Aktuelle News finden Sie im BVI-Newsletter. Klicken Sie oben in der Navigation auf „Newsletter“, um ihn zu abonnieren.
Das EuGH-Urteil zu Privacy Shield
Zur Sache
Am 16. Juli 2020 war es soweit: nicht gerade unerwartet, aber trotzdem ein Paukenschlag. Mit dem EuGH Urteil vom 16. Juli 2020, Az.: C-311/18, auch Schrems II-Urteil genannt, wurde der Beschluss der EU-Kommission zum „Privacy Shield“ als Grundlage für eine Datenverarbeitung in den USA gekippt. Dass das so kommt, dürfte kaum überraschen, wussten wir alle ja bereits, dass die USA beim Thema Datenschutz ihr ganz eigenes Süppchen kocht. Schon die amerikanische Verfassung lässt erahnen, wie mit Daten eines nicht-amerikanischen Bürgers umgegangen werden soll. So heißt es sinngemäß, dass die Rechte und Freiheiten der US-Bürger geschützt werden sollen, dies aber nicht für Bürger anderer Länder gilt. So greifen amerikanische Behörden regelmäßig auf Daten von US-amerikanischen Unternehmen zu. Das sorgte schon lange für Diskussion. Im Kern der dem EuGH vorgelegten Fragen hatte dieser – neben der Anwendbarkeit europäischen Rechts – insbesondere in der Rechtmäßigkeit der Regelungen über Standarddatenschutzklauseln, der allgemeinen Auswirkung der US-amerikanischen Überwachungspraxis auf das tatsächliche Datenschutzniveau der USA und der Rolle und Befugnisse der zuständigen Aufsichtsbehörden zu entscheiden.
Das Wichtigste aber vorweggenommen: Keine Panik!!!
Was ist passiert?
Das Urteil hat natürlich teils enorme Auswirkungen auf europäische Unternehmen, die an US-Dienstleister (z.B. Cloud-Services) personenbezogene Daten nur auf Grundlage des Privacy Shields übermitteln. Dies stellt nun eine bußgeldbewährte und unzulässige Datenweitergabe dar. Das betrifft auch Datenübermittlungen aufgrund einer Konzernstruktur. Auch Dienstleister, die bislang auf Standarddatenschutzklauseln gesetzt haben, dürften in nächster Zeit kritisch geprüft werden.
In unserer heutigen Zeit fließen Daten schnell über die Grenzen hinweg in andere EU-Länder oder Drittstaaten. Unser Verständnis vom Schutz und Sicherheit der Daten ist längst nicht dasselbe, wie in anderen Ländern. So soll die DSGVO in EU-Ländern die Sicherheit und Integrität der Daten sichern, es wird jedoch schnell klar, dass dies außerhalb der EU verschieden gehandhabt wird. Hier findet das Urteil dann seinen Anstoß. Es soll gewährleistet sein, dass der EU-Standard in Drittländern bei der Übertragung von personenbezogenen Daten zumindest durch zusätzliche Voraussetzungen erfüllt werden muss, genannt: „angemessenes Datenschutzniveau“. Dies stellen verschiedene Garantien der Drittländer dar. Dazu zählen die Standarddatenschutzklauseln (SCC), die Binding Corporate Rules (BCR) und eben das EU-US Privacy Shield.
Das EU-US Privacy Shield hat sich durch das Urteil nunmehr aufgehoben. Allerdings sind auch die Standarddatenschutzklauseln unter Umständen nicht mehr ausreichend. Der EuGH fordert, dass Unternehmen künftig bei der Weiterleitung von personenbezogenen Daten im Einzelfall grundsätzlich zu prüfen haben, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vertragsklauseln einzuhalten, siehe USA. Hierzu werden sich in der kommenden Zeit die Aufsichtsbehörden mit Handlungsempfehlungen noch räuspern. Im Klartext: Es bleibt abzuwarten, was die Aufsichtsbehörden empfehlen. Eine vollständige Einstellung des Datenverkehrs wird schon aus wirtschaftlicher Sicht kaum durchsetzbar sein. Die Behörden müssen nun prüfen, welche Alternativen sich bieten. Bereits im Fall des Safe-Harbor-Urteils (der Vorgänger des Privacy-Shields) gab es eine Übergangsfrist, um die Datenübertragung zwischen den USA und der EU neu zu regeln.
Was geht mich das an?
Wie bereits erwähnt, sind Datentransfers in die USA nur auf Basis der Privacy Shield nicht mehr zulässig. Auch die Standarddatenschutzklauseln sind mit Vorsicht zu genießen. Denken Sie über Ihre eingesetzten Programme nach. Liefern diese Daten auf einen Server in den USA? – Ab sofort unter Umständen bußgeldbewährt. Dabei sollten Sie auch an Ihre Videokonferenz-Tools denken. Manche werden in den USA gehostet. Ihre Telefonanlage? Ihre Verwaltersoftware? Sie sollten nun Ihre Programme und Tools dringend auf den Datenfluss hin überprüfen und welche Garantien vorliegen.
To-Do-Liste:
- Welche Dienstleister habe ich, die in der USA ansässig sind und personenbezogene Daten von mir erhalten?
- Wurde hierbei nur auf die Privacy Shield-Zertifizierung gesetzt, oder wurden auch die EU-Standarddatenschutzklauseln vereinbart?
- Ist ein Unternehmen nur via Privacy Shield vertraglich gebunden, bietet Ihnen das EuGH-Urteil die Möglichkeit zur fristlosen Kündigung. Wenn Sie nicht auf eine Zusammenarbeit verzichten können, fragen Sie bei dem Dienstleister nach, ob kurzfristig ein Abschluss der EU-Standardvertragsklauseln möglich ist. Das ist dann auch nicht das Gelbe vom Ei, da ja bekannt ist, dass die USA die SCC aufgrund ihres nationalen Rechts nicht erfüllen können, aber es ist besser als nur das Privacy Shield. Ist der Dienstleister nicht dazu bereit, sollte das Vertragsverhältnis keinesfalls fortgeführt werden.
Kurz um, das Urteil bedeutet eine Menge Arbeit. Sie als Verantwortlicher sind dazu angehalten, die Sicherheit und die Integrität der Ihnen anvertrauten personenbezogenen Daten zu gewährleisten. Das umfasst im Nachhinein auch die Übermittlung an Dritte. Daher empfehlen wir den Check-up mittels unserer To-Do-Liste, den Sie bestenfalls Ihrem IT-Dienstleister überlassen. Mit seinem Ergebnis des Datentransfers können Sie dann feststellen, welche Programme oder Tools betroffen sind und anschließend prüfen, welche Garantien vorliegen.
Es bleibt abzuwarten, wie sich die Behörden zum Urteil äußern werden, welche Handlungsempfehlungen hier ausgesprochen werden und welche Maßnahmen große US-Dienstleister treffen. Es ist aber trotzdem empfehlenswert, die Hände nicht in den Schoß zu legen, sondern vorab zu prüfen, welche Dienstleister für den Datentransfer nicht mehr in Frage kommen. So ist das Urteil sicherlich ein ordentlicher Tritt, aber auch dieser bringt uns datenschutztechnisch zwei Schritte nach vorne.
Reinhold Okon
Weitere Informationen zum Thema Datenschutz sowie relevante Datenschutz-Themen für Immobilienverwalter finden Sie auch unter https://bvi-verwalter.de/leistungen/datenschutz/.