Ausreiseverbot für europäische Daten?

Worum geht es?

Im Anwendungsbereich der Europäischen Datenschutz-Grundverordnung dürfen personenbezogene Daten nur dann in Länder außerhalb der Europäischen Union übermittelt werden, wenn diese ein angemessenes Datenschutzniveau vorweisen. Die EU-Kommission kann in einem sog. Angemessenheitsbeschluss positiv feststellen, dass ein bestimmtes Land ein angemessenes Datenschutzniveau hat. Einen solchen Angemessenheitsbeschluss hatte die EU-Kommission bislang für 13 Länder erlassen, z.B. Kanada, Israel, Japan, die Schweiz.

Einer der 13 Angemessenheitsbeschlüsse stach wegen seiner Besonderheit hervor: Der Angemessenheitsbeschluss der EU-Kommission für die USA stellte gerade kein angemessenes Datenschutzniveau in den USA insgesamt fest. Ein angemessenes Schutzniveau sollte nur bei der Datenverarbeitung durch solche US-Unternehmen bestehen, die sich den Regeln des EU-US-Privacy-Shield unterworfen hatten. Die Liste der zertifizierten US-Unternehmen ist öffentlich einsehbar auf der Seite https://www.privacyshield.gov/.

Für die Kooperation deutscher Unternehmen mit zertifizierten US-Unternehmen, bedeutete das EU-US-Privacy-Shield eine massive Erleichterung. Denn ohne Angemessenheitsbeschluss müssen Unternehmen bei Übermittlung personenbezogener Daten außerhalb der EU selbst für ein angemessenes Schutzniveau durch die Verwendung und Durchsetzung sog. Standardvertragsklauseln, die von der EU-Kommission noch unter Geltung der EU-Datenschutzrichtlinie zur Verfügung gestellt werden, sorgen.

Und was sagt der EuGH dazu?

Der EuGH erklärt in seinem Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 (das vorlegende irische Gericht hat über die Verarbeitung von personenbezogenen Daten durch die irische Facebook-Tochter in den USA zu entscheiden) die Angemessenheitsentscheidung der EU-Kommission zum EU-US-Privacy-Shield für ungültig – und das ausdrücklich mit sofortiger Wirkung. Denn das EU-US-Privacy-Shield biete keinen hinreichenden Schutz der EU-Bürger vor der Überwachung durch US-Behörden.

Gegen die Standardvertragsklauseln der EU-Kommission hat der EuGH dagegen ausdrücklich nichts einzuwenden. Diese können jedoch ihre Wirkung nur dann entfalten, wenn das datenempfangende Drittunternehmen die Vorgaben der Standardvertragsklauseln auch tatsächlich einhalten kann.

Alles easy dank Standardvertragsklauseln?

Leider nein. Dieselben Gegebenheiten des US-Rechts, gegen die nach dem EuGH-Urteil auch das EU-US-Privacy-Shield keinen hinreichenden Schutz bieten konnte, lassen es zweifelhaft erscheinen, ob US-Unternehmen ohne Weiteres den Verpflichtungen der Standardvertragsklauseln wirklich effektiv nachkommen können. Organisatorische und/oder technische Lösungen – z.B. eine starke Pseudonymisierung vor der Übermittlung personenbezogener Daten, die durch das US-Unternehmen nicht auflösbar ist – sind zwar denkbar, deren Implementierung bedeutet aber zusätzlichen Aufwand und kann je nach Geschäftsmodell kompliziert sein.

Und jetzt keine Daten mehr in die USA?

Wohl eher nicht. Was rechtlich sicherlich die einfachste Lösung wäre, scheint faktisch ausgeschlossen. Auch wenn in Zeiten der Corona-Pandemie kaum noch Europäer in die USA einreisen (können), überqueren unsere Daten den Atlantik täglich mit Leichtigkeit. Die meisten nutzen nicht nur Facebook, sondern auch Twitter, iPhones, Google und so weiter. Auch wenn wir bleiben, reisen unsere Daten dabei in aller Regel in die USA.

Und auch europäische Unternehmen kommen, wenn sie in großem Umfang Daten verarbeiten, an US-Unternehmen – sei es die IBM Cloud, die Server der Amazon Web Services, oder die Microsoft Cloud – kaum vorbei.

Teilweise bieten US-Unternehmen an, sicherzustellen, dass personenbezogene Daten nur auf Servern mit Standort in der EU verarbeitet werden. Ob dies langfristig den EuGH bzw. die Datenschutzbehörden der europäischen Staaten zufriedenstellen kann, ist jedoch fraglich. Denn der potentielle Hunger von US-Behörden auf von US-Unternehmen verarbeiteten personenbezogenen Daten ist seit dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ausdrücklich nicht mehr auf US-Staatsgebiet beschränkt.

Und jetzt?

Die ersten Pressemitteilungen deutscher Datenschutzbehörden (etwa Hamburg, Rheinland-Pfalz, Thüringen und der Bundesbeauftragte für Datenschutz und Informationssicherheit) lassen erkennen, dass diese zunächst die Abstimmung auf nationaler und europäischer Ebene suchen, um ein einheitliches Vorgehen zu gewährleisten. Falls die Unternehmen, die bisher noch auf Grundlage des EU-US-Privacy-Shield Daten von EU-Bürgern in den USA verarbeiten (lassen), hierdurch etwas Zeit gewinnen, sollte diese gut genutzt werden! Denn die Antwort, ob und wie ein angemessenes Datenschutzniveau auch in den USA gewährleistet werden kann, müssen am Ende die Unternehmen, die Daten von EU-Bürger in den USA verarbeitet (lassen), liefern.