22.07.2020 (kfr)
4.1 von 5, (7 Bewertungen)

EuGH kippt Privacy-Shield: EU/US-Datenaustausch im Rechtsvakuum

  • Inhalt dieses Artikels
  • EuGH kippt Privacy-Shield: EU/US-Datenaustausch im Rechtsvakuum
  • Bitkom zum EuGH-Urteil über den internationalen Datenaustausch
  • Owncloud: »Privacy-Shield-Abkommen war das Papier nicht wert…«
  • HRES: Verantwortliche müssen nun handeln
  • Digital Hub Cologne: »massive Einschränkungen für unsere Wirtschaft«
  • Consultix: Schluss mit Pseudo-Schutz
  • Uniscon: »Gesucht, eine tragfähige Neuregelung«

EuGH kippt Privacy-Shield: EU/US-Datenaustausch rechtlich ungeregeltDer Europäische Gerichtshof (EuGH) erklärt das Privacy-Shield und damit die Hauptgrundlage für Datentransfers zwischen der EU und den USA für unwirksam (EuGH, 16.7.2020 – C-311/18 »Schrems II«). Begründung: Die Daten von EU-Bürgern seien nicht ausreichend geschützt, vor allem nicht vor dem Zugriff durch US-Behörden. Das Urteil geht auf eine Klage des Datenschutzaktivist Max Schrems aus Österreich zurück.

Gleichzeit erklärt das Urteil den Datenverkehr zwischen den USA und Europa nahezu komplett für unwirksam. »Praktisch betrachtet dürfen damit die meisten US-Dienstleister nicht eingesetzt werden«, schreibt Rechtsanwalt Dr. Thomas Schwenke, in seinem Blog auf drschwenke.de. »Auch Anbieter wie Google oder Facebook, stehen nun vor einem großen Problem, wenn sie Daten der EU-Bürger in den USA verarbeiten wollen.«

Im Grunde ist dies zunächst eine gute Meldung, denn mehr Schutz für unsere Daten, kann nur gut sein. Weniger gut ist nun das herrschende Rechtsvakuum. Die USA müsste jetzt nachbessern, was laut Experten ein schwieriges Unterfangen sein dürfte. Die Trump-Administration ist nicht für seine international, kooperative Haltung bekannt. Nun ist zu hoffen, dass die wirtschaftlichen Zwänge die Beteiligten zu einer praxisnahen Lösung zwingen.

Hier sind sich die Experten aber durchaus uneinig. Die US-Administration gilt in Sachen Datenschutz als wenig gesprächsbereit. Die US-Behörden werden sich den Zugriff auf keinen Fall einschränken lassen. Bestenfalls verschafft uns ein Privacy-Shield-Nachfolger etwas Zeit, bis das EuGH diesen wieder für unwirksam erklärt.

Denn, es wird nicht erwartet, dass sich an dem eigentlichen Problem viel ändert: Das Privacy-Shield war genaugenommen kein Abkommen. Es wurde kein Vertrag geschlossen, sondern nur eine Art Dokumentation aufgesetzt. US-Firmen führen quasi eine Art Selbstzertifikat durch. »Das heißt, letztendlich versprechen die Amerikaner nur, dass sie sich an die Vorgaben halten«, erklärt Dr. Schwenke im Jura Podcast mit Marcus Richter. »Für EU-Bürger gibt es aber keine Möglichkeit der Kontrolle.«

Kritiker bemängeln, dass der Datenschutz doch nicht so hoch gesetzt werden können, dass Datenströme zum Erliegen kommen. Sprich wirtschaftliche Aspekte sollten vor irgendwelchen menschlichen Bedürfnissen nicht zurückstehen.

Hierzu, ebenfalls im Jurapodcast, Dr. Malte Engeler, Richter am Verwaltungsgericht Schleswig und zuvor stellvertretender Leiter des aufsichtsbehördlichen Bereichs am Unabhängigen Landeszentrum für Datenschutz (ULD) in Schleswig Holstein. : »Wir können keine Daten in Ländern verarbeiten lassen, in denen der Grundrechtsstandard derart verletzt wird. Wir haben die Wahl zwischen wirtschaftlicher Bedeutung und unverhandelbarer Grundrechtsstandard.« Dr. Engeler sieht nur zwei Möglichkeiten, die USA heben ihren Grundrechtsstandard oder die Europäer senken ihren Grundrechtsstandard. Letzteres würde aber bedeuten, wir dulden einen Überwachungsstaat.

Erste Einschätzung zum Privacy-Shield-Aus

speicherguide.de-Chefredakteur Karl Fröhlich gibt in seiner Eigenschaft als Datenschutz-Yogi eine erste Einschätzung:

Was ist zu tun:

  1. Alle US-Dienstleister ermitteln, mit denen man auf Basis einer Privacy-Shield-Zertifizierung zusammenarbeitet und ob die sogenannte EU-Standardvertragsklauseln vertraglich vereinbart wurde
  2. Wenn das Privacy-Shield die alleinige Basis ist, prüfen, ob man auf den Dienstleister verzichten und das Vertragsverhältnis gekündigt werden kann.
  3. Falls auf den Dienstleister nicht verzichten werden kann, nachfragen, ob kurzfristig der Abschluss der EU-Standardvertragsklauseln möglich ist.
  4. Ist der Dienstleister nicht bereit, eine EU-Standardvertragsklauseln abzuschließen, den Dienstleister nach Möglichkeit nicht mehr einsetzen.
  5. In bestimmten Fällen bleibt nur die Möglichkeit, auf die in Art. 49 DSGVO enthaltene Ausnahmen zurückzugreifen. Die Aufsichtsbehörden wenden diese Norm jedoch sehr restriktiv an und ist bestenfalls als Übergang zu sehen.

Zu beachten ist auch, dass eine Einwilligung der Betroffenen ebenfalls nicht immer möglich sein wird. Vor allem im internen Beschäftigungsverhältnis können meist nicht von einer Freiwilligkeit gesprochen werden.

Wie ist Ihre Meinung zum Thema? Halten Sie die Entscheidung des EuGH für richtig?

Bitkom zum EuGH-Urteil über den internationalen Datenaustausch

Susanne Dehmel, BitkomSusanne Dehmel, Bitkom Der Digitalverband Bitkom reagiert umgehend, nachdem das Privacy-Shield für ungültig erklärt wurde. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, befürchtet Wettbewerbsnachteile:

»Nach dem gescheiterten Safe-Harbor-Abkommen fällt jetzt zum zweiten Mal die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA. Auch die bis dato gültige Praxis der Standardvertragsklauseln gerät mit dieser Entscheidung ins Wanken. Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit. Wer bislang allein auf Basis des Privacy-Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen – andernfalls droht ein Daten-Chaos. Internationale Datenströme sind das Fundament einer globalisierten Wirtschaft. Für global tätige Unternehmen ist es entscheidend, dass sie ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln können. Die EU ist jetzt aufgerufen, schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen. Daten ausschließlich in Europa zu verarbeiten, ist einerseits technisch kaum umsetzbar und würde andererseits einen massiven Wettbewerbsnachteil für europäische Unternehmen bedeuten.«

Wie ist Ihre Meinung zum Thema? Halten Sie die Entscheidung des EuGH für richtig?

Owncloud: »Privacy-Shield-Abkommen war das Papier nicht wert…«

Tobias Gerlinger, OwncloudTobias Gerlinger, OwncloudDer deutsche Cloud-Anbieter ownCloud aus Nürnberg begrüßt natürlich die Entscheidung. Owncloud CEO und Managing Director Tobias Gerlinger,wertet das Urteil als Sieg für den Datenschutz und großen Schritt hin zur digitalen Souveränität Europas:

»Mit dem Urteil rücken europäische Alternativen wie das Cloud-Projekt Gaia-X und auf Open-Source-basierende Content-Collaboration-, Enterprise-Filesync- und Fileshare-Lösungen weiter in den Vordergrund.

Das EuGH-Urteil beinhaltet eine klare Anweisung an alle Unternehmen, Behörden und Organisationen: Der sogenannte EU-US Privacy-Shield darf ab sofort nicht mehr angewendet werden, um den Transfer persönlicher Daten in die USA zu begründen. Die Standard-Vertragsklauseln der EU können als Grundlage genutzt werden, dabei muss aber jeweils überprüft werden, ob das hohe Datenschutzniveau der EU eingehalten wird. Diese Prüfung obliegt dem jeweiligen Unternehmen, das die Datenhoheit ausübt. In der Praxis wird diese Prüfung aber entweder nicht möglich sein oder aber sie wird spätestens an der Gesetzeslage in den USA scheitern. Solange ein Zugriff über den US-Cloud-Act nicht ausgeschlossen werden kann, betrifft das Urteil auch alle Cloud-Dienste von US-amerikanischen Muttergesellschaften – unabhängig davon, ob sich das Rechenzentrum in Deutschland oder einem anderen Land befindet.

Das EuGH-Urteil stellt ein großes Problem für die amerikanischen Cloud-Speicher-Dienste wie Microsoft OneDrive, Google Drive oder Dropbox dar. Es bedeutet im Endeffekt, dass die Speicherung personenbezogener Daten von EU-Bürgern in diesen Clouds gegen EU-Recht, sprich die DSGVO, verstößt und somit empfindliche Strafen drohen. Damit wird die Nutzbarkeit dieser Dienste für europäische Unternehmen und Behörden vom heutigen Tag an stark eingeschränkt.

Nun ist es auch amtlich, dass die Zertifizierungen der großen amerikanischen Cloud-Anbieter Microsoft, Google, Amazon und Co. nach dem EU-US-Privacy-Shield-Abkommen nicht einmal das Papier wert sind, auf dem sie stehen. Der Transfer personenbezogener Daten von EU-Bürgern durch diese Cloud-Dienste in die USA verstößt gegen EU-Recht. Da ein solcher Transfer wegen des US-Cloud-Act auch bei Speicherung der Daten in der EU nicht ausgeschlossen werden kann, wird die Nutzbarkeit amerikanischer Cloud-Dienste für europäische Unternehmen und Behörden de facto stark eingeschränkt.«

Wie ist Ihre Meinung zum Thema? Halten Sie die Entscheidung des EuGH für richtig?

HRES: Verantwortliche müssen nun handeln

Für Andreas Haße, Geschäftsführer bei HRES Develoment, ist das Urteil ein Paukenschlag: »Wir müssen zugeben, dass uns die sehr weitreichende Entscheidung des EuGHs überrascht! Die nahezu ‚feststeckende‘ und seit Jahren dringend erwartete ePrivacy-Verordnung (ePVO) hätte unserer Meinung nach schon vielen Verbrauchern einen wichtigen Dienst erweisen können. Aus für uns schwer nachvollziehbaren Gründen will diese Gesetzgebung aber einfach nicht vom Europäischen Rat »durchgewunken« werden. Umso mehr wirkt dieses Urteil wie ein Paukenschlag auf uns, da hierdurch umfassende Datenverarbeitungen diverser US-Firmen betroffen sind, wie Cookies und Onlinedienste der Google LLC, Cloud-Anbindungen von Apple, Sprachdienste der Amazon.com Inc. und fast alle bei uns betriebenen Mobilgeräte und Smart-TVs. Ob dieses Urteil konkrete Nutzungseinschränkungen bedeutet, können derzeit nur Fachanwälte klären.

Insgesamt sind sicherlich aufwendige Prozessänderungen die Folge. In erster Linie wird der Ball aber aus der EU nach Amerika geworfen und die werden nicht erfreut über die Entwicklung sein. Die amerikanischen Firmen müssen zudem eigene und neue Wege suchen, wie sie den EU-Markt datenschutzkonform bearbeiten können.«

Christian Schmidt und Dr. Arne Schmidt, von der Kanzlei Schmidt & SchmidtChristian Schmidt und Dr. Arne Schmidt, von der Kanzlei Schmidt & SchmidtChristian Schmidt, Fachanwalt für Internetrecht und Datenschutz und Partner der Kanzlei Schmidt & Schmidt, ergänzt:

»Ein Abkommen mit Amerika, dass das Datenschutzniveau der EU widerspiegelt, wird so lange nicht zu erwarten sein, wie nicht die amerikanischen Geheimdienstgesetze EU-datenschutzkonform angepasst werden. Dies dürfte daher, optimistisch geschätzt, nie zu erwarten sein.

Panikartige Anpassungen empfehlen wir dennoch nicht. Es sollten lieber existentielle Fragen beantwortet werden, nämlich inwieweit umfassende Datenverarbeitungen diverser freier Dienste aus Amerika tatsächlich und notwendigerweise in Anspruch genommen werden müssen. Ersatzvereinbarungen sind derzeit in Verhandlung, aber der EuGH hat zumindest eine kleine Hintertür offengehalten.

Die Anwendung von individuellen datenschutzrechtlichen Vereinbarungen mit Unternehmen, die ausreichende Garantien regeln und die Wahrung der Rechte der Betroffenen sichern oder auch die Übernahme der Standarddatenschutzklauseln der EU können zumindest theoretisch »den Schein wahren«. Doch hier hat der EuGH die Behörden aufgefordert, die Einhaltung dieser Klauseln zu überprüfen und notfalls dann den Datentransfer zu verbieten.

Wenn aber bereits das Abkommen als ungültig angesehen wird, würde auch die Überprüfung der Einhaltung vertraglicher Klauseln am Ende zum Verbot führen müssen. Privatanwender dürften damit rechnen, dass neue AGBs auf sie zukommen (eBay, Amazon…), die eine derartige Verarbeitung dann mit Zustimmung erlauben können. Firmen sollten individuelle Verträge mit den amerikanischen Partnern schließen, doch dürften sie damit rechnen, dass, bei einer behördlichen Überprüfung, der Datentransfer verboten werden kann.«

Wie ist Ihre Meinung zum Thema? Halten Sie die Entscheidung des EuGH für richtig?

Digital Hub Cologne: »massive Einschränkungen für unsere Wirtschaft«

Für Thomas Bungard, Geschäftsführer des Digital Hub Cologne, bringt das Urteil, speziell für den Mittelstand, erhebliche, wirtschaftliche Beeinträchtigungen mit sich: »Nach dem Scheitern des einstigen Safe-Harbor-Abkommens fehlt mit dem Ende des Privacy-Shields erneut die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA. Sowohl innovative Startups als auch der gesamte deutsche Mittelstand, insbesondere aus der Wirtschaftsregion Köln und dem gesamten Rheinland, stehen vor unverhältnismäßigen Problemen. Die Mehrheit ihrer digitalen Erfolgsgeschichten und im Kern das operative Geschäft fußt im Regelfall bei der Datenverarbeitung auf der technologischen Infrastruktur von US-Unternehmen. Die jetzt entstehenden Aufwände für datenschutzkonforme Prüfungen bedeuten massive Einschränkungen für unsere Wirtschaft, die bereits von der Coronakrise große Einbußen hinnehmen musste. Die EU-Kommission ist jetzt gefordert, unmittelbar praxisbezogene und langfristige Lösungen zu definieren, damit der Datenverkehr in die USA und zu Drittstaaten zur Sicherung der bestehenden wie auch zukünftigen Geschäftsmodelle möglich ist. Startups und insbesondere der Mittelstand brauchen keine Fußfesseln, sondern tragfähige Lösungen und Rechtssicherheit."

Mit dem EuGH-Urteil ist die Datenübertragung personenbezogener Daten von der EU in die USA unzulässig. Zwar werden die EU-Standardvertragsklauseln als rechtens erachtet, aber jede einzelne Beziehung zwischen Unternehmen aus der EU und den USA muss in den nächsten Wochen und Monaten auf den Prüfstand gestellt werden. Die Wirtschaftsregion Köln mit rund 2,3 Millionen Einwohnern und 142.000 Unternehmen erzeugte im Jahr 2019 ein Bruttoinlandsprodukt in Höhe von 104 Milliarden Euro. Der Digital Hub Cologne unterstützt als neutraler Partner innovative Startups und etablierte Unternehmen aus dem Mittelstand an dem national und international anerkannten Wirtschaftsstandort.«

Wie ist Ihre Meinung zum Thema? Halten Sie die Entscheidung des EuGH für richtig?

Consultix: Schluss mit Pseudo-Schutz

Andres Dickehut, ConsultixAndres Dickehut, ConsultixFür Andres Dickehut, Geschäftsführer der Consultix, war das Urteil überfällig: »Mit dem Urteil zum Aus für das nicht praktikable transatlantische Datenschutzschild setzt der Europäische Gerichtshof ein klares Zeichen gegen Massenüberwachung und Daten-Schlendrian. Datenschutzexperten sehen sich bestätigt, doch in der Wirtschaft treiben Ratlosigkeit und Panik an die Oberfläche. Wenn die Standardverträge mit den internationalen Cloud- und Service-Anbietern wie Microsoft, Amazon, Google und Zoom in puncto Sicherheit eine Farce darstellen, kann ich es als Unternehmer dann verantworten, personenbezogene Daten und Unternehmensdaten über den großen Teich zu schicken?

Spätestens seit die Vorgängervariante Safe-Harbour scheiterte ist allen datenschutzaffinen Branchenteilnehmern der IT-Wirtschaft klar, dass die marktbeherrschende Position US-amerikanischer Anbieter von Cloud-Dienstleistungen Magenschmerzen und Sicherheitslecks mit sich bringt. Amerikanische Clouds sind nicht sicher und die Übertragung persönlicher Daten von EU-Ländern in die USA in vielen Fällen illegal. Zwar sollte das Privacy-Shield den Schutz personenbezogener Daten von EU-Bürgern garantieren, aber der durch NSA, FBI und Co. getriebene Informationshunger führte jedes Sicherheitsversprechen ad absurdum. Amerikanische Unternehmen nebst ihrer EU-Tochterunternehmen sind in den USA schließlich verpflichtet, Daten herauszugeben.  Die Tatsache, dass dem Datenstaubsauger gestern der Stecker gezogen wurde, geht mit einem Berg an offenen Fragen und Aufgaben einher, denen sich Behörden und Unternehmen ab sofort stellen müssen. Auch wenn internationaler Datenverkehr nach wie vor möglich bleibt, müssen Kontrollinstanzen scharf gestellt und Schutzmaßnahmen verstärkt werden. Aber durch wen, bitte? Und über welche Entscheidungspfade führt der Weg zu Datenschutz und Datensicherheit, wie sie der EuGH verlangt?

Das Urteil hat gravierenden Folgen für datenverarbeitende Service-Anbieter wie Facebook, Apple, Salesforce und Adobe. Übertragen diese Dickschiffe ihre Daten weiter auf Basis des Privacy-Shields, winkt für alle Nutzer der Bußgeldkatalog nach DSGVO, auch für die Geschäftsführung. Da helfen auch keine EU-Standardverträge, denn ihnen wurde buchstäblich der Boden unter den Füßen weggezogen. Datenschutzbehörden und Branchenverbände sollten sich europaweit engmaschig austauschen und auf einheitliche Regelungen bei Datenverstößen einigen.

Nicht umsonst ist es unseren Bundesbehörden schon seit einiger Zeit untersagt, bestimmte Dienste von US-Anbietern zu nutzen. Sie setzen auf in Deutschland gehostete Alternativen wie Matrix Messenger anstatt WhatsApp. Doch das kann nur ein Anfang sein: Alle Unternehmen, die aktuell Datentransfer auf Basis des Privacy-Shields mit Cloud-Anbietern betreiben, müssen ihre Marschrichtung ändern.

Es ist der Zeitpunkt gekommen, an dem Datenhosting und Technologie Made in Germany als Wettbewerbsvorteil erkannt und umgesetzt werden muss. Dafür stehen deutsche Anbieter parat, die Datenschutz beherrschen und Lösungen wie Cloud, Jitsi Meet, Marketing-Cloud-Plattformen und datenschutzkonforme Managed-Services aus und in Deutschland anbieten.

Geschäftsführer deutscher Unternehmen sollten umgehend die Verträge mit externen Dienstleistern prüfen. Sind AV-Verträge vorhanden? Weisen sie den Ort der Datenverarbeitung außerhalb der EU auf, ergibt eine interne Prüfung mit der Rechtsabteilung und dem Datenschutzbeauftragten Sinn. Hier gilt es zu klären, ob Verstöße gegen die DSGVO vorliegen. In jedem Fall Unternehmer ihre Kunden über die AGBs und bei der Erfassung personenbezogenen Daten darauf hinweisen, dass ihre Daten außerhalb der EU verarbeitet werden. Wie immer sollten Wirtschaftsbetriebe auch im Hinblick auf das Auskunftsrecht gemäß DSGVO maximale Transparenz an den Tag legen. Es geht nicht nur darum, was über eine Person gespeichert ist, sondern auch wo diese Informationen gespeichert werden.«

Wie ist Ihre Meinung zum Thema? Halten Sie die Entscheidung des EuGH für richtig?

Uniscon: »Gesucht, eine tragfähige Neuregelung«

Ulrich Ganz, UnisconUlrich Ganz, UnisconFür Ulrich Ganz, Director Software Engineering bei der Münchner TÜV SÜD-Tochter uniscon, hat sich die europäische Gemeinschaft »viel zu lange in das gemachte IT-Bett aus Übersee geschmiegt und dabei die Entwicklung und Pflege einer eigenen, konkurrenzfähigen IT-Industrie vernachlässigt. Diese bedingungslose Abhängigkeit wird uns nun zum Verhängnis. Jedes Unternehmen, das sensible Kundendaten bei US-Amerikanischen IT-Dienstleistern speichert oder verarbeitet, läuft nun Gefahr, die Kontrolle über seine Daten aufzugeben – und setzt sich somit nicht nur dem Risiko von existenzbedrohenden DSGVO-Strafzahlungen aus, sondern spielt über kurz oder lang auch mit dem Vertrauen seiner eigenen Kunden.

Im Angesicht der haarsträubenden Erkenntnisse, die wir im Zuge der Aufklärungsarbeit von Edward Snowden gewinnen durften, ist es schon verwunderlich, wie hartnäckig sich die verantwortlichen EU-Politiker bisher gegen eine konzertierte Reaktion gesträubt haben. Anstatt das Aus einer mittelmäßigen Notlösung zu lamentieren, wäre es angeraten, das rechtliche Vakuum schnellstmöglich durch eine tragfähige Neuregelung zu ersetzen, die nachweislichen Datenschutz für alle EU-Bürger garantiert – auch wenn ihre Daten über den Atlantik wandern.

Noch besser wäre es, wenn wir endlich die Kinderschuhe abstreifen könnten und uns mit aller Kraft um den Aufbau und die Förderung einer konkurrenzfähigen IT-Wirtschaft innerhalb der EU-Grenzen kümmern würden.

Dazu brauche es neben politischem Willen nicht zuletzt eine aufgeklärte Nutzerschaft, die sich nicht länger wie Kunden zweiter Klasse behandeln lassen will. An der Innovationskraft europäischer Unternehmen wird es nicht scheitern. Wir dürfen nur nicht zulassen, dass es an der – allzu menschlichen – Furcht vor Veränderung krankt.«

Wie ist Ihre Meinung zum Thema? Halten Sie die Entscheidung des EuGH für richtig?