Am 28. Juli 2020 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine Pressemitteilung bezüglich der Entscheidung des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer herausgegeben, in welcher folgendes ausgeführt wird:

Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des „Privacy Shield“ ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das „Privacy Shield“ für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.
2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.
4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind.
5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Das Urteil betrifft damit jegliche Beauftragung von US-Dienstleistern sowie die Beauftragung von Dienstleistern, welche zur Erbringung ihrer Leistung US-Unterauftragnehmer involvieren, sofern eine Speicherung in den USA stattfindet. Ebenfalls ist der Betrieb von Webseiten betroffen, wenn hierbei personenbezogene Daten des Besuchers an Stellen in die USA übermittelt werden.

Folgende Dienste sind zumeist betroffen:

• Google Analytics
• Marketingtools wie MailChimp oder Salesforce
• Social Media bei Facebook, Twitter und Instagram
• Videokonferenzsysteme US-amerikanischer Anbieter (z. B. Zoom, MS Teams)
• Hosting von Services in US-amerikanischer Infrastruktur (z. B. AWS, MS Azure, Cloudflare)

Das Urteil des EuGH hebt zwar nur den „Privacy Shield“ auf, aber auch Standardvertragsklauseln sind bei Übertragungen an Stellen in den USA kritisch und es muss zwingend geprüft werden, ob der Datenimporteur die Vorgaben des Vertragswerks tatsächlich einhalten kann.

Derzeit vertreten die Aufsichtsbehörden noch uneinheitliche Auffassungen zur Prüfpflicht der Verantwortlichen. Rheinland-Pfalz sieht in diesem Zusammenhang eine Prüfpflicht der Verantwortlichen vor, Hamburg hingegen sieht die Prüfpflicht eher bei den Aufsichtsbehörden selbst. Thüringen sieht die Prüfpflicht sowohl bei den Verantwortlichen als auch bei den Aufsichtsbehörden.

Die Berliner Datenschutzbeauftragte vertritt derzeit die konsequenteste Position und fordert, umgehend dazu auf alle Übermittlungen in die USA einzustellen und zu Nicht-US-Anbietern, bevorzugt zu europäischen Anbietern zu wechseln bzw. in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern. Leider würde aber auch eine solche Verlagerung des Hostings von personenbezogenen Daten aus den USA in einen Mitgliedsstaat der Europäischen Union, das Problem nicht lösen, da nach den Vorschriften des sogenannten CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) vom März 2018 auch solche Daten dem Zugriff von US-Stellen unterliegen, die von US-Unternehmen außerhalb der Vereinigten Staaten gespeichert werden. Es spielt daher nur eine untergeordnete Rolle, ob z. B. Microsoft die Daten von europäischen Kunden in den USA oder in deutschen oder europäischen Rechenzentren speichert. Die US-Geheimdienste dürfen so oder so auf diese Daten zugreifen.

————————————————————————————————————————-

Quellen und Links:

Pressemitteilung des DSK zum EuGH Urteil v. 16.07.2020 (C-311/18)
https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf

Musterfragebögen für US-Anbieter oder Anbieter mit US-Bezug
https://noyb.eu/de/naechste-schritte-fuer-eu-unternehmen-faqshttps://www.datenschutzzentrum.de/

tec4net schafft Rechtssicherheit im Unternehmen durch Datenschutzberatung