Was bedeutet die Aufhebung des EU-Privacy-Shield-Abkommens durch den EuGH?
Mit Urteil vom 16.07.2020 hat der EuGH das sog. EU-Privacy-Shield-Abkommen der USA mit der EU für ungültig erklärt. Ziel dieses Abkommens war es, einen mit der EU vergleichbaren Schutz für Daten von EU-Bürger:innen in den USA zu gewährleisten. Nur unter dieser Voraussetzung ist es nämlich nach der DS-GVO erlaubt, Daten von EU-Bürger:innen in ein Drittland zu übertragen. Jedoch sah der EuGH ein solches vergleichbares Schutzniveau nicht als gewährleistet an. Das begründete er insbesondere damit, dass US-amerikanische Geheimdienste befugt sind, auf Daten der Server in den USA zuzugreifen.
Betroffen sind alle US-amerikanischen Dienste wie Facebook, Twitter, Instagram, YouTube oder Google – und natürlich alle Unternehmen und Personen, die diese Dienste kommerziell nutzen. Denn nach dem Urteil des EuGH ist eine Datenübermittlung daher grundsätzlich nicht mehr an Dienste von US-amerikanischen Unternehmen erlaubt. Daran ändert sich auch nichts dadurch, dass einige der genannten Unternehmen Tochtergesellschaften in der EU haben, wie zum Beispiel Facebook Ireland. Denn zwischen europäischem Tochter- und amerikanischem Mutterunternehmen findet weiterhin ein Datenaustausch statt.
Seit dem Urteil herrscht eine große Unsicherheit darüber, ob und unter welchen Voraussetzungen beispielsweise Dienste wie Google Analytics oder das Betreiben einer Facebook-Fanpage noch legal sind. Es bestehen sehr unterschiedliche Ansichten darüber, ob eine Änderung der Datenschutzerklärung ausreicht oder wie Betroffene verfahren sollen. Für dieses Problem gibt es derzeit keine Lösung, die absolut rechtssicher ist.
- Man könnte in Erwägung ziehen, ähnlich wie bei Cookies einen Hinweis in einem Banner einzufügen und die Einwilligung der Nutzer:innen einzuholen. Daran ist aber zunächst problematisch, dass der Text des Banners sehr lang werden und auch abschreckend wirken würde. Es wäre nämlich darüber aufzuklären, dass US-amerikanische Geheimdienste ggf. auf die weitergeleiteten Daten zugreifen können. Das kann Nutzer:innen abschrecken, eine solche Einwilligung zu erteilen. Hinzu kommt, dass schon nicht klar ist, ob eine Einwilligung überhaupt wirksam erteilt werden kann. Denn der EuGH sieht die Datenschutzlage in den USA als Verletzung von Grundrechten europäischer Bürger:innen an und in eine solche Grundrechtsverletzung kann wahrscheinlich nicht eingewilligt werden. Zudem sieht die DS-GVO vor, dass nur ausnahmsweise eine Einwilligung eingeholt werden kann. Von einer Ausnahme kann aber keine Rede mehr sein, wenn auf Webseiten nun standardmäßig in die Datenübermittlung in Drittstaaten eingewilligt werden soll.
- Eine weitere Lösung können sog. „Standardvertragsklauseln“ sein. Das sind Verträge zwischen den Verwender:innen der Dienste und den Diensten selbst. Mit diesen würde sich das Unternehmen aus dem Drittstaat verpflichten, ein der EU entsprechendes Datenschutz-Niveau zu garantieren. Dafür gibt es Muster der Europäischen Kommission. Facebook und andere Dienste haben diese Standardvertragsklauseln bereits in die Nutzungsbedingungen mit aufgenommen. Diese Klauseln reichen aber nach Ansicht der Datenschutzbehörden nicht aus, um einen angemessenen Datenschutz zu gewährleisten. Denn zwar verpflichten US-amerikanische Unternehmen sich in diesen Klauseln dazu, ein Datenschutzniveau zu gewährleisten, das mit dem in der EU vergleichbar ist. Das ändert aber nichts daran, dass ein solches Niveau in den USA de facto nicht gewährleistet werden kann, weil US-amerikanische Geheimdienste sich immer noch Zugriff auf die Daten verschaffen können. Daher bedürfte es beispielsweise einer Anonymisierung von IP-Adressen. Eine solche Anonymisierung findet aber bei den genannten Unternehmen nicht statt. Dennoch bietet es sich an, in die eigene Datenschutzerklärung einen Hinweis auf die Standardvertragsklauseln einzubauen. Schließlich sind sie derzeit „state of the art“ und werden von der Europäischen Kommission zur Verfügung gestellt.
Was folgt daraus in der praktischen Umsetzung?
- Der Einsatz von Tools, die Daten an Server in den USA weitergeben, ist derzeit leider immer noch mit einem Risiko verbunden, Datenschutzrecht zu verletzen. Gleichzeitig ist natürlich die Nutzung dieser Dienste essenziell für Unternehmen und Unternehmer:innen. Die rechtlich unübersichtliche Lage hat einen Vorteil: Das Bußgeldrisiko ist sehrgering und derzeit ist auch die Untersagung kein Mittel der Datenschutzbehörden. Das hätte wohl einen zu negativen politischen wie wirtschaftlichen Dominoeffekt, wenn allen Unternehmen Datentransfers in die USA untersagt wäre.
- Wo es möglich ist, sollte für Dienste eine europäische Alternative gefunden werden (beispielsweise Matomo statt Google Analytics).
- Außerdem hilft es in diesem Fall tatsächlich, erst einmal abzuwarten. Denn die EU verhandelt gerade mit den USA über ein Nachfolgeabkommen. Wenn ein solches geschlossen wird, sollte man die Rechtslage erneut bewerten.