EuGH: Datenexport in die USA unzulässig – damit ist nahezu jede Website rechtswidrig!

Aktualisiert: 21. Juli 2020

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht

Der EuGH schaltet das Internet ab – nach dem heutigen Urteil zu Privacy Shield des EuGH darf keine Website, kein Unternehmen mehr US Anbieter verwenden, wenn dabei personenbezogene Daten verarbeitet werden. Das kommt der (juristischen) Abschaltung des Internets gleich, da es kaum eine Website, kaum einen Dienst gibt, bei dem nicht auch wenigstens teilweise Daten auch in die USA übertragen werden. Was ist jetzt zu tun? Hier findest Du die Antworten auf Deine Fragen!

Inhalt:

  1. I. Darf ich denn US-Anbieter verwenden?

  2. II. Na toll, eigentlich, also darf ich vielleicht doch US Anbieter nutzen?

  3. III. Und was heißt das jetzt?

  4. IV. Mein US-Anbieter sitzt aber in Irland – jetzt kann ich doch, oder?

  5. V. Privacy Shield: Geht jetzt wirklich nichts mehr mit US-Anbietern?

  6. VI. Privacy Shield EuGH: Was kann mir denn jetzt passieren?

  7. VII. Ok, also schalte ich meine Website jetzt ab?

  8. VIII. Und was kann ich realistisch unternehmen?

  9. IX. Ergebnis zu Privacy Shield EuGH

Die Export von personenbezogenen Daten aus der EU heraus ist in der EU nur erlaubt, wenn der Datenschutz in dem Drittland dem nach der DSGVO gleichwertig ist. Das ist etwa für die Schweiz, Kanada oder Neuseeland festgestellt. Fast unlösbar scheint aber die Frage zu sein:

I. Darf ich denn US-Anbieter verwenden?

In den USA hat Datenschutz nicht den Stellenwert wie in Europa. Der Schutz von Daten ist nach hiesigen Maßstäben unzureichend, wie nicht zuletzt durch Edward Snowden offenbar geworden ist. US-Behörden, insbesondere Geheimdienste, können die personenbezogenen Daten von US-Anbietern heraus verlangen, Rechtsmittel dagegen sind nicht möglich. Es werden ggf. umfangreiche Profile angefertigt. Damit ist die entscheidende Voraussetzung für einen Datenexport in die USA, gleichwertiger Datenschutz, nicht gegeben. Also ist die Antwort: Nein, eigentlich nicht.

II. Na toll, eigentlich, also darf ich vielleicht doch US Anbieter nutzen?

Genau, vielleicht, das ist die Antwort. Genauer gesagt: sogar 2 mal vielleicht! Denn natürlich gibt es ein überragendes Interesse fast aller Internet-Nutzer, US Anbieter zu verwenden. Das Herz des Internets steht nach wie vor in den USA. Die großen Digitalkonzerne Google, Amazon und Facebook sowie viele andere Anbieter stammen aus Nordamerika. Oft hat man fast einen faktischen Zwang, einen US-Anbieter zu verwenden – man denke nur an Online Shopping mit Amazon oder Internet-Suche mit Google. Deshalb hat die EU-Kommission bereits zwei mal versucht, eine Lösung zu finden – ist aber jetzt zum zweiten Mal an dem EuGH gescheitert. 1. Vielleicht: Safe Harbour

Also, der Export außerhalb der EU ist nur zulässig, wenn die EU-Kommission den Datenschutz eines Drittstaates als gleichwertig anerkennt. Um dies zu ermöglichen, erließ die Kommission im Jahr 2000 zunächst die Safe Harbour Entscheidung wonach ein gleichwertiger Schutz gegeben sein sollte. Hiergegen klagte der österreichische Datenschutzaktivist Maximillian Schrems und bekam 2015 von dem EuGH recht. Da gab es das erste mal die Konsequenz, das praktisch alle EU-Websites rechtswidrig waren – aus vielleicht war nein geworden.

2. Vielleicht: EU US Privacy Shield

Also musste schnell eine neue Basis her und sie musste besser sein als Safe Harbour. Dazu versuchte sich die EU an einem zweiseitigen Datenschutzabkommen mit den USA. So richtig tiefes Verständnis für europäische Datenschutzsorgen vermochte die EU Kommission jedoch nicht zu finden, schon gar nicht wirkliche Bereitschaft, US-Datenschutzgesetze zu verbessern (auf Ebene der Bundesstaaten ist das aber inzwischen der Fall, wie der neue California Consumer Privacy Act nach Vorbild der DSGVO beweist).

Daher kam ein echtes Abkommen nicht zustande. Es gab statt dessen eine Art Briefwechsel zwischen der EU und verschiedenen US-Institutionen, in denen diese einige Absichtserklärungen zum Datenschutz abgaben. Zudem wurden mit privacyshield.gov eine Institution und ein Ombudsmann in den USA geschaffen, die dafür sorgen sollten, dass in den USA der Datenschutz sich mirakulös verbessert. Wer jemals diese Aneinanderreihung von Absichtserklärungen gesehen hat, hatte sicher von Anfang an Zweifel, das das wirklich wirksam ist. Von daher wurde bei easyRechtssicher von Anfang an empfohlen, wo immer möglich, mit Alternativen zu arbeiten.

3. Und was ist real (passiert)?

Heute kam es, wie es kommen musste. Ein kleiner Österreicherwollte es erneut nicht glauben und klagte erneut – diesmal gegen Privacy Shield. Und Du ahnst es schon: Wieder rang David den Goliath nieder. Mit Urteil vom heutigen Tage hat der EuGH auch privacy shield für rechtswidrig und damit unwirksam erklärt. Ganz überraschend befand das Gericht, dass ein paar Briefe keinen Datenschutz ersetzen – ok, so ganz überraschend war es nicht, das haben einige prophezeit, auch ich in unserem  Blogbeitrag zum internationalen Recht.

Hier findest Du jedenfalls die Presseerklärung des EuGH zu dem Urteil vom 16.07.2020: https://twitter.com/EUCourtPress/status/1283668810374021121

III. Und was heißt das jetzt?

Genau bedeutet das juristisch, es gibt keine Entscheidung der Kommission mehr, die anerkennt, dass der Datenschutz in den USA mit dem in Europa gleichwertig ist. Damit darfst auch Du (ohne weitere Voraussetzungen) keine personenbezogenen Daten von EU-Bürgern mehr in die USA exportieren! Das heißt, praktisch jeder US-Dienstin Deinem Business ist nicht mehr zulässig. Google Analytics, Facebook, Instagram, Twitter, LinkedIn, Zoom, MS Office, MS Teams, Mailchimp, Active Campaign, Calendly, YouTube, Vimeo, Google Maps, Amazon Webservices, die Liste lässt sich fast beliebig mit Marktführern im Internet verlängern, sind jedenfalls nicht mehr ohne weiteres zulässig.

IV. Mein US-Anbieter sitzt aber in Irland – jetzt kann ich doch, oder?

Ja, das ist zumindest grundsätzlich ein guter Einwand. Viele US-Internet-Konzerne haben Ihre irischen Tochtergesellschaften nicht nur für die Steuern gegründet (von Apple grade mit Erfolg verteidigt), sondern auch zum Datenverarbeiter in der EU bestimmt. Theoretisch könnte damit ein Export der Daten vermieden sein. Nun ja, aber wirklich auch nur theoretisch. Im Detail hat der EuGH diesen Fall nicht entschieden. Aber glaubst Du, das Dein US-Anbieter von Internet-Leistungen die Daten wirklich in Irland lässt?

Ok, wir sind uns einig. Ohne weiteres geht das nicht. Aber wir werden gleich bei der Betrachtung der Lösungen noch darauf kommen, wie das vielleicht doch funktionieren kann. Und wieder ist das Ergebnis für Dich erst mal enttäuschend. Selbst wenn Dein US-Anbieter jetzt in Irland sitzt, heißt das nicht ohne weiteres, dass der Datenexport zulässig wäre.

V. Mein Anbieter hat Server in Europa – dann geht es aber doch?

Bei manchen US-Anbietern konnte man bereits vor dem Urteil des EuGH auswählen, dass die Daten auf Servern in der EU verarbeitet werden. Das allein reicht jedoch nicht aus. Sie dürfen dann eben auch tatsächlich nicht in die USA übertragen werden, zugleich muss gesichert sein, dass das US-Unternehmen nicht von dortigen Behörden ohne weiteres gezwungen kann, Daten heraus zu geben. Ob und wie das gewährleistet ist oder werden kann, wird in Zukunft sicher noch zu diskutieren. Aber auch das ist eine Lösung, die nur auf Anbieterseite realisiert werden kann. Dir hilft das konkret im Moment nicht. 

VI. Privacy Shield: Geht jetzt wirklich nichts mehr mit US-Anbietern?

Ja und – wie sollte es im Recht anders sein – nein. Es gibt immer noch Wege, wie Du trotz dem Aus für das EU US Privacy Shield Abkommen einen US Anbieter noch rechtswirksam verwenden darfst. Dafür müssen wir den Fokus ein wenig aufziehen. Denn eine Anerkennung zum gleichwertigen Datenschutz durch die EU-Kommission ist nur ein Weg, wie ein Datenexport aus der EU heraus zulässig sein kann. Es ist zwar der (bei weitem) einfachste, aber nicht der einzige Weg für einen zulässigen Datenexport. Es gibt noch zwei weitere Lösungen: Du kannst personenbezogen in die USA exportieren,wenn:

1. Du von dem Betroffenen eine Einwilligung in die Weitergabe einholst (unter vorheriger Aufklärung über das unzulängliche Schutzniveau),

2. Du mit dem Anbieter die Standardvertragsklauseln vereinbart hast.

1. Super, ich nehme die Einwilligung und alles ist gut?

Du kannst die Daten Deiner Nutzer und Kunden in die USA exportieren, wenn Du Deinen Nutzer in den Datenexport in die USA einwilligen lässt. Die Einwilligung sichert Deinen rechtssicheren Datenexport auch für die Zukunft ab. Hier bist Du unabhängig davon, was der EuGH, die Kommission oder Trump entscheiden. Aber klar, Du hast Recht, wenn Du jetzt fragst: Wie soll ich denn zu jedem Datenexport vorher eine Einwilligung des Betroffenen einholen? Manchmal ginge das tatsächlich, vor allem etwa für Deinen Newsletter Anbieter. Da das Double-Opt-In ohnehin eine Einwilligung erfordert, kannst Du die Einwilligung zum Datenexport in die USA ohne weiteres gleich mit einholen. Natürlich hat die Einwilligung aber den Nachteil, dass für sie mehr Text und sogar eine Warnung vor dem Datenexport erforderlich ist. Das kann durchaus zu Lasten der Conversion gehen. Von wirklichem Nutzen ist die Einwilligung daher nicht. Für alle anderen Datenverarbeitungen kannst Du sie vorher nur schwer einholen, zudem müsstest Du sie jetzt erst mal von allen Kontakten nachträglich einholen, damit Du weiter machen darfst mit Deinem US-Anbieter.

2. Was sind denn Standardvertragsklauseln?

Daneben kann auch durch einen Vertrag der Export Deiner Daten in die USA erlaubt werden. Dieser Vertrag muss die Standardvertragsklauseln beinhalten. Sie gehen zurück auf einen Beschluss der EU-Kommission (ABl. L39/5 v. 12.02.2010). Danach kannst Du mit Deinem Anbieter in den USA einen Vertrag nach den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abschliessen. Der Text findet sich in dem verlinkten Beschluss und darf nicht wesentlich verändert worden.

Der Vertrag muss ausgedruckt und an den Anbieter gesendet werden, der ihn dann unterzeichnet zurück sendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Inzwischen ist zudem klargestellt, dass die Standardvertragsklauseln auch elektronisch, also in einer dauerhaft speicherbaren Form abgeschlossen werden können. Manche Anbieter bieten die Standardvertragsklauseln sogar auch jetzt noch an. Suche nach „standard contractual clauses„. Vielleicht hast Du Glück und Dein Anbieter bietet diese bereits jetzt oder kurzfristig an.

Ganz unstrittig sind auch die Standardvertragklauseln jedoch nicht. Grundsätzlich hat der EuGH in der EU US Privacy Shield Entscheidung zwar bestätigt, dass die Standardvertragsklauseln weiterhin zulässig sind. Gleichzeitig hat er jedoch die Datenschutzbehörden aufgefordert, jeweils zu prüfen, ob die Standardvertragsklauseln in dem Zielland überhaupt wirken können. Wenn in dem anderen Land tatsächlich kein gleichwertiges Datenschutzniveau besteht und der Empfänger der Daten (z.B. von US-Behörden) gezwungen werden kann, die Daten ohne besonderen Anlass oder Prüfung herauszugeben, hilft eben auch ein Vertrag nicht weiter. Für die USA ist ein zulässiger Datenexport über die Standardvertragsklauseln daher zumindest mittelfristig ebenfalls fraglich. Derzeit gibt es aber kaum einen anderen Ausweg und immerhin gibt es noch  keine Gerichtsentscheidung, die auch diesen Weg für unwirksam erklärt. Von daher sind die Standardvertragsklauseln auf jeden Fall ein erster (unzureichender) Schritt, um die Abmahn- und Bußgeldgefahr für Dich zu senken. 

3. Privacy Shield, gibt es einen Ausweg mit Standardvertragsklauseln und Irland?

Das ist sicher jetzt noch zu früh, aber es könnte ein möglicher Ausweg sein. Wenn Dein US-Unternehmen einen Datenverarbeiter in Irland hat und dieser dann die Daten an seine Muttergesellschaft auf der Basis der Standardvertragsklauseln weiter gibt, könnte das erlaubt sein (ähnliches liesse sich auch mit Corporate Bindung Rules erreichen). Aber das ist letztlich nur ein Ausweg, den nur Dein US-Anbieter selbst gehen kann, Du kannst den nicht beeinflussen. Wenn man gesehen hat, wie langsam oder auch gar nicht die US-Social-Media Anbieter bisher auf Urteile des EuGH reagiert haben, kann man zweifeln, wie schnell und nachhaltig die US Unternehmen jetzt Lösungen anbieten.

Jedenfalls bin ich gespannt, ob es diesmal eine derartige Abwanderung von Kunden von US-Anbietern gibt, dass diese doch reagieren. Genug Juristen, die Lösungen finden können, haben sie sicher. Vielleicht verlagern sie auch öfter Ihre Server tatsächlich ganz in die EU oder finden sonstige Lösungen. Ich bin gespannt!

VII. Privacy Shield EuGH: Was kann mir denn jetzt passieren?

Die zumindest theoretischen Folgen des Privacy Shield Urteils des EuGH sind erheblich.

1. Kann ich abgemahnt werden?

Du kannst von Deinen Nutzern, Konkurrenten und Abmahnvereinen abgemahnt werden, diese können ggf. sogar auch noch nach Art. 82 DSGVO Schadensersatz verlangen.

2. Kann gegen mich ein Bussgeld verhängt werden?

Weiter kann die Behörde wegen Verstosses gegen die DSGVO ein Bußgeld verhängen. Dazu kommt, dass das DSGVO Bussgeld deutlich teurer geworden ist. 

3. Gibt es denn keine Aufbrauchfrist nach Privacy Shield? 

Rechtlich wirkt das Urteil unmittelbar. Die Entscheidung der Kommission ist ungültig und damit der Datenexport nicht mehr zulässig, wenn nicht eine Einwilligung oder die Standardvertragsklauseln vorliegen. Damit gibt es keine Aufbrauchfrist. Grundsätzlich musst Du jetzt sofort den Datenexport in die USA unterbinden. 

Soweit es die Behörden angeht, werden diese sicher nicht sofort allein wegen Privacy Shield EuGH ein Bußgeld verhängen. Oft wird es erst mal eine Ermahnung und nicht sofort ein Bußgeld geben. Einen wirklichen Anspruch auf Milde hast Du aber nicht. 

VIII. Ok, also schalte ich meine Website jetzt ab?

Nicht  ganz so schnell – aber wenn Du einen wirklich rein juristischen Rat suchst: JA. Nur eine echte Option ist das kaum – erst Recht in Zeiten von Corona, online war noch nie so unverzichtbar wie jetzt. Wenn Du gar nicht warten kannst oder willst, kannst Du Deine Website aber auch ohne US-Anbieter erstellen. Dann hast Du das Problem sofort für Dich gelöst. In VIII. 3. findest Du einige Vorschläge, wie Du z.B. Google Analytics oder Calendly ersetzen kannst, in dem Kommentaren finden sich viele weitere Vorschläge. 

Es ist vor allem die Aufgabe der EU und der USA, jetzt eine neue Regelung zu finden. In Anbetracht der kurz bevorstehenden Wahlen und der Corona Aufgaben lässt sich aber schon jetzt prognostizieren, dass das nicht so einfach sein wird. Nach der Entscheidung zu Safe Harbour gab es eine Übergangszeit von 6 Monaten der Unsicherheit, die könnte diesmal deutlich länger ausfallen.

Und vielleicht sagt sich der eine oder andere Politiker in der EU sogar, dass es politisch gar nicht so verkehrt scheint, wenn europäische Unternehmen gezwungen werden, europäische Unternehmen, die hier tatsächlich Steuern zahlen, zu nutzen. Dann kann ein EU US Abkommen vielleicht noch lange auf sich wartenlassen.

IX. Und was kann ich realistisch unternehmen?

Ok, wenn Du meinen rein anwaltlichen Rat nicht befolgen magst (ich befolge ihn zugegeben selbst nicht, wie Du daran erkennst, dass Du diesen Beitrag auf meiner Website liest), kommen wir zu dem, was Du naheliegend unternehmen kannst:

1. Frage nach Standardvertragsklauseln

Klar, das ist der einfachste Weg. Frage Deinen Anbieter nach den Standardvertragsklauseln. Das wäre die schnellste und einfachste Lösung.

2. Lösche US Anbieter, die Du ohnehin kaum verwendest

Auch für Deine Website gilt, weniger ist mehr. Prüfe noch mal genau, welche Plugins, welche Dienste nutze ich wirklich. Brauche ich die wirklich? Bieten die mir ausreichend Mehrwert? Bei genauer Betrachtung wird die Antwort vielleicht ein Nein sein. Dann ist Löschen eine Lösung. Für Daten, die Du nicht hast, kannst Du weder abgemahnt werden noch ein Bußgeld erhalten.

3. Ersetze US-Anbieter, wo es geht

Für viele IUS Dienste gibt es doch einige Alternativen aus Europa oder einem Land mit anerkanntem Datenschutzstandard (wie die Schweiz, Kanada, Neuseeland). So hat easyRechtssicher einige Deutsche und Schweizer Kooperationspartner, die anzusehen sich lohnt:

So gibt es sicher viele zulässige Anbieter, die Du wählen kannst. Schreibe Deine Vorschläge gern in die Kommentare. Hier haben sich auch schon einige weitere Vorschläge angesammelt. 

Tatsächlich gibt es für Berlin bereits eine Stellungnahme der Datenschutzbehörde, in dem diese genau dazu auffordert. Danach haben Berliner Verantwortliche (also auch Du als Betreiber einer Website) umgehend dafür zu sorgen, dass Daten nicht mehr in die USA übertragen werden. 

4. Bleibe auf dem Laufenden

Für Dich kommt es jetzt vor allem darauf an, dass Du auf dem laufenden bleibst, damit Du mögliche Gefahren erkennst und zeitnah Deine Lösung findest. Abonniere hier rechts auf der Seite gern unseren Info-Service, dann informieren wir Dich über neue Rechtsentwicklungen betreffend Deiner Website.

X. Ergebnis zu Privacy Shield EuGH

Vielleicht ist es etwas früh, Deine Website jetzt sofort abzustellen. Dennoch, das Urteil des EuGH zu Privacy Shield erschüttert das Internet durchaus. Fast sicher darfst Du davon ausgehen, dass mittelfristig eine Lösung gefunden wird. Die spannende Frage ist, wann wird das der Fall sein und wie sieht diese aus. Grade bei privacy shield waren von Dir durchaus einige Handlungen erforderlich, um Deine Leistungen rechtssicher erbringen zu können.

Der beste Rat: Sichere Dir einen Partner, der Dich unterrichtet und dafür sorgt, dass Deine Rechtstexte so automatisch wie möglich so rechtssicher wie möglich sind.




17 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen