03.08.2020 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Die europäische Datenschutzgrundverordnung (DSGVO) erlaubt den Datentransfer in ein Nicht-EU-Land nur, wenn die Daten dort in einem vergleichbaren Niveau geschützt sind, wie in der EU. Dies sollte das Privacy Shield Abkommen sicherstellen.
Der EuGH hat die Behörde in dem vom Datenschutzaktivisten Max Schrems betriebenen Gerichtsverfahren ausdrücklich angewiesen, die Datenübermittlung von Facebook Ireland nach Facebook USA zu untersagen. Dem Gericht fehlte bei den nahezu unbeschränkten Eingriffsmöglichkeiten von NSA, FBI und Heimatschutz ein angemessener Rechtsschutz für die EU-Bürger. Hier gab es nur einen Ombudsmann mit wenig Macht gegen US-Gesetze wie den Foreign Intelligence Surveillance Act (FISA), der behördliche Massenüberwachungsmaßnahmen („PRISM“ und „UPSTREAM“) ermöglichte. Damit ereilte das Privacy Shield Abkommen das gleiche Schicksal, wie schon zuvor das Vorgängerabkommen „Safe Harbour“ in 2015.
Zu den Betroffenen gehören neben Facebook auch Google, Apple, Microsoft und Yahoo. Diese Firmen hatten versucht, die Sicherheit für EU-Daten über das Abkommen zu garantieren. Wer alles teilgenommen hatte, lässt sich der Liste entnehmen.
Die Richter des EuGH hatten die sog. Standard Vertragsklauseln (auch Standarddatenschutzklauseln SDK) im Urteil unbeanstandet gelassen. Daher keimt jetzt mangels Alternativen überall die Hoffnung, dass man sich jetzt einfach auf dieses Regelwerk stützen könnte. Auch die Standardvertragsklauseln enthalten theoretisch Regelungen, die Garantien dafür bieten sollen, dass die Daten durch den internationalen Empfänger sicher verarbeitet werden. Der EuGH verpflichtet aber in seinem Urteil den Nutzer solcher Klauseln genau zu prüfen, ob und wie diese denn vom Vertragspartner umgesetzt werden. Da die US-Behörden aber US-Firmen zum Datenzugang zwingen können, ist nicht mehr ersichtlich, wie man bei der Prüfung zu einem positiven Ergebnis kommen sollte. Hierzu gibt es auch nur diffuse Hinweise, dass Verantwortlich „zusätzliche Maßnahmen“ treffen müssten, um das gleiche Datenschutzniveau, wie in der EU zu gewährleisten.
Erste Stellungnahmen einzelner Datenschutzbehörden zeigen, dass man sich hier zur Durchsetzung eines Übermittlungsstopps wappnet. So ist von der Berliner Datenschutzbeauftragten zu hören:
„Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an.“ … „Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
Deren Kollege in Thüringen sieht ebenfalls keine Grundlage mehr für eine rechtskonforme Übertragung von personenbezogenen Daten in die USA:
„Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.“
Die Behörden haben tatsächlich keinen rechtlichen Spielraum, auch wenn das an den Realitäten der Unternehmenspraxis vollkommen vorbeigeht. Wer nutzt schon ein europäisches Smartphone? IPhones nutzen die Cloud von Apple in den USA. Die verschlüsseln allerdings dem Anschein nach so, dass Behörden nicht ohne weiters an die Daten kommen, so heißt es jedenfalls. Ob es erneut zu einem Bußgeldmoratorium kommen kann, ist angesichts der klaren Worte des EuGH zweifelhaft. In 2005 hatte es noch 6 Monate Schonfrist gegeben. Der Europäische Datenschutzausschuss (EDSA) will keine Gnadenfrist gewähren. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber fordert eine Umstellung ohne Verzögerung. Den Unternehmen drohen heftige Bußgelder.
Selbst wenn die Behörden in der ersten Zeit Gelegenheit geben, Prüfungen durchzuführen und keine Bußgelder auswerfen, könnten sich „Betroffene“ bemüßigt fühlen, hier selbst Ansprüche durchzusetzen. Schon jetzt fordern Abmahngespanne immer häufiger auch Schadensersatz, wenn tatsächlich oder vermeintlich Datenschutznormen gebrochen worden sind. Noch gibt es dazu nur einzelne Urteile, wie z.B. das Arbeitsgericht Düsseldorf, das unlängst einem Arbeitnehmer 5.000 Euro Schadensersatz für eine verspätete, weil zunächst unzureichende, Auskunft gewährte. Andere Gerichte, wie das OLG Dresden, sahen eine Schwelle für Schadensersatz nicht so schnell überwunden (für einen rechtswidrig gelöschten Post bei Facebook wurde Schadensersatz verwehrt).
Das Urteil war zwar erwartbar, aber in seinen Auswirkungen stellt es einen schweren Schlag gegen den internationalen Datenaustausch dar. Viele US-amerikanische Anbieter sind betroffen, zu denen es kaum Alternativen in der EU gibt. Ende des Jahres dürfte sich auch das Vereinigte Königreich auf der datenschutzrechtlichen Stufe von Südafrika wiederfinden, denn auch dort ist eine Einigung im Rahmen des Brexit nicht in Sicht.
Unternehmen, die ihre Daten in den USA verarbeiten lassen, müssen jetzt handeln. Hier ist nicht unbedingt in allen Fällen eine sofortige Vertragskündigung angezeigt. Bestimmte notwendige Übermittlungen bleiben erlaubt. Zudem kann man versuchen, mit Einzelfalllösungen zu arbeiten. Zuvor ist eine Analyse angezeigt. Nehmen Sie Kontakt mit Rechtsanwälten auf, die Sie im Datenschutzrecht beraten und stimmen Sie ihre ersten Maßnahmen ab.
X
