Update 22.02.2021: Die Landesdatenschutzbehörden kündigen Kontrollen an

Grob ein Jahr ist es her, dass das Privacy Shield-Abkommen vom EUGH kassiert wurde. Im heutigen Newsletter der Kanzlei Heuking Kühn Lüer Wojtek schreibt der Fachmann RA Kempermann, dass nun mit Kontrollen zu rechnen sei. Und das, obwohl noch nicht alle Standardvertragsklauseln abgesegnet worden sind.

Auszug aus dem Newsletter:

“Das Privacy-Shield-Abkommen zwischen den USA und der EU ist unwirksam, aber auch die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) können nicht mehr ohne Weiteres genutzt werden, um die Übermittlung personenbezogener Daten ins Ausland rechtlich abzusichern. Die EU-Kommission hat zwar neue SCCs erarbeitet, allerdings sind diese noch nicht endgültig verabschiedet. Zudem wurde bereits Kritik am Entwurf der EU-Kommission geäußert (siehe Update Datenschutz Nr. 87). Die Verabschiedung der neuen SCCs wird für Ende des 1., Anfang des 2. Quartals 2021 erwartet.”

Weiter führt der Experte aus: “Datenschutzbehörden beginnen Kontrolle

Die deutschen Datenschutzbehörden haben nun angekündigt, die Umsetzung der Vorgaben des EuGH-Urteils zu kontrollieren. Laut Protokoll der letzten DSK-Sitzung und aktuellen Presseberichten wurde von einer Taskforce unter Leitung der Aufsichtsbehörden aus Hamburg und Berlin ein Fragebogen erarbeitet, der ausgewählten Unternehmen in ganz Deutschland übersandt werden soll. Darin wird gezielt abfragt, welche zusätzlichen Maßnahmen von den Verantwortlichen ergriffen wurden, um internationale Datentransfers entsprechend der neuen Vorgaben des EuGH abzusichern.”

Die Handlungsempfehlungen und weitere Infos findet Ihr/finden Sie in dem Newsletter von

Update: 30.01.2021

Die Kanzlei Heuking Kühn Lüer Wojtek PartGmbB hat in Ihrem jüngsten Newsletter noch einmal alles Wichtige zusammengefasst. Hier ist der Link zum Newsletter.

Update: 03.12.2020

Doch keine Sicherheit bei der Nutzung einer US-Cloud? Mit dem jüngsten Newsletter vom 23.11.2020 stellt die Kanzlei Heuking Kühn Lüer Wojtek klar, was zu tun ist: Wie sind Standardvertragsklauseln zu handhaben?

Zitat: “Ob die neuen SCC in der Praxis tatsächlich die endgültige Lösung für eine rechtmäßige Datenübermittlung in Drittländer darstellen, bleibt jedoch – insbesondere vor dem Hintergrund der Schrems II Entscheidung des EuGH sowie den Empfehlungen des EDSA – fraglich”

Mehr lesen Sie dann im Newsletterbeitrag.

EuGH kippte das Privacy Shield-Abkommen

In dem Newsletter Update Datenschutz Nr. 71 vom 09.01.2020 weist Rechtsanwalt Dr. Hans Markus Wulf von Heuking Kühn Lüer Wojtek auf eine Stellungnahme des EU-Generalanwalts im EuGH-Verfahren zur Datenübermittlung von Facebook Irland an Facebook USA („Schrems II“) hin. Konkret geht es dabei um die Frage, ob EU-Unternehmen Cloud-Angebote von US-Unternehmen in Anspruch nehmen können (Rechtssache C-311/18). Nun ist die positive Einschätzung von Ende 2019/Anfang 2020 verfrüht gewesen. Der EuGH hat das Privacy Shield Abkommen gekippt. Fazit: Doch keine Sicherheit bei der Nutzung einer US-Cloud.

Das wichtigste zuerst:

“Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit”, erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Wer bislang allein auf Basis des “Privacy Shields” Daten verarbeitet habe, muss zumindest auf die Standardvertragsklauseln umstellen – “andernfalls droht ein Daten-Chaos” Quelle: CIO.de bzw. Bitkom

Das EuGH hat die verhandelte Privacy Shield-Grundlage für ungültig erklärt.

Im aktuellen Fall hatte Max Schrems bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. In Irland ist der Europasitz des US-Konzerns. Schrems begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie NSA und FBI die Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen können.

Die Süddeutsche Zeitung schreibt hierzu:

“Nun ist unklar, wie Daten von EU-Bürgern beim Transfer in die USA geschützt werden sollen. Es ist die zweite Vereinbarung zum transatlantischen Datenschutz, die das Gericht für ungültig erklärt.”

“Damit ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal. Das dürfte drastische Auswirkungen auf viele Unternehmen in der EU haben, die auf den “Privacy Shield” vertraut haben.”

Doch keine Sicherheit bei der Nutzung einer US-Cloud? Einigen Datenschützern war sowohl das Safe Harbour als auch das Privacy Shield ein Dorn im Auge.

Max Schrems und andere Datenschutzaktivisten (komisches Wort) haben umgehend das nächste Verfahren vor dem EUGH gegen Privacy Shield angestrengt. Und Recht bekommen.

Max Schrems wird hier von der SZ.de zitiert: “Die USA sagten zu, Daten von EU-Bürgern angemessen zu schützen. Max Schrems und andere Aktivisten argumentieren, dass die USA dazu aber gar nicht fähig sind – weil ihre Gesetze Geheimdienste und andere Behörden ermächtigen, auf die Daten europäischer Kunden von US-Konzernen zuzugreifen. Auch die verbesserten Kontrollen, die die USA nach den Enthüllungen des Whistleblowers Edward Snowden über die Schnüffeleien der Geheimdienste eingeführt haben, reichen den Kritikern nicht.”

Fazit: Doch keine Sicherheit bei der Nutzung einer US-Cloud.

Was bedeutet das nun für die Unternehmen, die Ihre Daten auf dieser Basis bei amerikanischen Cloud-Anbietern speichern?

Die IAPP, eine weltweite Vereinigung von Datenschützern, erklärte: Die Entscheidung werde zehntausende US-Unternehmen um die legale Möglichkeit bringen, transatlantische Geschäfte im Wert von Billionen von Dollar zu machen.

Übertragen Unternehmen nun weiter unter den “Privacy Shield”-Regeln Daten, könnte es Bußgelder nach der Datenschutz-Grundverordnung hageln. Alexander Rabe vom Internet-Industrieverband Eco hatte vor dem Urteil gewarnt, ohne den Schild gebe es praktisch keine Alternativen, Daten legal aus der EU in die USA zu übertragen. Sollte die Übereinkunft gekippt werden, wäre das “fatal”. US-Konzerne hatten nach “Safe Harbor” begonnen, Nutzerdaten in der EU zu speichern, um das Problem zu umgehen.

Sind nur Kunden von Unternehmen wie Facebook und Microsoft betroffen?, fragt das Online-Magazin cio.de

“Nein, die Entscheidung des EuGH betrifft ganz grundsätzlich die Datenübertragung ins Ausland. Häufig werden Daten auch in den USA gespeichert, selbst wenn man es mit Unternehmen aus Europa zu tun hat. Diese greifen nämlich häufig auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück. In der Regel agieren die großen US-Anbieter nicht allgemein unter dem Dach des “Privacy Shields”, sondern haben Verträge abgeschlossen.”

Die Kanzlei Heuking Kühn Lüer Wojtek schreibt in Ihrem  Newsletter vom 16.07.2020:

“Der EuGH hat heute (16. Juli 2020) sein lang erwartetes Urteil zur Gültigkeit der Standardvertragsklauseln bei internationalen Datentransfers gefällt (EuGH, Urteil vom 16. Juli 2020, Az.: C-311/18). Überraschend erklärte der Gerichtshof den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield – das Abkommen, das Datentransfers an bestimmte Unternehmen in den USA ermöglicht – für ungültig. Die Gültigkeit der Standardvertragsklauseln hat er hingegen bestätigt. Den da der EuGH gleichzeitig die Notwendigkeit der Prüfung des Datenschutzniveaus durch die beteiligten Unternehmen auch bei den Standardvertragsklauseln hervorhebt, ist das Urteil von grundsätzlicher Bedeutung – und auf die Unternehmen kommt Arbeit zu.”

“Im Gegensatz zum Privacy Shield-Abkommen betrifft die Gültigkeit der Standardvertragsklauseln nicht nur Datenübermittlungen in die USA, sondern in alle Länder der Welt. Daher ist die heutige Entscheidung des EuGH für internationale Datentransfers von großer Bedeutung.”

“Nach Auffassung des Gerichts bestehe kein angemessenes Schutzniveau in den USA,

da zum einen die Zugriffsmöglichkeiten der US-Behörden zu umfassend seien und zum anderen für die Betroffenen kein effektiver Rechtsschutz gegen Zugriffe bestehe. Das Verfahren vor einem Ombudsmann, das der Privacy Shield dafür vorsah, genüge den Anforderungen nicht.”

“Nach dieser Entscheidung können alle Unternehmen, die die Standardvertragsklauseln der EU-Kommission nutzen,

zunächst aufatmen. … Allerdings gilt es, sofern kein Angemessenheitsbeschluss der EU-Kommission für das Land des Vertragspartners vorliegt, die dortige rechtliche Lage im Blick zu behalten. Sofern der Vertragspartner die Einhaltung der Regelungen der Standardvertragsklauseln aufgrund von anderslautenden nationalen Regelungen oder behördlichen Maßnahmen nicht mehr garantieren kann, muss die Übermittlung auf eine andere Rechtsgrundlage gestützt oder eingestellt werden.”

“Speziell im Hinblick auf Übermittlungen in die USA muss sehr sorgfältig geprüft werden, ob der Vertragspartner dies gewährleisten kann. … Hier werden die Unternehmen intensiv das Gespräch mit ihren Vertragspartnern in den USA suchen müssen.” …

“Davon abgesehen müssen Datentransfers an US-Unternehmen, die bisher auf den Privacy Shield gestützt wurden, umgehend eingestellt oder auf eine andere Rechtsgrundlage gestellt werden.

Der Angemessenheitsbeschluss bezüglich des Abkommens ist mit dem heutigen Tage ungültig, sodass darauf gestützte Datenübermittlungen nicht mehr rechtskonform sind. Außerdem müssen Unternehmen prüfen, ob sie mit ihren Auftragsverarbeitern die Einhaltung von Privacy Shield vereinbart haben. Dann müssen sie jetzt Änderungen an der Vereinbarung über die Auftragsverarbeitung vornehmen.”

Mehr zum Thema Datenschutz bietet die Kanzlei auf Ihrer Microsite

Doch keine Sicherheit bei der Nutzung einer US-Cloud – Markus Beckedahl von Netzpolitik.org freut sich darüber.

“Max Schrems hat es wieder getan. Nachdem eine seiner Klagen bereits vor fünf Jahren dazu führte, dass der US-EU-Datentransfer-Beschluss Safe Harbour vom Europäischen Gerichtshof für ungültig erklärt wurde, hat eine erneute Initiative von ihm das Nachfolgeabkommen ebenfalls abgeschossen.” …

“Jahrelang hoffte die EU-Kommission, dass sie damit irgendwie durchkommt und sich Klagen lange hinziehen. Dieses Hoffen ist jetzt vorbei.” …

“Jetzt können wir erst mal feiern, dass das etwas aus den Augen geratene System der Massenüberwachung wieder zumindest für einen Moment in das öffentliche Bewusstsein gerückt ist. Danke, Max Schrems, für die Hartnäckigkeit und danke an unsere Grundrechte, die zu dem EuGH-Urteil geführt haben.”

Der Kommentar von ARD-Rechtsexperte Frank Bräutigam ist folgender:

Bis zum 15.07.2020 galten noch nachfolgende Aussagen, aber die sind nun nichtig.

Was war damals die Frage?

Das oberste Zivil- und Strafgericht in Irland hatte 2018 dem EuGH die Frage vorgelegt, ob auf Grundlage der bestehenden EU-Standardvertragsklauseln (Art. 46 DSGVO) ein Datentransfer von Facebook Irland auf Server von Facebook Inc. in den USA erfolgen dürfe.

„Es war erwartet worden, dass sich der EuGH zu den EU-Standardvertragsklauseln negativ äußern würde, denn diese stammen teilweise bereits aus dem Jahre 2001 und sind daher fast so alt wie das durch den EuGH in 2015 für ungültig erklärte Safe-Harbor-Abkommen, welches damals ebenfalls als Rechtsgrundlage für den US-Datentransfer herangezogen wurde.“

Dazu die Antwort des Generalanwalts

„Überraschender Weise kam EU-Generalanwalt Henrik Saugmandsgaard Øe im vorliegenden Fall jedoch in seiner Stellungnahme zu dem Ergebnis, dass keine Bedenken an der Gültigkeit der EU-Standardvertragsklauseln gesehen werden. Zwar gäbe es Bedenken an der wirksamen Durchführung des weiterhin als Rechtsgrundlage für die Datenübermittlung verwendeten EU-US-Privacy-Shield. Diesbezüglich seien allerdings die zuständigen Aufsichtsbehörden selbst in der Lage, im Einzelfall ein Verbot auszusprechen, wenn Anhaltspunkte für eine Verletzung der DSGVO vorliegen würden.“

Was heißt das nun?

Dr. Hans Markus Wulf: „Die Aussichten für Unternehmen, die Cloud-Dienste von US-Providern wie Amazon, Microsoft, Google oder Facebook in Anspruch nehmen oder zukünftig nutzen wollen, haben sich durch die vorliegende Stellungnahme deutlich aufgehellt. Wenn der EuGH der Empfehlung des EU-Generalanwalts im Frühjahr 2020 mit seinem Urteil folgt, dann ist der US-Datentransfer (..) weiterhin auf Grundlage des Privacy-Shield und/oder der EU-Standardvertragsklauseln zulässig.

Gleichzeitig sollte jedoch sehr genau beobachtet werden, wie die Irische Aufsichtsbehörde auf die Stellungnahme reagiert, denn diese wurde hierin mittelbar aufgefordert, bei der Datenübermittlung auf US-Server im Einzelfall noch genauer hinzuschauen. Zudem ist es möglich, dass auch deutsche Aufsichtsbehörden ihre Praxis ändern und zukünftig den Einsatz von Standardvertragsklauseln nicht mehr pauschal akzeptieren, sondern vielmehr in jedem Einzelfall auf Angemessenheit überprüfen werden. Es ist daher anzuraten, die eigene Verwendung der Standardvertragsklauseln auf den Prüfstand zu stellen, um dieser Problematik frühzeitig zu begegnen.“

Lesen Sie hier den kompletten Artikel  

Weitere Infos der Kanzlei Heuking Kühn Lüer Wojtek zum Thema Datenschutz können Sie unter diesem Link abrufen bzw. erhalten.

Bild: pixabay

Auch interessant: Alles zum Thema Cloud in unserem CRM-Tech.world Flipboardmagazin

Weitere Leseempfehlungen sind: Cloud Act oder “Sind Sie sicher, dass sie über alle Datennutzungen Bescheid wissen?“