erreichen, wie im Art. 83 DSGVO festgelegt. Bei Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland sind Geldbußen in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des Umsatzes möglich.
Unternehmen sollten es auf keinen Fall so weit kommen lassen und rechtzeitig überprüfen, ob sie mit ihrem Angebot allen Datenschutzanforderungen genügen
Unternehmen sollten es auf keinen Fall so weit kommen lassen und rechtzeitig überprüfen, ob sie mit ihrem Angebot allen Datenschutzanforderungen genügen. Unternehmen müssen alle ihre internationalen Datentransfers auf den Prüfstand stellen. Wer EU-Standardvertragsklauseln einsetzt, sollte die Einhaltung des Schutzniveaus bei Datenübertragungen in Drittländer besonders genau überprüfen.
Urteil stärkt den Cloud Hosting Standort Europa
Unternehmen, die Cloud-Dienste nutzen, profitieren von nun an stärker als zuvor von Providern aus Deutschland, deren Server in deutschen Rechenzentren stehen. Tatsächlich bedeutet das Schrems II-Urteil eine deutliche Aufwertung des europäischen Standorts. Das gilt nicht nur im Verhältnis zu den USA. Datenübertragungen in Drittländer wie zum Beispiel Indien oder China sowie Russland sind ebenfalls negativ betroffen, wenn Sie auf den EU-Standardvertragsklauseln basieren.
In allen diesen Fällen genießen Unternehmen eine höhere Rechtssicherheit, wenn sie sich für einen europäischen Dienstleister entscheiden
In allen diesen Fällen genießen Unternehmen eine höhere Rechtssicherheit, wenn sie sich für einen europäischen Dienstleister entscheiden. Es ist davon auszugehen, dass wir von nun an eine stärkere Investition in europäische Rechenzentren sehen. Innerhalb der EU stellt die DSGVO für alle Mitgliedstaaten ein einheitliches Niveau beim Datenschutz sicher. Einheimische Anbieter sollten davon profitieren und stellen nun im Vergleich zu den außereuropäischen Dienstleistern die bessere Alternative dar.
Unternehmen sollten jetzt handeln
Die veränderte Rechtslage macht eines deutlich: Abwarten lohnt sich für die Unternehmen nicht. Entscheidend ist jetzt, den Kunden sichere Lösungen anzubieten, bei denen klar ist, was mit den eigenen Daten geschieht. Ein effektiver Schutz der Firmendaten ist eigentlich nur noch mit Cloud-Angeboten deutscher Anbieter sichergestellt. Es reicht nicht mehr aus, dass der Server für das Cloud Hosting in Europa steht, es sollte sich in jedem Fall auch um einen europäischen Provider handeln.
Viele Unternehmen sind von dem Urteil aus dem Juli 2020 betroffen. Denn in der EU sind es ungefähr 5.000 Unternehmen, die sich bei ihren Datentransfers auf den EU-US-Datenschutzschild berufen. Das ist jetzt nicht mehr möglich. Tatsächlich war der Datenschutzschild der meistgenutzte Mechanismus für die Datenübertragung in die USA und für die dortige Speicherung.
Viel Zeit haben Unternehmen in Deutschland und der EU nicht. Denn das EuGH-Urteil sieht keine Übergangsfristen vor. Der Datenschutzschild ist mit sofortiger Wirkung ungültig.
Viel Zeit haben Unternehmen in Deutschland und der EU nicht. Denn das EuGH-Urteil sieht keine Übergangsfristen vor. Der Datenschutzschild ist mit sofortiger Wirkung ungültig. Umso wichtiger ist es, jetzt auf europäische Cloud-Dienste zu setzen und einen Transfer der Nutzerdaten in Drittländer zu verhindern.
Der Handlungsbedarf ergibt sich auch daraus, dass noch nicht absehbar ist, was nach dem Privacy Shield folgt. Dieser tauchte wenige Monate nach dem Safe Harbor-Urteil aus dem Jahr 2015 auf. Es ist dieses Mal nicht sicher, dass wir wieder so schnell eine Nachfolgeregelung erhalten. Unternehmen sollten daher ihre Strategie überdenken und sich genau überlegen, wo sie ihre Daten weiterverarbeiten und speichern lassen möchten.
