Europa ist die Heimat des Datenschutzes und von Menschen, die sich dessen bewusst sind. Anders die Vereinigten Staaten. Hier ist die Gesetzgebung ungleich disparater, und sie hinkt der europäischen Datenschutzgesetzgebung in vielen Fällen hinterher. Für Unternehmen ist das seit Jahren ein Problem.
Die jüngste Entscheidung des Europäischen Gerichtshofs macht die Sache erneut komplizierter. Am 16. Juli 2020 hat sich das Datenschutzabkommen zwischen den USA und der Europäischen Union geändert. Datenschutzbestimmungen, die im EU-US Privacy Shield verankert waren, wurden für ungültig erklärt. Nicht aufgrund von Bedenken gegen das Abkommen als solches, sondern weil US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) eine Massenüberwachung gestatten und Europäer keine Klageberechtigung vor einigen Gerichten haben.
Was heißt „für ungültig erklärt“? Der Oberste Gerichtshof Europas, der Europäische Gerichtshof (EuGH), erklärte das als EU-US Privacy Shield bezeichnete Rechtsinstrumentarium für ungültig. Es handelte sich um die Rechtssache C-311/18, oft auch als Urteil oder Entscheidung „Schrems II“ bezeichnet nach dem Namen des österreichischen Juristen und Datenschutzaktivisten Max Schrems (Schrems I hat zuvor schon US Safe Harbor-Abkommen für ungültig erklärt). Mit anderen Worten, hier wird die Datenschutz-Grundverordnung (DSGVO), auch (EU) 2016/679, nicht erfüllt.
Was heißt das konkret?
In der Rechtssache Schrems II ist gerade das Urteil ergangen, und es hat den herkömmlichen Schutzrahmen, der für die Übertragung personenbezogener Daten zwischen den Vereinigten Staaten und der Europäischen Union gegolten hat, außer Kraft gesetzt und für ungültig erklärt. Das gilt jedoch nicht für die herkömmlichen Standardvertragsklauseln (SCCs), das bevorzugte Datenschutzsystem hinsichtlich der Datenübertragung.
Unternehmen in den Vereinigten Staaten könnten sich entscheiden:
- den EU-US-Datentransfer zu stoppen,
- die Geschäftstätigkeit in der EU einzustellen,
- auf SCCs umstellen und Privacy Shield zu wahren,
- auf Standardvertragsklauseln (SCCs) umstellen.
Nummer 1, den EU-US-Datentransfer stoppen. Das hieße, dass personenbezogene Daten von EU-Bürgern in den USA nicht verarbeitet, übertragen oder gespeichert werden. Hier sprechen wir aber nicht von EU-Kunden, sondern von EU-Bürgern. Ein nicht ganz unwichtiger Unterschied, wenn Firmen mit EU-Bürgern als Angestellten oder Auftragnehmern arbeiten oder Geschäftsvereinbarungen getroffen haben. Selbst dann, wenn man den grenzüberschreitenden Datentransfer beschränkt, kann das Ganze beliebig kompliziert werden. Umso mehr, da auch die Definition dessen, was unter die aktuelle Definition personenbezogener Daten fällt, sich ständig wandelt.
Die zweite Möglichkeit, die Geschäftstätigkeit in der EU einzustellen, hätte massive Auswirkungen. Es kommt natürlich vor, dass ein Unternehmen sich nicht auf eine Geschäftstätigkeit innerhalb der EU konzentriert. Das grundsätzlich auszuschließen, wäre aber wohl eher eine vorübergehende Maßnahme, um richtlinienkonform zu bleiben. Die Frage ist, ob ein Unternehmen, das sich selbst nach Privacy Shield zertifiziert hat, umgehend reagieren und die Übertragung von Daten sofort unterbinden müsste. Zumindest bis zu einem Wechsel zu SCCs als geltendem (und akzeptiertem) Rahmen. Das wäre juristisch zwar nicht falsch, aber für die Geschäftstätigkeit nicht eben förderlich. Es gehört zu den kleinen, schmutzigen Geheimnissen bei Risikomanagement und Compliance, dass die ungehinderte Geschäftstätigkeit nicht selten Vorrang vor der Richtlinienkonformität hat. Welche Maßnahmen man ergreifen will und wie drastisch sie dann letzten Endes ausfallen, müssen interne Datenschutzteams entscheiden.
Die dritte Option ist ganz anders gelagert: ein Umstieg auf SCCs und die Wahrung von Privacy Shield. Privacy Shield wurde für die EU aufgehoben. Es wurde keine Dokumentation zu einem schweizerisch-amerikanischen Privacy Shield veröffentlicht. Im Moment ist diese Option wahrscheinlich kein schlechter Weg. Schon weil es nicht ganz so einfach ist, sich vom Privacy Shield zu trennen. Privacy Shield schreibt immer noch vor, dass, wer sich nach diesen Vorgaben zertifiziert hat, auch demgemäß überprüft wird. Auf der Privacy Shield-Website heißt es: „…Diese Entscheidung entbindet die Teilnehmer des EU-U.S. Privacy Shield-Programms nicht von ihren Verpflichtungen im Rahmen des EU-U.S. Privacy Shield-Rahmens… „
Bleibt noch die vierte Option, auf Standardvertragsklauseln (SCCs) umzustellen. Hier hätten Unternehmen ansetzen sollen. Privacy Shield wurde von Datenschutzexperten hinlänglich kritisiert. Eine Umstellung auf SCCs ist jedoch nichts, was sich schnell implementieren lässt. Man braucht sehr genaue Informationen dazu, was wie übertragen und somit Gegenstand der Vertragsklauseln wird. Und man ist zwingend an die vorgegebene Wortwahl gebunden. Die ist ziemlich eingeschränkt und etwas antiquiert. Trotzdem ist es ein gangbarer Weg und derzeit vermutlich der empfehlenswerte.
Warum wurde Privacy Shield gekippt?
Im Wesentlichen aus drei Gründen: Der Foreign Intelligence Surveillance Act („FISA“), die Executive Order 12333 und die Presidential Policy Directive 28 stellen die Gültigkeit der Datenschutzvereinbarungen in Frage. Die FISA ist eine Art geheimes Gerichtssystem für den Umgang mit Terroristen und Agenten ausländischer Mächte und wird ständig aktualisiert. Die Executive Order 12333 wiederum hält Bundesbehörden dazu an, die CIA bei der Informationsabfrage zu unterstützen. Auch diese Order wurde mehrfach aktualisiert. Bei der Directive 28 geht es um Fernmelde- und elektronische Aufklärung (Signal Intelligence) und das Sammeln digitaler Informationen.
Worin besteht der Unterschied zwischen Standardvertragsklauseln und Privacy Shield?
Privacy Shield war eine Standardvertragsklausel, die Unternehmen mit einer entsprechenden Selbstzertifizierung einhalten mussten. Dazu zählen verschiedene Mechanismen zum Schutz der Privatsphäre von Personen. Standardvertragsklauseln sind Klauseln, die in einen Vertrag zwischen einem Verarbeiter und einem für die Verarbeitung Verantwortlichen oder zwischen mehreren für die Verarbeitung Verantwortlichen aufgenommen werden, und die sich darauf konzentrieren, wie private oder personenbezogene Daten innerhalb eines Unternehmens gehandhabt werden.
Was passiert, wenn Standardvertragsklauseln bereits verwendet werden?
Es gibt auch eine gute Nachricht. Datenschutzexperten haben Unternehmen schon immer geraten, Standardvertragsklauseln zu verwenden, und die gelten weiterhin. Dabei handelt es sich um genehmigte Klauseln, die sich auf den Datenschutz konzentrieren und die beim EU-US (oder EU-irgendwohin) -Transfer personenbezogener Daten nach Möglichkeit in die Vereinbarungen aufgenommen werden sollten. Man sollte sich die verwendeten Klauseln gerade jetzt noch einmal sehr genau ansehen und überprüfen, ob es Lücken gibt, die sich vielleicht erst in Zukunft auswirken. Firmen sollten sicherstellen, dass die verwendeten Bedingungen auf dem neuesten Stand sind. Darüber informiert die Website der EU. Die Klauseln müssen zudem jegliche Veränderung abbilden. Wenn die gesammelten Daten anders als bisher verwendet werden oder es sich um eine andere Art von Daten handelt, müssen die Klauseln aktualisiert werden, bevor man Änderungen umsetzen kann.
Und dann ist da noch Covid-19…
Hier stellt sich die beängstigende Frage, wie sich das Urteil auf die Forschung auswirkt. Ob und wie das der Fall ist, hängt davon ab, wie die forschenden Unternehmen ihre Verträge über den Datentransfer gestaltet haben. Nach dem Scheitern von Safe Harbor war es unter Umständen nicht die beste Entscheidung auf EU-US Privacy Shield zu setzen. Firmen, die es sich in der Vergangenheit möglicherweise zu einfach gemacht haben, müssen die notwendigen Anpassungen schnell umsetzen, wenn sie die Forschungsarbeit nicht unnötig gefährden wollen. Was die Bekämpfung von Covid-19 angeht, wurden und werden unglaubliche Mengen an Daten ausgetauscht. Diesen Austausch zu stoppen, war sicherlich nicht das Ziel bei der Entscheidung des Europäischen Gerichtshofs. Wenn ein Unternehmen aktiv an der Bekämpfung der Pandemie arbeitet, sollte es Standardvertragsklauseln zügig implementieren, um dahingehend auf der sicheren Seite zu sein.
Fazit
Die Datenschutzgesetze haben sich geändert und ebenso wie Art und Weise, wie Daten zwischen der Europäischen Union und den Vereinigten Staaten übertragen werden. Ein Grund zur Panik? Nein, kein Grund zur Panik. War eine Entscheidung vorhersehbar? Ja. Das war sie. Was allerdings seltsam anmutet ist, dass die größte Sorge einer Änderung der Standardvertragsklauseln galt. Genau die ist aber (zumindest noch) nicht eingetreten.
Eine der Herausforderungen der EU besteht darin, dass, während die US-Regierung durchaus einige Probleme mit dem Datenschutz hat, viele andere Regierungen deutlich weniger auf den Datenschutz bedacht sind. Einige Länder haben kein echtes Recht auf Privatsphäre. Eines unterscheidet die Vereinigten Staaten dahingehend allerdings von vielen anderen Ländern. Zum einen haben einige der größten datenbasierten Unternehmen ihren Sitz außerhalb der USA, zum anderen unterhalten die USA engere Beziehungen zu Europa als zu anderen Nationen. Und damit sind höhere Erwartungen an den Datenschutz europäischer Bürger geknüpft.
Letztendlich müssen Unternehmen mit allen Änderungen der Datenschutzbestimmungen Schritt halten, wo immer sie geschäftlich tätig sind. Für viele ist es höchste Zeit, Standardvertragsklauseln einzuführen. Sie sollten aber auch nicht in Panik geraten oder sich zwanghaft fragen, was als nächstes kommt. Es ist an der Zeit Verträge zu überprüfen, zu aktualisieren und die geschäftliche Tätigkeit ungehindert aufrechtzuerhalten.