Nach 7 Jahren Rechtsstreit zwischen Facebook und Maximilian Schrems hat nun heute (16.07.2020) die große Kammer des EuGH ein Urteil gefällt.
Hier zum Nachlesen (externer Link, InfoCuria / Gerichtshof der EU).
Was vielen Verantwortlichen noch zu Schaffen machen wird, ist die Entscheidung, dass "Privacy Shield" nicht mehr gültig ist. Wie zuvor beim "Safe Harbour" Abkommen hat also Hr. Schrems durchgesetzt, dass eine häufig genutzte Grundlage für die DSGVO-konforme Übermittlung von Daten zwischen EU und USA nicht mehr genutzt werden kann.
Was ist gemeint?
Bisher hatte man die Möglichkeit, für Datenübermittlungen in die USA den Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO (externer Link, ec.europa.eu / Europäische Kommission) als Garantie für ein angemessenes Datenschutzniveau zu nennen, sofern der Anbieter in der USA und seine Verarbeitung unter dem sog. "Privacy Shield" gelistet war.
Was ist die Folge?
Update 22.08.2020:
Privacy Shield ist seit dem Urteil definitiv ungültig. Im EuGH Urteil vom 16. Juli 2020 steckt schlicht und einfach die Tatsache, dass Übermittlungen personenbezogener Daten in die USA, die ausschließlich auf Basis der Art. 45 DSGVO Garantie "Angemessenheitsbeschluss" stattfinden, im Falle von des EU-US Privacy Shield ab dem Tag des Urteils rechtswidrig sind.
Urteilsbegründung:
Im Wesentlichen ist diese Entscheidung dadurch begründet, dass der im ursprünglichen Angemessenheits-Beschluss als unabhängig und zur Durchsetzung von Rechtsansprüchen Betroffener geeignet
eingeschätzte Ombudsprozess zum Privacy Shield als gegenüber den US-Behörden als nicht durchsetzungskräftig bewertet wurde.
Schlußfolgerung des Gerichts dazu:
"[...] hat die Kommission bei ihrer Feststellung in Art. 1 Abs. 1 des DSS-Beschlusses, dass die Vereinigten
Staaten für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds aus der Union an Organisationen in diesem Drittland übermittelt würden, ein
angemessenes Schutzniveau gewährleisteten, die Anforderungen verkannt, die sich aus Art. 45 Abs. 1 der DSGVO im Licht der Art. 7, 8
und 47 der Charta ergeben."
Kurz gesagt:
"kein angemessenes Datenschutzniveau in der USA"
Und nun?
Nun benötigt man aber eine solche "Garantie" (die auch explizit z.B. zur Verarbeitung und Übermittlung nachweisbar sein muss), sofern man nicht auf die eher streng auszulegenden anderen Möglichkeiten des Art. 47 (i.d.R. Konzern-interne Übermittlungen) oder Art. 49 DSGVO (für viele Übermittlungen nicht in der Praxis anwendbar) ausweichen kann.
Die Standard-Vertragsklauseln (Standard Contractual Clauses/SCC) könnten der "Ausweg" sein. Zwar der EuGH diese als weiterhin gültig betrachtet, jedoch ganz klar auch darauf verwiesen, dass die Aufsichtsbehörden die Verpflichtung haben, darauf basierende Übermittlungen zu untersagen,
"...[...]...wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 dieser Verordnung sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann...[...]".
Angesichts dessen, was spätestens seit Edward Snowden an fast allumfassenden Überwachungsmaßnahmen in der USA bekannt ist und auch mit dem Wissen, dass - wenn überhaupt - nur US-Staatsbürger ein gewisses Maß an Datenschutz in der USA genießen, so bleibt die Frage offen, wie (und ob) die SCC in Zukunft gestaltet und angewendet werden können.
Man kann also gespannt sein, wie sich die "Überarbeitung" der SCC (externer Link, BfDI Pressemitteilung) gestalten wird.
Update 22.08.2020:
Schrems-Fragebogen
Verantwortliche können natürlich versuchen, zu den SCC mit ihren US-Dienstleistern auch noch die Fragen aus den von Noyb/Schrems zur Verfügung gestellten Fragebögen (externer Link, noyb) beantwortet zu bekommen. Das wäre eine theoretische Möglichkeit, sicherzustellen, dass die SCC auch wirklich eingehalten werden können.
Machen Sie das mal - das Ergebnis dürfte in nicht zu wenigen Fällen nicht sehr hilfreich sein.
Für Verantwortliche ergibt sich aus dem Urteil jetzt zunächst wieder einmal Unklarheit und Rechtsunsicherheit. Gerade dachte man, Drittlandsübermittlungen Datenschutz-konform gestaltet zu haben, schon bricht eine Grundlage dafür weg.
Update 22.08.2020:
Was würde ich empfehlen?
Nun... wo es möglich ist und Alternativen gibt, empfehle ich Verantwortlichen, andere Dienstleister innerhalb der EU einzusetzen. Das hat in der Praxis natürlich einige "Haken"...
Haken Nr. 1:
Die Alternative ist technisch nicht wirklich optimal
So ist es nicht einfach, z. B. für Videokonferenzen oder "Webinare" mit sehr vielen Teilnehmern eine wirklich stabile und gut verwaltbare Lösung zu finden. Platzhirsch "Zoom" wird eventuell in den nächsten Monaten noch ernst zu nehmende Konkurrenz aus Europa bekommen, aber derzeit ist es eher schwierig, speziell was Lösungen mit einem Leistungsspektrum über 50+ Teilnehmer betrifft. Vor allem wenn man keine eigenen dedizierten Infrastrukturen aufbauen will.
Haken Nr. 2:
Die Alternative ist ungleich teurer
Hier sind u.a. Cloud-Lösungen mit entsprechender Skalierbarkeit und Services zu nennen. Nach Aussage verschiedener Verantwortlicher ist es kaum möglich, zu Amazon Web Services (was übrigens auch bei vielen anscheinend reinen EU-Dienstleistern ein wesentlicher Teil der Backend-Infrastruktur ist) eine bezahlbare Alternative zu finden.
Haken Nr. 3:
Die Alternative wirft neue Probleme auf.
Google Maps? Raus damit und Open Street Maps einbinden!... Ja, wenn es so einfach wäre. OSM kann und will nämlich nicht garantieren, dass die Daten nicht auch in UK (da gibt's früher oder später die Brexit-Thematik) oder gar auf Servern in anderen Drittländern verarbeitet werden. Auch hier bedeutet eine datenschutz-konforme Einbindung (Aufsetzen lokaler Tile-Server etc.) nicht unerheblichen Aufwand.
Klar ist auch - Hr. Schrems hat damit Recht, dass eine umfassende Überwachung nicht mit den Zielen des Datenschutzes vereinbar ist. Recht hat er meiner Meinung nach auch damit, dass Facebook & Co. nicht wie bisher lustig weitermachen können sollten.
Nur - ob das dahinter stehende politische Ziel, dass "[...] die USA ihre Überwachungsgesetze grundlegend ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.“ (Zitat Maximilian Schrems zum Urteil, externer Link, noyb.eu) tatsächlich erreicht wird oder eben doch wieder pragmatisch eine einfach umzusetzende Lösung für Geschäfte zwischen Unternehmen gefunden wird, bleibt dahingestellt.
Bis dahin werden sich vor allem die Unternehmen ärgern, die immer schon versucht haben, alles korrekt umzusetzen.
Update 22.08.2020:
Haben wir überhaupt ein "angemessenes Datenschutzniveau"?
Natürlich kann man auch diskutieren, wie angemessen das Datenschutzniveau in der EU ist und wie weit Betroffene dort ihre Rechte durchsetzen können. Gerade hinsichtlich dessen, was teilweise
auch in Deutschland Polizei oder Verfassungsschutz (externe Links, digitalcourage.de) dürfen (sollen) und wie wenig Einfluss
darauf der deutsche oberste Datenschützer hat, ist auch die EU nicht immer das "gelobte Land" des Datenschutzes. Vielleicht kommt dazu noch eine Retourkutsche aus den USA?