Was bedeutet das Ende von „Privacy Shield“?

Beinahe jedes Unternehmen übermittelt heute Daten in die USA. Vor geraumer Zeit hat man viel vom Ende des „Privacy Shield“ gehört. Der Europäische Gerichtshof (EuGH) hatte das EU-US Privacy Shield Abkommen für nichtig erklärt. Entsprechend sind alle Datenübermittlungen in die USA, welche sich auf diesen Mechanismus stützen erst einmal nicht mehr zulässig. Doch welche Möglichkeiten bestehen nun?

Zu Beginn – Ratlosigkeit

Nicht nur das Urteil des EuGH, “Privacy Shield” betreffend, verbreitete sich wie ein Lauffeuer. Mit dem Urteil einher ging eine breite Verunsicherung innerhalb vieler Unternehmen. Welchen Dienst kann man jetzt noch verwenden? Gibt es eine Alternative zum “Privacy Shield”? Welche Konsequenzen muss man befürchten, wenn man betreffende Daten weiter verarbeitet? 

Prüfung auf Alternativen

Nachdem der EuGH das EU-US Privacy Shield Abkommen für nichtig erklärt hat, sind entsprechend alle Datenübermittlungen in die USA, welche sich auf diesen Mechanismus stützen, unzulässig. Grundlegend gilt es nun zu prüfen, ob die Datenverarbeitung auf einen anderen Mechanismus umgestellt werden kann (z.B. EU-Standardvertragsklauseln, Einwilligung der Betroffenen) oder ob diese eingestellt werden müssen. 

Version 1: Unveränderte Bezugnahme auf das EU-US Privacy Shield Abkommen

Unsere Einschätzung des Risikos: Hoch

Als Grundlage unserer Einschätzung ist an dieser Stelle schlicht die gerichtliche Entscheidung des EuGH anzuführen. Ein einfaches Weiterführen aller Tätigkeiten wäre, durch den Wegfall des “Privacy Shield”, ein rechtswidriger Datentransfer. Ob Aufsichtsbehörden in dieser Situation ein Bußgeld verhängen würden und wenn ja, in welcher Höhe ist fraglich, obgleich Spekulation. Die Praxis hat gezeigt, dass aufgrund der Neue des Urteils zuerst eine Ermahnung erfolgen könnte, welche eine Verpflichtung zum sofortigen rechtskonformen Verhalten beinhalten dürfte. Je mehr Zeit allerdings seit dem Richterspruch verstreicht, desto wahrscheinlicher könnte die Verhängung eines Bußgeldes sein. 

Version 2: Umstellung des Datentransfers auf die EU-Standardvertragsklauseln

Unsere Einschätzung des Risikos: Mittel

Zwar hat man nach der Entscheidung des EuGH andere Stellungnahmen und Aussagen gehört, aber der EuGH hat die EU Standardvertragsklauseln mit seinem Urteil nicht für ungültig erklärt. Folgerichtig bedeutet dies, dass diese weiterhin als Grundlage für Datentransfers genutzt werden können. 

Der Haken an der Sache: Zeitgleich legt der EuGH den Unternehmen die Pflicht auf, zu prüfen, ob das empfangende Unternehmen im Drittland aufgrund der dort vorherrschenden Rechtslage überhaupt in der Lage sein kann, ein angemessenes Datenschutzniveau zu gewährleisten. Und genau das ist bei der Frage eines Datentransfers in die USA die Achillesferse der Argumentation. Eine solche Überprüfung von US-Unternehmen im Bereich der Kommunikations- und IT-Leistungen dürfte negativ ausfallen. Grund dafür ist 50 USC § 1881a (= FISA 702) and EO 12.333. Diese in den USA geltenden rechtlichen Vorgaben ermöglichen es US-Strafverfolgungsbehörden und Geheimdiensten auf die Kommunikationsvorgänge zugreifen zu können. Da es kein Rechtshilfeabkommen zwischen der EU und den USA gibt und ein solcher Zugriff in der Regel auch unter einer Verschwiegenheitspflicht erfolgt (bedeutet: keine Information des Betroffenen möglich), wäre es nicht konform mit den europäischen Datenschutzvorschriften. 

Folglich ist die Gefahr der Unkonformität zwar komplexer abzubilden, als bei Einsatz des EU-US Privacy Shield, aber auch bei der Verwendung der Standardvertragsklauseln besteht ein deutliches Risiko im Falle einer Kontrolle.

Version 3: Einwilligung der Betroffenen Person

Unsere Einschätzung des Risikos: Gering

Der Artikel 49, Abs.1 der DSGVO sieht es vor, dass eine Person dem Transfer ihrer Daten in ein Drittland (wie die USA) zustimmen kann. Dabei spricht die DSGVO davon, dass “die betroffene Person […] in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde[…]“). Es ist also der DSGVO eindeutig zu entnehmen, dass die betreffende Person klar und deutlich über die bestehenden Risiken informiert werden muss. Das Risiko, welches auftreten kann, ist, dass eine Aufsichtsbehörde Mängel an der Art und / oder des Umfangs der Aufklärung feststellen könnte.

Gerade diese Bedingung der Einwilligung macht es für das Marketing natürlich schwer. Wer zu Beginn seines Besuchs auf einer Webseite zuerst mitgeteilt bekommt, dass er im Falle der Zustimmung dieses und jenes Risiko zu tragen hat – der dürfte vermutlich bereits vor dem Akzeptieren der Cookie-Meldung die Webseite wieder verlassen haben. 


„Die datenschutzrechtliche Lage ist recht eindeutig. Trotzdem muss man als Unternehmen auch die Wirtschaftlichkeit betrachten. Daher gilt es, jede einzelne Datenübermittlung zu betrachten, Alternativen zu ermitteln, Risiken einzuschätzen und letztendlich die getroffene Entscheidung rechtlich bestmöglich umzusetzen.“

Manuel Bohé, CEO Concepture Gruppe GmbH


Version 4: Umstellung auf andere Dienstleister außerhalb der USA, innerhalb der EU

Unsere Einschätzung des Risikos: Nahezu nicht vorhanden

Dies stellt, rein rechtlich gesehen, die Goldrandlösung dar. Hier kann entweder von einer Auftragsverarbeitung im Sinne des Art. 28, DSGVO ausgegangen werden, oder von einer klassischen Datenweitergabe, welche innerhalb der EU auf der gleichen Basis wie auch innerhalb des eigenen Landes erfolgen darf. Gerade im Bereich des Webtrackings kann man aktuell nur betonen, dass die Suche nach einer europäischen Alternative zu Google Analytics selten sinnvoller war, als nach diesem Urteil des EuGH.  

Zu beachten hierbei ist: Die Übermittlung von personenbezogenen Daten in die USA an ein Unternehmen sind nach wie vor unproblematisch, wenn diese zur Erfüllung eines Vertrags erforderlich sind. Das kann z.B. die Weitergabe einer Adresse eines Kunden an ein US-Unternehmen sein, damit dieses eine Direktlieferung an den Kunden ausführen kann. Eine solche Datenweitergabe ist durch die Ausnahmeklausel des Art. 49 Abs. 1 lit. c DSGVO legitimiert.

Die Qual der Wahl

Es ist uns sehr wohl bewusst, dass es aktuell für Unternehmen eine schwere Zeit ist. Nicht nur wegen der Corona-Pandemie, sondern auch wegen der Unsicherheit die Zusammenarbeit und den Datenaustausch mit US-Unternehmen betreffend. Die hier aufgezeigten Optionen sind nicht optimal, aber aktuell Stand der Dinge. Sie können aber dazu beitragen, das Risiko des Abwartens einzuschätzen. Denn eines ist sicher: Jetzt müssen sich die EU und die USA bewegen und für eine neue rechtliche Regelung zwischen den beiden Wirtschaftsräumen sorgen. Neben der reinen Frage des Datenschutzes müssen dabei, aus Sicht des Unternehmens, auch immer die betrieblichen Anforderungen und die technische Realisierbarkeit berücksichtigt werden. Die Option „verzichten wir ab morgen auf alle Microsoft Dienste“, ist sicherlich eine theoretische Möglichkeit, welche sich in der Praxis jedoch kaum realisieren lässt.