Stimmen zum EuGH-Urteil

Aufregung um gekipptes Privacy Shield

28.07.2020
Max Schrems hat sein Ziel erreicht: Auf die Klage des Aktivisten hin hat der Europäische Gerichtshof nach Safe Harbour auch den Privacy Shield zu Grabe getragen. Wie wird der transatlantische Datenverkehr nun funktionieren?
Wie läuft der Austausch von Daten künftig auf transatlantischer Ebene ab? Wir haben die Einschätzungen von Verbänden, Juristen und IT-Unternehmen für Sie zusammengestellt.
Wie läuft der Austausch von Daten künftig auf transatlantischer Ebene ab? Wir haben die Einschätzungen von Verbänden, Juristen und IT-Unternehmen für Sie zusammengestellt.
Foto: rawf8 - shutterstock.com

Der Europäische Gerichtshof (EuGH) hat das transatlantische Datenschutzabkommen EU-US Privacy Shield zum Schutze personenbezogener Daten für ungültig erklärt (Urteilstext im O-Ton, PDF). Außerdem hat er entschieden, dass der Datenaustausch mit Nicht-EU-Ländern auf Basis der "Standardvertragsklauseln" zwar rechtens sei, aber im Einzelfall geprüft werden müsse. Der EuGH schaltet sich schon zum zweiten Mal in den internationalen DatenschutzDatenschutz ein: Schon 2015 hatte das Gericht das damals gültige Safe-Harbor-Abkommen gestoppt. Beide Vereinbarungen reichen den Richtern offenbar nicht aus, um den spätestens mit den Enthüllungen des Whistleblowers Edward Snowden bekannt gewordenen Schnüffelpraktiken der US-Geheimdienste etwas entgegenzusetzen. Alles zu Datenschutz auf CIO.de

Beide Urteile sind auf Klagen des österreichischen Datenschützers Max Schrems zurückzuführen, der in Sachen Privacy Shield zunächst die irischen Datenschutzbehörden aufgefordert hatte, Datentransfers in die USA zu unterlassen, da das Datenschutzrecht in den USA Geheimdiensten wie NSA und FBI Zugang zu Social Networks wie FacebookFacebook und Co., aber auch zu Cloud-Diensten gewähre. Das höchste irische Gericht hatte den Fall an den EuGH weitergeleitet. Alles zu Facebook auf CIO.de

Erlaubt ist künftig weiter der Datentransfer nach den sogenannten Standardvertragsklauseln - aber nur sofern sichergestellt ist, dass diese im Empfängerland auch eingehalten werden. Was das mit Blick auf die USA bedeutet, ist Interpretationssache. Laut noyb, der Bürgerrechtsorganisation von Schrems, hat das EuGH mit dem Urteil entschieden, dass Datenübertragungen auch im Falle von Standardvertragsklauseln eingestellt werden müssen, wenn ein Unternehmen unter US-Überwachungsgesetze falle. Und das treffe "für praktisch alle IT-Unternehmen" zu.

Wir haben Stimmen von Verbänden, Juristen und Betroffenen zusammengetragen.

CIO-Verband VOICE: Verträge prüfen

Das Urteil, das viel Raum für Interpretationen lässt, wurde sogleich von Verbänden und Interessensvertretungen kommentiert. Beim Anwenderverband VOICE e.V., der die CIOs in Deutschland repräsentiert, heißt es: "Die Entscheidung des EuGH, das Privacy Shield genannte Datenschutzabkommen mit den USA zu kippen, setzt die Anwenderunternehmen in Deutschland und Europa erheblich unter Druck. Sie dürfen keine personenbezogenen Daten mehr in die USA übermitteln, wenn die Übermittlung bisher auf Basis des Privacy Shields erfolgte."

Der Verband empfiehlt Anwendern, ihre Verträge mit Cloud-Providern sofort zu überprüfen. Der 2016 vereinbarte EU-US Privacy Shield habe lediglich eine bilaterale Absprache zwischen der EU und den USA dargestellt, in der die Amerikaner zugesagt hätten, sich an bestimmte Regeln wie Datensparsamkeit zu halten. Tatsächlich habe es sich dabei nicht um einen verbindlichen Vertrag gehandelt. Vielmehr hätten sich bisher rund 4000 US-Unternehmen einer Selbstverpflichtung unterworfen, deren Einhaltung vom amerikanischen Handelsministerium stichprobenartig überwacht werde. An sie dürfen personenbezogene Daten von EU-Bürgern übermittelt werden.

Der VOICE erinnert daran, dass die Zusagen der Amerikaner im Rahmen des Privacy Shield schon allein vom Cloud Act (2018) und vom älteren USA Patriot Act (2001) konterkariert würden. Dennoch habe das Abkommen als Grundlage für die Übermittlung personenbezogener Daten aus der EU in die USA gedient. Fast alle europäischen Unternehmen, die ihre Daten von US-Cloud-Anbietern verarbeiten lassen, und auch Unternehmen, die personenbezogene Daten ihrer Kunden zum Beispiel an Mutter- oder Tochterunternehmen weiterleiten oder die aus anderen Gründen personenbezogene Daten in die USA transferieren, nutzten den Privacy Shield. Das gelte auch für die großen Social Networks und Suchmaschinenanbieter, die die Daten von EU-Bürgern sammeln und in die USA übermitteln.

Mit der Erklärung des EuGH wird laut VOICE ein Großteil der Übermittlungen personenbezogener Daten in die USA künftig illegal. Ähnliches drohe letztendlich auch den im Rahmen von Standardvertragsklauseln übertragenen Daten. Europäische Unternehmen hatten sie in ihre Verträge mit US-Providern aufgenommen, nachdem 2015 das Safe-Harbour-Abkommen vom EuGH gekippt worden und der Privacy Shield noch nicht in Kraft gesetzt war.

Wenn auch diese schon immer rechtlich umstrittenen Standardvertragsklauseln nicht mehr rechtmäßig seien, fehle der Übermittlung personenbezogener Daten in die USA auch diese Rechtsgrundlage. Der Verband warnt: "Jedes Unternehmen, dass personenbezogene Daten in die USA ohne Rechtsgrundlage übermittelt, verstößt gegen geltendes Recht, was empfindliche Strafen nach sich ziehen kann."

Anwenderunternehmen und VOICE-Mitglieder, die in den letzten Jahren erhebliche Summen in die Einhaltung der Datenschutz-Bestimmungen nach DSGVO/GDPR investiert hätten, stünden nun erneut vor großen Herausforderungen. "Wie sollen sie die teilweise existenziell notwendige Übermittlung personenbezogener Daten in die USA gewährleisten, beziehungsweise sich vor einem Abfluss von Daten in die USA schützen?", fragt der Verband. Es werde schwierig, eine Nachfolgeregelung zu vereinbaren, die den Regeln der GDPR entspreche.

Deutschen und europäischen Unternehmen, die personenbezogene Daten in die USA übermitteln, empfiehlt der VOICE zu überprüfen, ob ihr Datenmanagement-System in der Lage ist, sämtliche Datenströme im Detail zu monitoren. Die Unternehmen müssten jederzeit Aussagen dazu treffen können müssen, wo personenbezogene Daten verarbeitet und gespeichert werden. Auch gelte es, sämtliche Verträge mit US-Cloud-Providern und mit Anbietern, die "ein signifikantes US-Geschäft haben", zu überprüfen. Im Zweifelsfall dürften den Providern nur verschlüsselte Daten anvertraut werden und die Schlüssel ausschließlich in den Händen des eigenen Unternehmens sein.

Weiter fordert der Verband von Bundesregierung und EU-Kommission, schnellstens ein verbindliches Datenschutzabkommen mit den USA zu schließen, das ein ausreichendes Datenschutzniveau garantiert, damit Unternehmen wieder legal personenbezogene Daten in die USA übermitteln können. "Ansonsten befürchten wir, dass die wirtschaftlichen Beziehungen zwischen den USA und Europa schweren Schaden nehmen", heißt es in einer Mitteilung.

Gleichzeitig fordert Interessenvertretung der IT-Manager Bund und EU auf, den bereits eingeschlagenen Weg zu größerer digitaler Souveränität mit höherem Nachdruck weiterzuverfolgen. Die CIOs wünschen sich eine europäische Cloud-Infrastruktur, die die Interessen der IT-Anwenderunternehmen berücksichtigt und deren Beteiligte sich auf die Einhaltung der GDPR verpflichten. Auch sollten europäische und nationale Behörden ausschließlich europäische Cloud-Provider beauftragen, die sich an die Datenschutzgrundverordnung hielten. Und es sei wichtig, mittelständische Software- und Servicehäuser sowie App-Anbieter zu fördern, damit europäische Alternativen zu den US-Anbietern entstehen könnten.

Bitkom: EU muss für Rechtssicherheit sorgen

Knapper als der VOICE äußert sich der Bitkom, der die Interessen der ITK-Unternehmen in Deutschland vertritt - und dabei auch für US-Unternehmen spricht, die hierzulande Geschäfte machen. Susanne Dehmel, für juristische Fragen zuständiges Mitglied der Geschäftsleitung, stellt in fest, dass nach dem gescheiterten Safe-Harbor-Abkommen nun schon zum zweiten Mal die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA hinfällig sei.

"Auch die bis dato gültige Praxis der Standardvertragsklauseln gerät mit dieser Entscheidung ins Wanken", so Dehmel. Für Unternehmen mit einer Datenverarbeitung in den USA entstehe durch dieses Urteil massive Rechtsunsicherheit. Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet habe, müsse zumindest auf die unter bestimmten Umständen weiter rechtskräftigen Standardvertragsklauseln umstellen, andernfalls drohe ein Daten-Chaos.

"Für global tätige Unternehmen ist es entscheidend, dass sie ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln können", sagt Dehmel. "Die EU ist jetzt aufgerufen, schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen." Daten ausschließlich in Europa zu verarbeiten sei technisch kaum umsetzbar, so die Verbandssprecherin, außerdem würde es einen massiven Wettbewerbsnachteil für europäische Unternehmen bedeuten.

Eco Verband der Internetwirtschaft: "Fatale Folgen"

Eco-Geschäftsführer Alexander Rabe warnt vor den fatalen Folgen des Urteils für die Internet-Wirtschaft "und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks, die auf den Austausch von personenbezogenen Daten angewiesen sind". Ohne den Privacy-Shield gebe es kaum noch Alternativen, Daten unkompliziert und rechtssicher aus der EU in die USA zu übertragen.

Sich an den Strohhalm der Standardvertragsklauseln zu klammern, um den Datenaustausch mit Drittstaaten hinzubekommen, bedeute "einen erheblichen Aufwand für die Unternehmen". Jetzt müsse die EU-Kommission schnellstens praktikable und nachhaltige Lösungen für den Datentransfer zu Drittstaaten präsentieren und für Unternehmen Rechtssicherheit schaffen."

BITMi: Risiken für den Mittelstand

Der Bundesverband IT-Mittelstand e.V. (BITMi) sieht sich in seiner grundsätzlich kritischen Haltung zum Privacy Shield bestätigt. Spätestens jetzt gelte es, Rechtssicherheit für europäische Unternehmen zu schaffen und "die aufdringliche Überwachung und massenhafte Erfassung persönlicher Daten einzuschränken".

BITMi Präsident Oliver Grün erklärt: "Es ist wichtig, dass die persönlichen Daten der europäischen Bürger nicht massenhaft und unkontrolliert weitergegeben werden. Allerdings brauchen wir zur Unterstützung der europäischen Unternehmen nun aber ein eindeutiges und zukunftsfähiges Abkommen, das den Unternehmen die Teilnahme am globalen Wettbewerb ermöglicht."

Für Unternehmen, die global agierten und für das Entwickeln innovativer Produkte Daten verarbeiten müssten, berge die entstandene Rechtsunsicherheit ein großes Risiko ins Hintertreffen zu geraten. Doch die Datenschutzgrundverordnung und das gute Datenschutz-Profil der EU seien damit gestärkt worden. Es ergäben sich Chancen für Unternehmen, die sich auf datenschutzfreundliche Geschäftsmodelle spezialisiert hätten.

BSA: Herausforderung für US-Unternehmen

Auch der internationale Softwareverband BSA The Software Alliance hat sich zu Wort gemeldet. Man sei froh, dass mit dem Urteil die Standardvertragsklauseln weiter gültig blieben, aber enttäuscht, dass der Privacy Shield gekippt wurde. "Die Entscheidung des EuGH schafft eine Herausforderung für mehr als 5.300 US-Unternehmen, von denen über 250 ihren Hauptsitz in Europa haben. Sie haben sich auf den Privacy Shield verlassen, um Daten von und nach Europa zu transferieren", sagt der europäische BSA-Sprecher Thomas Boué.

Bei rund 70 Prozent der für den Privacy Shield zertifizierten Unternehmen seien mittlere und kleine Betriebe, die jetzt viel Zeit und Geld investieren müssten, um Alternativen für tägliche Geschäftstransaktionen in Bereichen wie Payroll, E-Mail, Dokumentenverwaltung, oder Cloud-Dienste zu finden. "Firmen brauchen stabile und zuverlässige Mechanismen um Daten aus EU-Ländern in die Daten und umgekehrt transferieren zu können.

"Dies ist keine gute Entwicklung in einer Zeit, in der Unternehmen auf beiden Seiten des Atlantiks mit den wirtschaftlichen Auswirkungen von Covid-19 beschäftigt sind. Diese Betriebe müssen sich auf datengetriebene Tools und Services verlassen können", sagt Boué.

Die BSA beschäftige sich nun mit den Details des Gerichtsentscheids. Sie sei bereit, mit der EU-Kommission, der US-Regierung und den transatlantischen Geschäftspartnern eng zusammenzuarbeiten. Alle verfolgten das gemeinsame Ziel, einen nachhaltigen Mechanismus für den transatlantischen Datenverkehr zu finden, der auf lange Sicht funktioniere.

Positiv sei immerhin, dass der EuGH unter bestimmten Bedingungen weiter die Verwendung der Standardvertragsklauseln erlaube, ein zuverlässiges Tool, um persönliche Daten aus Europa heraus zu transferieren - auch in die USA. Dieser Transfermechanismus werde von 90 Prozent der Unternehmen verwendet, die personenbezogene Daten in 180 Länder transferieren.

ownCloud-Chef: Das große Frohlocken

Tobias Gerlinger, CEO und Managing Director von ownCloud in Nürnberg, kippt allerdings Wasser in den Wein. Nur wenn das hohe Datenschutzniveau der EU eingehalten werde, könnten die Standardvertragsklauseln der EU als Grundlage herangezogen werden. Die dafür erforderliche Prüfung obliege jeweils dem Unternehmen, das die Datenhoheit ausübe.

"In der Praxis wird diese Prüfung aber entweder nicht möglich sein oder aber sie wird spätestens an der Gesetzeslage in den USA scheitern", warnt Gerlinger. Solange US-Geheimdienste über den Cloud Act zugreifen könnten, betreffe das Urteil alle Cloud-Dienste von US-amerikanischen Muttergesellschaften - unabhängig davon, ob sich das Rechenzentrum in Deutschland oder einem anderen Land befinde.

ownCloud steht auf dem Standpunkt, dass das Urteil den Transfer persönlicher Daten in amerikanische Public-Cloud-Dienste wie Microsoft OneDrive, Google Drive, Dropbox oder Box.com für unrechtmäßig erklärt. Somit rückten europäische Alternativen wie das Cloud-Projekt Gaia-X und auf Open-Source-basierende Collaboration-, Filesync- und Filesharing-Lösungen weiter in den Vordergrund. Auf jeden Fall bedeute das Urteil, dass der EU-US Privacy Shield ab sofort nicht mehr angewendet werden dürfe, um den Transfer persönlicher Daten in die USA zu begründen.

"Mit dem Urteil des Europäischen Gerichtshofs ist es nun amtlich, dass die Zertifizierungen der großen amerikanischen Cloud-Anbieter Microsoft, Google, Amazon und Co. nach dem ,EU-US-Privacy-Shield-Abkommen' nicht das Papier wert sind, auf dem sie stehen", sagt Gerlinger. Der Transfer personenbezogener Daten von EU-Bürgern durch diese Cloud-Dienste in die USA verstoße gegen EU-Recht. Und wegen des US Cloud Act könne ein solcher Transfer auch bei einer Speicherung der Daten in der EU nicht ausgeschlossen werden. Die Nutzbarkeit amerikanischer Cloud-Dienste für europäische Unternehmen und Behörden sei jetzt stark eingeschränkt.

Fachanwalt: USA müssen sich bewegen

Nicht ganz so drastisch drückt sich Christian Schmidt aus, Fachanwalt für Internetrecht und Datenschutz. Der Partner der Kanzlei Schmidt & Schmidt, meint: "Ein Abkommen mit den USA, dass das Datenschutzniveau der EU widerspiegelt, wird so lange nicht zu erwarten sein, wie nicht die amerikanischen Geheimdienstgesetze EU-datenschutzkonform angepasst werden. Dies dürfte daher, optimistisch geschätzt, nie zu erwarten sein."

Die Übernahme der Standarddatenschutzklauseln der EU könnten zwar den Schein wahren, doch der EuGH habe die Behörden ausdrücklich aufgefordert, die Einhaltung dieser Klauseln zu überprüfen und notfalls dann den Datentransfer zu verbieten. "Wenn aber bereits das Abkommen als ungültig angesehen wird, würde auch die Überprüfung der Einhaltung vertraglicher Klauseln am Ende zum Verbot führen müssen", sagt Schmidt.

Privatanwender müssten damit rechnen, dass neue AGBs auf sie zukommen (eBay, Amazon…), die eine derartige Verarbeitung dann mit Zustimmung erlauben können. Firmen sollten individuelle Verträge mit den amerikanischen Partnern schließen, doch müssten sie damit rechnen, dass bei einer behördlichen Überprüfung der Datentransfer verboten werden könne.

Schmidt erwartet insgesamt aufwendige Prozessänderungen, "in erster Linie wird der Ball aber aus der EU nach Amerika geworfen, und die werden nicht erfreut über die Entwicklung sein." Die amerikanischen Firmen müssten nun neue Wege suchen, wie sie den EU-Markt datenschutzkonform bearbeiten könnten.

BvD: EU unter Zugzwang

Auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. glaubt, dass die Entscheidung, das Datenschutzabkommen Privacy Shield für ungültig zu erklären, "massive praktische Auswirkungen" hat. Transfers personenbezogener Daten zwischen den USA und der EU würden bislang schwerpunktmäßig aus den USA heraus angeboten. Vor diesem Hintergrund sei die Europäische Kommission im Zugzwang: Die Einhaltung des europäischen Datenschutzes müsse in bilateralen Verträgen sichergestellt werden.

Nach Auffassung des BvD sind auch die vom EuGH als rechtmäßig befundenen Standardvertragsklauseln anpassungsbedürftig. Die EU-Kommission sei aufgefordert, neue Standardvertragsklauseln vorzulegen, die sowohl die DSGVO als auch das nationale Recht der EU-Mitgliedstaaten angemessen berücksichtigten und das Schutzniveau der DSGVODSGVO ohne einzelvertragliche Anpassungen abbildeten. Alles zu DSGVO auf CIO.de

Des Weiteren hält es der Verband für wichtig, dass neue Vertragsklauseln ein angemessenes Datenschutzniveau zugunsten von "verbundenen Unternehmen" etablieren. Nach der heutigen Regelung müssten große Firmen für eine zentrale beschaffte Dienstleistung oft eine Vielzahl von Standardvertragsklauseln schließen, abhängig von der Anzahl der angeschlossenen Konzernunternehmen.

Durch das sogenannte "Onward-Transfer-Prinzip" habe es der Privacy Shield bislang ermöglicht, durch einen bilateralen Vertragsschluss zwischen der Muttergesellschaft und dem Dienstleister ein angemessenes Datenschutzniveau ohne unsinnige Papierschlacht herzustellen. Der Dienstleister habe in solchen Fällen Verträge mit seinen Subdienstleistern zur internen Weitergabe der Pflichten zur Einhaltung des Datenschutzes abgeschlossen. Das sei nun nicht mehr möglich.

NTT: Tipps für Anwender

Und was solten Anwender jetzt konkret tun? Eva-Maria Scheiter, Managing Consultant GRC bei der NTT Ltd., rät dazu, erst einmal aufzulisten, welcher Datenverkehr über die Standardvertragsklausel abgedeckt ist. Anschließend müssten die Verantwortlichen im Einzefall prüfen, ob entsprechend der lokalen Gesetzeslage ein ausreichender Schutz gegeben sei. Treffe das nicht zu, müsse der Export ausgesetzt und die Aufsicht informiert werden. Auch sollten Unternehmen weitere Garantien etablieren, wie beispielsweise Binding Corporate Rules.

Zur Startseite