Boom! Das „Privacy Shield“ ist tot & wenig Alternativen für Drittlandsverarbeitungen

Erwartungsgemäß bzw. wie befürchtet hat der EuGH gestern in seinem „Schrems II“-Urteil (EuGH, Urteil vom 16.07.2020, Az.: C-311/18) den Beschluss der EU-Kommission zum „Privacy Shield“ als Grundlage für eine Datenverarbeitung in den USA für unwirksam erklärt. In diesem Beitrag soll es weniger um das Urteil an sich, sondern um die praktischen Folgen und vorläufige Alternativen gehen.

Das Urteil

Das Urteil selbst ist mit seinen 48 Seiten keine leichte Lektüre. Vielen wird daher die Pressemitteilung des EuGH als erster Einblick etwas angenehmer sein. Wer eine erste datenschutzrechtliche Einschätzung haben möchte, kann hier, hier oder natürlich bei einer der Stellungnahmen der Aufsichtsbehörden weitere Hinweise.

Klar ist nach dem Urteil hingegen vieles nicht. Was klar ist, ist, dass eine Übermittlung von Daten in die USA auf Basis des Privacy Shields allein ab sofort rechtswidrig ist. Nur: Was sind die Alternativen?

Die große Lösung wäre, dass die USA endlich die Überwachungsvorschriften, die den EuGH dazu bewegt haben, das „Privacy Shield“ zu kippen, rechtsstaatlich besser flankieren, sodass den Betroffenen u.a. auch mehr Rechtsschutzmöglichkeiten zustehen. Das wird allerdings sehr sicher nicht in naher Zukunft passieren.

Übrigens: Ich halte die Überwachungsvorschriften in den USA auch für bedenklich. Nur halte ich die Haltung, dass die EU hier eine grüne, harmonische Wiese wäre, in der es keine staatliche Überwachung von personenbezogenen Daten gebe, die nicht zu kritisieren sei, doch für etwas schwierig. Ein Blick in den einen oder anderen Mitgliedsstaat und z.B. seine nationalen Anti-Terror-Regelungen reicht aus, um hier in gleicher Weise Bedenken zu äußern. Moralisch ist dieser „Vorwurf“ der EU gegenüber den USA also durchaus diskutierbar. Aber hier geht es nicht um Moral. Die ist dem Datenschutzrecht ja häufig mal fremd – in den Augen einiger.

EU-Standardvertragsklauseln als Alternative?

Viele könnten, da der EuGH in seinem Urteil die sog. EU-Standardvertragsklauseln als weiterhin grundsätzlich wirksam bestätigt hat, nun sofort auf die EU-Standardvertragsklauseln als Basis für die Sicherstellung des für eine Datenverarbeitung außerhalb der EU erforderliches angemessenes Schutzniveau greifen.

Nur ist die Hürde da doch recht hoch. Denn auch wenn die EU-Standardvertragsklauseln an sich wirksam bleiben, ist nach den Anforderungen des EuGH eine Einzelfallprüfung erforderlich. Ich muss als Unternehmen also in jedem Fall schauen, ob in diesem Fall der konkreten Datenverarbeitung durch z.B. einen US-Dienstleister ein angemessenes Schutzniveau gewährleistet sein kann. Welche Maßstäbe hier konkreten greifen sollen, macht der EuGH leider nicht deutlich bzw. ist hier in der betreffenden Urteilspassage extrem unklar in der Formulierung. Das ist in diesem kritischen Punkt leider wirklich nicht hilfreich.

Was ich jetzt selbst mache bzw. gemacht habe

Ich hatte mir schon vor dem Urteil einmal angesehen, bei welchen US-Dienstleistern ich für den Betrieb dieser Internetseiten ein angemessenes Datenschutzniveau auf Basis des „Privacy Shields“ geregelt habe und bei welchen ggf. stattdessen oder zusätzlich auch EU-Standardvertragsklauseln vereinbart wurden.

Bei den Dienstleistern, mit denen ich EU-Standardvertragsklauseln vereinbart habe, werde ich schauen, was ich selbst tun kann, um den Umfang der Daten zu verringern bzw. wo selbst mit Verschlüsselung für einen angemessenen Schutz der Daten gesorgt werden kann. Das ist leider schon nicht einfach. Hier halte ich es aber für vertretbar, zunächst ein wenig auf Zeit zu spielen. In der Hoffnung, dass sich durch die EU-Kommission oder durch neue Regelungen der Anbieter Alternativen zeigen.

Für die US-Dienstleister, an die ich nur auf Basis von Privacy Shield Daten übermittle, warte ich auf das Angebot, auf die EU-Standardvertragsklauseln umzusatteln. Auch wenn dies keine finale Lösung wäre, würde es zumindest eine wackelige, bessere Regelung sein. Ich arbeite nur mit US-Dienstleistern, die im Bereich Datenschutz professionell aufgestellt sind. Bei diesen war ein gesonderter Hinweis auf das Urteil von gestern nicht erforderlich. Dieses war dort jeweils schon bekannt und es wird bereits an Lösungen gearbeitet.

Solange diese Lösungen nicht da sind, setze ich im Bereich des Datenschutz-Coachings auf die Ausnahmeregelung des Art. 49 Abs. 1 lit. b) DSGVO. Gleiches mache ich für den Newsletter-Service, den ich nutze, für den es übrigens keine EU-Alternativen gibt, weil diese leider nicht die Schnittstellen anbieten, die ich für die Ausgestaltung der Angebote benötige.

Da beim reinen Lesen von Beiträgen durch Nicht-Datenschutz-Coaching-Mitglieder keine Datenverarbeitung in den USA stattfindet, stellt dies kein Problem dar. Problem bleibt nur die Einbindung von Videoinhalten via Vimeo. Hier habe ich aktuell keine richtig gute Alternative. Da diese Einbindung aber im Rahmen meiner journalistisch-redaktionellen Beiträge erfolgt, setze ich hier aktuell auf die Möglichkeiten, die mir die jüngste Rechtsprechung des BVerfG hier bietet und hoffe auf bessere Zeiten…äh…andere Lösungen. Bekanntlich haben wir in der EU keinen Videodienste-Anbieter mehr, der YouTube, Vimeo oder Wistia die Stirn bietet. Ggf. setzte ich hier dann nach dem Urlaub auf eine Zwei-Klick-Einwilligungslösung beim Einbetten von Videos für Nicht-Datenschutz-Coaching-Mitglieder. Mal sehen.

Ich werde auch sicher noch einmal ganz genau schauen, wo ich auf US-Dienstleister verzichten kann. Die Luft ist da aber dünn, da ich schon bislang immer darauf geachtet habe, Dinge selbst zu machen oder auf EU-Dienstleister zu setzen, wo es möglich ist.

Es bleibt also spannend.

Wie geht es weiter?

Die EU-Kommission und die USA werden jetzt sicher mit Hochdruck an einem Nachfolger des „Privacy Shield“ arbeiten, der uns dann wieder etwas „Zeit“ geben wird, bis dann der EuGH ggf. wieder den betreffenden Beschluss der EU-Kommission für unwirksam erklärt.

Hilfreich wären in jedem Fall auch neue EU-Standardvertragsklauseln in verschiedenen Varianten. Vor allem auch endlich eine „Processor-to-Processor“-Variante.

Was ich mir persönlich wünschen würde, wäre, dass es endlich mehr EU-Dienstleister geben würde, die performante Alternativen zu den Diensten aus den USA bieten würden. In vielen Bereichen ist das Angebot nicht vorhanden bzw. schlichtweg keine Alternative, weil das Angebot einfach schlecht ist.

Hoffen wir also hier auf bessere Zeiten.