Nach Schrems II: Ist eine Verarbeitung von Daten durch US-amerikanische Unternehmen rechtlich zulässig?

Das EuGH-Urteil „Schrems II“[1] stellt einen Paukenschlag für den Datentransfer an US-amerikanische Unternehmen dar. In der Literatur wird das Urteil gar als „Sensation“ bezeichnet. Die wesentliche Erkenntnis ist, „das weder Section 702 des FISA noch die E.O. 12333 in Verbindung mit der PPD-28…dem Grundsatz der Verhältnismäßigkeit…genügen“. Damit genügt das EU-US Privacy Shield nicht den Vorgaben der DSGVO und ist damit ungültig.

In einer ersten Reaktion verblieb jedoch die überwiegende Meinung, dass ein transatlantischer Datentransfer nach wie vor basierend auf Standarddatenschutzklauseln stattfinden kann. Zuletzt häuften sich jedoch die Stimmen, die einem Datentransfer basierend bloß auf den Standarddatenschutzklauseln eine Abfuhr erteilen.

Damit stellen sich folgende Fragen: (i) Ist die Verarbeitung personenbezogener Daten durch US-amerikanische Unternehmen überhaupt rechtlich zulässig? (ii) Wenn ja, unter welchen Voraussetzungen?

Eingriffsmöglichkeiten von US-Behörden

Der wesentliche Grund, warum das Privacy-Shield-Abkommen gekippt wurde, sind die unverhältnismäßige Dateneingriffsmöglichkeiten der US-Sicherheitsbehörden.

[An dieser Stelle ein persönlicher Einschub: ME steht es – uns Europäern – nicht zu, diese Eingriffsmöglichkeiten als “befremdlich” abzutun. In Zeiten des steigenden Terrors, auch in Österreich, darf die Frage gestellt und auch diskutiert werden: Können durch diese Eingriffe Menschenleben gerettet werden?]

Besonders kritisch wird Section 702 des Foreign Intelligence Surveillance Act betrachtet. Damit sei auch ein Zugriff auf Daten erlaubt, die sich auf dem Weg in die USA befinden, ohne dass dieser Zugriff einer gerichtlichen Kontrolle unterläge und es bestehe auch keine klare und präzise Eingrenzung des Umfangs einer solchen Sammelerhebung personenbezogener Daten.

Ein, für europäische Verhältnisse, überschießenden Datenabgriff durch US-Behörden wird wohl auch in Zukunft nicht verhindert werden können. Schließlich sei allgemein bekannt, dass US-amerikanische Geheimdienste Anweisungen an US-amerikanische Vertragspartner europäischer Unternehmen zur Offenlegung oder zum Zugang zu Informationen und Daten in der Regel mit Geheimhaltungsverpflichtungen, sogenannten Gag Orders, verbinden. Ein Gag Order verpflichtet das Unternehmen zur Verschwiegenheit und wer sich nicht daranhält, muss mit ernstzunehmenden Konsequenzen (wie Geldstrafen und Haftstrafen) rechnen. Damit bleibt den amerikanischen Unternehmen de facto gar keine andere Wahl, wenn die die Sicherheitsbehörden mit Gag Orders arbeiten, als die Standarddatenschutzklauslen zu verletzen.

Datentransfer basierend auf Standarddatenschutzklauseln

Zunehmend setzt sich die Meinung durch, dass die „bloßen“ Standarddatenschutzklauseln nicht ausreichend sind, um das erforderliche Datenschutzniveau beim US-amerikanischen Empfänger zu erreichen. Dies zusammenfassend deshalb nicht, weil die Möglichkeit eines unverhältnismäßigen Eingriffes durch US-Behörden nach wie vor besteht.

Ungewöhnlich klar bezieht etwa die Datenschutzaufsichtsbehörde in Berlin dahingehend Position, dass ein Datentransfer in die USA auch bei Abschluss der Standardvertragsklauseln nicht länger als angemessen anzusehen sei.

Auch die unabhängige Datenschutzaufsichtsbehörde des Bundes und der Länder geht davon aus, dass „nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus“.

Der Europäische Datenschutzausschuss nimmt eher eine vermittelnde Position ein. Er schließt einen Datentransfer in die USA auf Grundlage von Standarddatenschutzklauseln jedenfalls nicht prinzipiell aus, sofern unter anderem der jeweilige Datenexporteur selbst evaluiert habe, dass das betreffende Drittland eine Rechtsordnung habe, die den Schutz der übermittelten Daten sicherstellt. Zwar ist diese Einschätzung – in Zeiten „Post-Trump“ – diplomatisch nachvollziehbar, führt aber letztlich ebenfalls zu dem Ergebnis, dass eine Datenübermittlung basierend auf bloßen Standarddatenschutzklauseln in die USA nicht ausreichend ist. Dies deshalb nicht, da, wie oben dargestellt, grundsätzlich die Gefahr eines unverhältnismäßigen Eingriffes nach wie vor besteht.

Auch einschlägige Literatur geht davon aus, dass eine Datenübermittlung bloß basierend auf Standarddatenschutzklauseln nicht ausreichend ist. Vgl etwa Thiele, wonach „somit sind Standardvertragsklauseln idR auch kein Ausweg, um personenbezogenen Daten in die USA zu übermitteln“.

Analyse des Entwurfes der “neuen” Standarddatenschutzklauseln

Ein am 12.11.2020 von der Europäischen Kommission veröffentlichter Entwurf der aktualisierten Standarddatenschutzklauseln bemüht sich sichtlich, die weiten Eingriffsmöglichkeiten durch US-Behörden zu sanieren.

Clause 3.1 lit a der Standarddatenschutzklauseln (im Entwurf) regelt etwa: „The data importer agrees to promptly notify the data exporter and, where possible, the data subject (if necessary with the help of the data exporter) if it receives a legally  binding request by a public authority under the laws of the country of destination“. Diese Regelung steht jedoch im diametralen Gegensatz zur oben geschilderten Praktik der Gag Orders.

Clause 9 lit b der Standarddatenschutzklauseln (im Entwurf): „The data importer agrees to submit itself to the jurisdiction of the competent supervisory authority [gemäß Clause 9 lit a: „The supervisory authority with responsibility for ensuring compliance by the data exporter with the GDPR…“] in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to inquiries, submit itself to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures.“ Abgesehen von praktischen Erwägungen, stellt sich diesbezüglich die Frage, wie eine solche Klausel mit dem völkerrechtlichen Souveränitätsprinzip in Einklang gebracht werden soll.

Fazit: Der Entwurf der Standarddatenschutzklauseln erkennt die drängenden Herausforderungen und versucht diese zu adressieren. Letztlich handelt es sich jedoch um ein bloßes Lippenbekenntnis, das an der Praxis vorbeigeht. Der Grund dafür ist klar: Eine Vereinbarung bedarf eines wechselseitigen Willens zur Veränderung. Solange dieser Wille auf US-amerikanischer Seite nicht gegeben ist , werden auch diese Standarddatenschutzklauseln kein angemessenes Datenschutzniveau erzielen. Ein Blick in die Praxis, und Besprechungen mit US-Unternehmen zum Thema „Datenschutz“, macht deutlich, dass ein solcher “Sinnes-Wandel” eher unwahrscheinlich ist.

“Zusätzliche Maßnahmen” für ein angemessenes Datenschutzniveau

Sowohl der Entscheidung des EuGH in Schrems II, der Europäische Datenschutzausschuss, vereinzelt nationale Datenschutzbehörde als auch weitere Teile der Literatur gehen davon aus, das neben dem Standarddatenschutzklauseln „zusätzliche Maßnahmen“ ergriffen werden müssen um einen transatlantischen Datentransfer rechtskonform durchzuführen.

Einer Empfehlung des Europäischen Datenschutzausschusses vom 10.11.2020 können auch konkrete Beispiele entnommen werden, wie diese „zusätzlichen Maßnahmen“ ausgestaltet sein könnten bzw müssen. Diese zusätzlichen Maßnahmen können grundsätzlich (i) technischer, (ii) vertraglicher oder (iii) organisatorischer Natur sein.

Als Beispiele für technische Maßnahmen werden genannt: Verschlüsselungstechniken oder sicheres Schlüsselmanagement (Stichwort: „Bring you own encryption“ – vgl „keys are retained solely under the control of the data exporter, or other entities entrusted with this) oder auch Ende-zu-Ende-Verschlüsselung.

Als Beispiele für vertragliche Maßnahmen werden genannt: Vertragliche Aufklärungspflichten des Daten-Importeurs über potentielle Eingriffe von Behörden; Verpflichtende Zusage, dass keine „back doors“ eingerichtet sind; Möglichkeit des Audits vor Ort; Verpflichtung, gegen behördliche Veröffentlichungsverfügungen anzukämpfen; Verpflichtung, das Daten im Klartext nur nach ausdrücklicher Zustimmung abgegriffen werden.

Als Beispiele für organisatorisch Maßnahmen werden genannt: Auditierung des need-to-know-Prinzips; Umsetzung der Datenminimierung; Einschränkung des Datentransfers auf das erforderliche Maß; Durchführung von rechtlichen und internen Audits; Anpassung an internationale Standard wie ISO-Normen und „best practices“ (wie ENISA).

Zusammenfassung

Entgegen einer ersten Einschätzung sind die Konsequenzen von Schrems II für den transatlantischen Datenschutzaustausch immens. Es ist davon auszugehen, dass ein Datenaustausch basierend auf „bloßen“ Standarddatenschutzklauseln nicht ausreichend ist. Vielmehr müssen flankierende „zusätzliche Maßnahmen“ ergriffen werden. In diesem Zusammenhang ist auf technischer Ebene besonders der Aspekt: „Bring your own encryption“ hervorzuheben. Sollten US-amerikanische Unternehmen nicht endlich den ” Ernst der Lage” erkennen, bleibt zu hoffen, dass europäische Unternehmen das dadurch entstehende Vakuum nützen – und sich so der zunehmenden Abhängigkeit entziehen.

Möglicherweise interessant: KI-Projekte DSGVO-konform umsetzen

---

---

---