POST /webmaster/api.svc/json/SubmitUrlbatch?​apikey=3f0542962610491785b89d4d9859542e HTTP/1.1 Content-Type: application/json; charset=utf-8​ Host: ssl.bing.com​ { "siteUrl":"https://bkprotect.de", "urlList":[ "https://www.bkprotect.de/newsletter", "https://www.bkprotect.de/referenzen", "https://www.bkprotect.de/über-mich", "https://www.bkprotect.de/neuigkeiten", "https://www.bkprotect.de/dsgvo", "https://www.bkprotect.de/kontakt", "https://www.bkprotect.de/bdsg-neu", "https://www.bkprotect.de/datenschutz", "https://www.bkprotect.de/angebot", "https://www.bkprotect.de/ext-dsb", "https://www.bkprotect.de/blog", "https://www.bkprotect.de/beratung", "https://www.bkprotect.de/audit", "https://www.bkprotect.de/impressum", "https://www.bkprotect.de/schulung", "https://www.bkprotect.de/datenschutz-themen", "https://www.bkprotect.de/erwägungsgründe", "https://www.bkprotect.de/förderung", "https://www.bkprotect.de/", "https://www.bkprotect.de/book-online", "https://www.bkprotect.de/proliance-partner", "https://www.bkprotect.de/datenschutzerklärung" ] }
 

EuGH: Datenexport in die USA unzulässig – damit ist nahezu jede Website rechtswidrig!

Aktualisiert: 21. Juli 2020

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht

Der EuGH schaltet das Internet ab – nach dem heutigen Urteil zu Privacy Shield des EuGH darf keine Website, kein Unternehmen mehr US Anbieter verwenden, wenn dabei personenbezogene Daten verarbeitet werden. Das kommt der (juristischen) Abschaltung des Internets gleich, da es kaum eine Website, kaum einen Dienst gibt, bei dem nicht auch wenigstens teilweise Daten auch in die USA übertragen werden. Was ist jetzt zu tun? Hier findest Du die Antworten auf Deine Fragen!

Inhalt:

  1. I. Darf ich denn US-Anbieter verwenden?

  2. II. Na toll, eigentlich, also darf ich vielleicht doch US Anbieter nutzen?

  3. III. Und was heißt das jetzt?

  4. IV. Mein US-Anbieter sitzt aber in Irland – jetzt kann ich doch, oder?

  5. V. Privacy Shield: Geht jetzt wirklich nichts mehr mit US-Anbietern?

  6. VI. Privacy Shield EuGH: Was kann mir denn jetzt passieren?

  7. VII. Ok, also schalte ich meine Website jetzt ab?

  8. VIII. Und was kann ich realistisch unternehmen?

  9. IX. Ergebnis zu Privacy Shield EuGH

Die Export von personenbezogenen Daten aus der EU heraus ist in der EU nur erlaubt, wenn der Datenschutz in dem Drittland dem nach der DSGVO gleichwertig ist. Das ist etwa für die Schweiz, Kanada oder Neuseeland festgestellt. Fast unlösbar scheint aber die Frage zu sein:

I. Darf ich denn US-Anbieter verwenden?

In den USA hat Datenschutz nicht den Stellenwert wie in Europa. Der Schutz von Daten ist nach hiesigen Maßstäben unzureichend, wie nicht zuletzt durch Edward Snowden offenbar geworden ist. US-Behörden, insbesondere Geheimdienste, können die personenbezogenen Daten von US-Anbietern heraus verlangen, Rechtsmittel dagegen sind nicht möglich. Es werden ggf. umfangreiche Profile angefertigt. Damit ist die entscheidende Voraussetzung für einen Datenexport in die USA, gleichwertiger Datenschutz, nicht gegeben. Also ist die Antwort: Nein, eigentlich nicht.

II. Na toll, eigentlich, also darf ich vielleicht doch US Anbieter nutzen?

Genau, vielleicht, das ist die Antwort. Genauer gesagt: sogar 2 mal vielleicht! Denn natürlich gibt es ein überragendes Interesse fast aller Internet-Nutzer, US Anbieter zu verwenden. Das Herz des Internets steht nach wie vor in den USA. Die großen Digitalkonzerne Google, Amazon und Facebook sowie viele andere Anbieter stammen aus Nordamerika. Oft hat man fast einen faktischen Zwang, einen US-Anbieter zu verwenden – man denke nur an Online Shopping mit Amazon oder Internet-Suche mit Google. Deshalb hat die EU-Kommission bereits zwei mal versucht, eine Lösung zu finden – ist aber jetzt zum zweiten Mal an dem EuGH gescheitert. 1. Vielleicht: Safe Harbour

Also, der Export außerhalb der EU ist nur zulässig, wenn die EU-Kommission den Datenschutz eines Drittstaates als gleichwertig anerkennt. Um dies zu ermöglichen, erließ die Kommission im Jahr 2000 zunächst die Safe Harbour Entscheidung wonach ein gleichwertiger Schutz gegeben sein sollte. Hiergegen klagte der österreichische Datenschutzaktivist Maximillian Schrems und bekam 2015 von dem EuGH recht. Da gab es das erste mal die Konsequenz, das praktisch alle EU-Websites rechtswidrig waren – aus vielleicht war nein geworden.

2. Vielleicht: EU US Privacy Shield

Also musste schnell eine neue Basis her und sie musste besser sein als Safe Harbour. Dazu versuchte sich die EU an einem zweiseitigen Datenschutzabkommen mit den USA. So richtig tiefes Verständnis für europäische Datenschutzsorgen vermochte die EU Kommission jedoch nicht zu finden, schon gar nicht wirkliche Bereitschaft, US-Datenschutzgesetze zu verbessern (auf Ebene der Bundesstaaten ist das aber inzwischen der Fall, wie der neue California Consumer Privacy Act nach Vorbild der DSGVO beweist).

Daher kam ein echtes Abkommen nicht zustande. Es gab statt dessen eine Art Briefwechsel zwischen der EU und verschiedenen US-Institutionen, in denen diese einige Absichtserklärungen zum Datenschutz abgaben. Zudem wurden mit privacyshield.gov eine Institution und ein Ombudsmann in den USA geschaffen, die dafür sorgen sollten, dass in den USA der Datenschutz sich mirakulös verbessert. Wer jemals diese Aneinanderreihung von Absichtserklärungen gesehen hat, hatte sicher von Anfang an Zweifel, das das wirklich wirksam ist. Von daher wurde bei easyRechtssicher von Anfang an empfohlen, wo immer möglich, mit Alternativen zu arbeiten.

3. Und was ist real (passiert)?

Heute kam es, wie es kommen musste. Ein kleiner Österreicherwollte es erneut nicht glauben und klagte erneut – diesmal gegen Privacy Shield. Und Du ahnst es schon: Wieder rang David den Goliath nieder. Mit Urteil vom heutigen Tage hat der EuGH auch privacy shield für rechtswidrig und damit unwirksam erklärt. Ganz überraschend befand das Gericht, dass ein paar Briefe keinen Datenschutz ersetzen – ok, so ganz überraschend war es nicht, das haben einige prophezeit, auch ich in unserem  Blogbeitrag zum internationalen Recht.

Hier findest Du jedenfalls die Presseerklärung des EuGH zu dem Urteil vom 16.07.2020: https://twitter.com/EUCourtPress/status/1283668810374021121

III. Und was heißt das jetzt?

Genau bedeutet das juristisch, es gibt keine Entscheidung der Kommission mehr, die anerkennt, dass der Datenschutz in den USA mit dem in Europa gleichwertig ist. Damit darfst auch Du (ohne weitere Voraussetzungen) keine personenbezogenen Daten von EU-Bürgern mehr in die USA exportieren! Das heißt, praktisch jeder US-Dienstin Deinem Business ist nicht mehr zulässig. Google Analytics, Facebook, Instagram, Twitter, LinkedIn, Zoom, MS Office, MS Teams, Mailchimp, Active Campaign, Calendly, YouTube, Vimeo, Google Maps, Amazon Webservices, die Liste lässt sich fast beliebig mit Marktführern im Internet verlängern, sind jedenfalls nicht mehr ohne weiteres zulässig.

IV. Mein US-Anbieter sitzt aber in Irland – jetzt kann ich doch, oder?

Ja, das ist zumindest grundsätzlich ein guter Einwand. Viele US-Internet-Konzerne haben Ihre irischen Tochtergesellschaften nicht nur für die Steuern gegründet (von Apple grade mit Erfolg verteidigt), sondern auch zum Datenverarbeiter in der EU bestimmt. Theoretisch könnte damit ein Export der Daten vermieden sein. Nun ja, aber wirklich auch nur theoretisch. Im Detail hat der EuGH diesen Fall nicht entschieden. Aber glaubst Du, das Dein US-Anbieter von Internet-Leistungen die Daten wirklich in Irland lässt?

Ok, wir sind uns einig. Ohne weiteres geht das nicht. Aber wir werden gleich bei der Betrachtung der Lösungen noch darauf kommen, wie das vielleicht doch funktionieren kann. Und wieder ist das Ergebnis für Dich erst mal enttäuschend. Selbst wenn Dein US-Anbieter jetzt in Irland sitzt, heißt das nicht ohne weiteres, dass der Datenexport zulässig wäre.

V. Mein Anbieter hat Server in Europa – dann geht es aber doch?

Bei manchen US-Anbietern konnte man bereits vor dem Urteil des EuGH auswählen, dass die Daten auf Servern in der EU verarbeitet werden. Das allein reicht jedoch nicht aus. Sie dürfen dann eben auch tatsächlich nicht in die USA übertragen werden, zugleich muss gesichert sein, dass das US-Unternehmen nicht von dortigen Behörden ohne weiteres gezwungen kann, Daten heraus zu geben. Ob und wie das gewährleistet ist oder werden kann, wird in Zukunft sicher noch zu diskutieren. Aber auch das ist eine Lösung, die nur auf Anbieterseite realisiert werden kann. Dir hilft das konkret im Moment nicht. 

VI. Privacy Shield: Geht jetzt wirklich nichts mehr mit US-Anbietern?

Ja und – wie sollte es im Recht anders sein – nein. Es gibt immer noch Wege, wie Du trotz dem Aus für das EU US Privacy Shield Abkommen einen US Anbieter noch rechtswirksam verwenden darfst. Dafür müssen wir den Fokus ein wenig aufziehen. Denn eine Anerkennung zum gleichwertigen Datenschutz durch die EU-Kommission ist nur ein Weg, wie ein Datenexport aus der EU heraus zulässig sein kann. Es ist zwar der (bei weitem) einfachste, aber nicht der einzige Weg für einen zulässigen Datenexport. Es gibt noch zwei weitere Lösungen: Du kannst personenbezogen in die USA exportieren,wenn:

1. Du von dem Betroffenen eine Einwilligung in die Weitergabe einholst (unter vorheriger Aufklärung über das unzulängliche Schutzniveau),

2. Du mit dem Anbieter die Standardvertragsklauseln vereinbart hast.

1. Super, ich nehme die Einwilligung und alles ist gut?

Du kannst die Daten Deiner Nutzer und Kunden in die USA exportieren, wenn Du Deinen Nutzer in den Datenexport in die USA einwilligen lässt. Die Einwilligung sichert Deinen rechtssicheren Datenexport auch für die Zukunft ab. Hier bist Du unabhängig davon, was der EuGH, die Kommission oder Trump entscheiden. Aber klar, Du hast Recht, wenn Du jetzt fragst: Wie soll ich denn zu jedem Datenexport vorher eine Einwilligung des Betroffenen einholen? Manchmal ginge das tatsächlich, vor allem etwa für Deinen Newsletter Anbieter. Da das Double-Opt-In ohnehin eine Einwilligung erfordert, kannst Du die Einwilligung zum Datenexport in die USA ohne weiteres gleich mit einholen. Natürlich hat die Einwilligung aber den Nachteil, dass für sie mehr Text und sogar eine Warnung vor dem Datenexport erforderlich ist. Das kann durchaus zu Lasten der Conversion gehen. Von wirklichem Nutzen ist die Einwilligung daher nicht. Für alle anderen Datenverarbeitungen kannst Du sie vorher nur schwer einholen, zudem müsstest Du sie jetzt erst mal von allen Kontakten nachträglich einholen, damit Du weiter machen darfst mit Deinem US-Anbieter.

2. Was sind denn Standardvertragsklauseln?

Daneben kann auch durch einen Vertrag der Export Deiner Daten in die USA erlaubt werden. Dieser Vertrag muss die Standardvertragsklauseln beinhalten. Sie gehen zurück auf einen Beschluss der EU-Kommission (ABl. L39/5 v. 12.02.2010). Danach kannst Du mit Deinem Anbieter in den USA einen Vertrag nach den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abschliessen. Der Text findet sich in dem verlinkten Beschluss und darf nicht wesentlich verändert worden.

Der Vertrag muss ausgedruckt und an den Anbieter gesendet werden, der ihn dann unterzeichnet zurück sendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Inzwischen ist zudem klargestellt, dass die Standardvertragsklauseln auch elektronisch, also in einer dau