Am 16.7.2020 hat der europäische Gerichtshof (EuGH) über die Zulässigkeit von Datentransfers in die USA entschieden. Dieses Urteil hinterlässt derzeit eine weitreichende rechtliche Unsicherheit, obwohl es eigentlich Klärung bringen sollte. Aber der Reihe nach. Das Urteil betrifft Datentransfers in die USA, für die komplexe Regelungen in der Datenschutz-Grundverordnung (DSGVO) getroffen wurden. Solche Datentransfers finden an Hochschulen z. B. bei der Benutzung von (Cloud-) Diensten der großen US-Anbieter statt. Es betrifft aber auch die Zusammenarbeit mit US-amerikanischen Forscherinnen und Forschern oder Hochschulen.
Geklagt hatte ursprünglich Max Schrems und die Organisation NOYB gegen Facebook in Irland, um die Datentransfers von Facebook in die USA zu unterbinden. In Irland wurde dann die Frage an den EuGH gerichtet, ob das Privacy-Shield-Abkommen, das zwischen der EU und den USA Regelungen für die Datentransfers vereinbart, ausreichende rechtliche Garantien für EU Bürger gewährleistet. Nicht überraschend kam die Feststellung, dass die Privacy-Shield-Vereinbarung hier nicht ausreichend ist. Mit Urteilsspruch wurden damit Übermittlungen die darauf basieren nicht weiter zulässig. Das wirkt sich in der Praxis allerdings zunächst nur gering aus. Die Entscheidung wurde so bereits erwartet, da die Unterschiede zum vorherigen Abkommen namens „Safe Harbour“ nur gering waren und dieses bereits 2015 mit dem Schrems-I-Urteil für unzulässig erklärt wurde. Wie bereits 2015 sind die Sicherheitsgesetze in den USA, hier konkret FISA 702 und EO 12333, und die daraus folgenden Eingriffe, wie Massenüberwachung und Datenzugriffe durch Behörden und Geheimdienste bei Nicht-US-Bürgern, ausschlaggebend.
Die erwartete Aufhebung von Privacy Shield hat dazu geführt, dass bei den meisten großen IT Konzernen bereits seit 2016 die Legitimierung der Übermittlungen auch auf der Basis von vertraglichen Vereinbarungen rechtlich abgesichert wurde, über die sogenannte Standardvertragsklausel (SCC). Diese Klauseln hat, wie auch das Privacy-Shield-Abkommen, die EU-Kommission zur Vereinfachung und Vereinheitlichung von internationalen Datentransfers ausge-handelt. Die Klauseln sind 2010 vereinbart worden und finden auch bei Übermittlungen in andere Staaten Anwendung, die kein der EU vergleichbares Datenschutzniveau auf gesetzlicher Basis bieten, z. B. Indien oder Mexiko. Auch die SCC werden bereits seit längerem kritisiert. Neben der Privacy-Shield-Zertifizierung wurden zuletzt also viele Übermittlungen zusätzlich auf diese Basis gestellt, um der erwartbaren Entscheidung zur Ungültigkeit des Privacy-Shield-Abkommens zu begegnen.
Das aktuelle Urteil erhält nun aber weitere ernsthafte Brisanz, weil auch Aussagen zu den Standardvertragsklauseln getroffen werden. Die Sicherheit der Verarbeitung muss mit ausreichenden Garantien belegt sein – im Fall von Pri-vacy Shield hat der EuGH diese in den USA verneint. Für die Standardvertragsklauseln werden zusätzliche etwas unklare Anforderungen formuliert. In der Folge können, so wird bereits diskutiert, sämtliche derzeitigen regelmäßigen Übermittlungen in die USA datenschutzrechtlich unzulässig sein. Derzeit fehlen vor allem konkrete Alternativen, um dem zu begegnen. Am Zug ist jetzt die EU-Kommission. Sie muss für die EU eine tragfähige Lösung anbieten, die auch eine dauerhafte Verlässlichkeit gewährleistet. Ein Abkommen namens „Safe Shield“ oder „Privacy Harbour“ wird der EuGH sicher nicht akzeptieren.
Die Datenschutzaufsichtsbehörden in Deutschland verhalten sich bereits sehr unterschiedlich, einige wenige drohen bereits, andere setzen zunächst auf sorgfältige Analysen. Diese Analysen dürften auch zu gemeinsamen Positionen der Datenschutzaufsicht in Europa führen. Der europäische Datenschutzausschuss (EDSA), das gemeinsame Gremium der alle 27 Datenschutzaufsichtsbehörden in der EU, hat sich bereits in einem ersten FAQ dem Urteil angenommen. Wie sich die Aufsichtsbehörden im Einzelfall gegenüber den Verantwortlichen verhalten werden, ist noch unklar.
Die Schuld für diese rechtliche Situation liegt klar bei der EU-Kommission, die ihren Auftrag, die Rahmenbedingungen für freien wirtschaftlichen Austausch und damit auch Datenverkehr zu schaffen, hier nicht ausreichend erfüllt hat. Dennoch werden auch den Verarbeitern, wie beispielsweise den Hochschulen, Handlungen abverlangt. Wie diese Handlungen konkret aussehen müssen, was möglicherweise zulässig bleiben kann und was nicht, wird sich erst nach einem gewissen juristischen Meinungsfindungsprozess herausbilden. Für Unternehmen, die als Vertragspartner der Hochschulen Daten verarbeiten, besteht nun der Auftrag aus dem Urteil, Schutz über technisch-organisatorische Maßnahmen sicherzustellen und zu dokumentieren. Nicht zuletzt sind die Positionen und Empfehlungen der Aufsichtsbehörden, insbesondere die Position der Landesbeauftragten in NRW, die für die Hochschulen in NRW zuständig ist, für die direkt erforderlichen nächsten Schritte wesentlich. Die Bewertung des Urteils ist auch hier auch nach Aussage des europäischen Datenschutzausschusses noch nicht abgeschlossen.
10.8.2020 | Kai-Uwe Loser, bDSB
Bildquellen:
Foto: Gerichtshof der Europäischen Union