Im Juli 2020 hatte der Europäische Gerichtshof (C-311/18, „Schrems II“) das EU-US-Privacy-Shield als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für ungültig erklärt und die EU-Standardvertragsklauseln unter erhöhte Anforderungen gestellt. Dieser Beitrag gibt einen Überblick zur zwischenzeitlichen Reaktion der Aufsichtsbehörden auf Grundlage einer am 24.08.2020 veröffentlichten Orientierungshilfe der Datenschutzaufsicht in Baden-Württemberg Handlungsempfehlungen für Unternehmen.
Der EU-US-Privacy-Shield (ein Angemessenheitsbeschluss der EU-Kommission auf Grundlage vertraglicher Abreden zwischen EU und USA) war seit 2016 u.a. ein Mechanismus für den Transfer personenbezogener Daten im Rahmen der Nutzung von Cloud-Diensten von US-Providern wie Amazon, Microsoft, Google oder Salesforce. Er wurde mit Urteil des EuGH vom 16.07.2020 für ungültig erklärt, wie auch bereits in 2015 sein Vorgänger, das Safe-Harbour-Abkommen. Unternehmen der EU können daher seit dem 16.07.2020 ihre Nutzung von US-Cloud-Diensten nicht mehr auf den Privacy-Shield stützen. Die EU-Kommission hat zwischenzeitlich Gespräche mit dem US-Handelsministerium zur Findung eines neuen Abkommens aufgenommen. Gemäß Art. 46 DSGVO verbleiben als Alternative zunächst insbesondere noch die EU-Standardvertragsklauseln. Auch diese wurden jedoch vom EuGH als ungenügend qualifiziert, wenn im Einzelfall feststeht, dass ein angemessenes Schutzniveau aufgrund der Überwachungspraxis von Regierungsbehörden im betreffenden Land nicht gegeben ist. Steht daher fest, dass etwa US-Regierungsbehörden unter Verletzung von Rechten von EU-Bürgern jederzeit unkontrolliert Zugriff auf deren Daten haben, so können die EU-Standardvertragsklauseln nur unter Einhaltung ergänzender Garantien als taugliche Rechtsgrundlage für die Inanspruchnahme von US-Cloud-Diensten dienen.
In den vergangenen Wochen bestand innerhalb der EU nun Ungewissheit, unter welchen Voraussetzungen Unternehmen weiterhin derartige Dienste wie Microsoft Office 365, Amazon Web Services oder Salesforce in Anspruch nehmen oder auch im Rahmen von Lieferbeziehungen oder aufgrund von Konzernvorgaben Daten in das Nicht-EU-Ausland transferieren können. Da die EU-Standardvertragsklauseln ja weiterhin Gültigkeit besitzen, stellte sich insbesondere die Frage nach den vom EuGH geforderten angemessenen, ergänzenden Garantien.
Die Aufsichtsbehörden der Länder hatten sich bislang eher allgemein geäußert und klare, eindeutige Handlungsempfehlung vermissen lassen, etwa die Landesbehörden in Thüringen, Hamburg, Rheinland-Pfalz, die deutsche Datenschutzkonferenz oder der Datenschutzausschuss der EU. Lediglich die Landesbehörde in Berlin äußerte sich recht eindeutig dahingehend, dass EU-Unternehmen nach den Feststellungen des EuGH nun von US-Providern wechseln müssten zu Providern in der EU oder in Drittstaaten mit angemessenem Datenschutzniveau. Vor wenigen Tagen hat auch der Kläger im obigen EuGH-Verfahren (Max Schrems) eine dreistellige Zahl von Beschwerden an Aufsichtsbehörden in der EU eingereicht, um die Durchsetzung der neuen, schärferen Anforderungen an den US-Datentransfer zu beschleunigen.
Am 24.08.2020 trat nun die Landesbehörde in Baden-Württemberg mit Handlungsvorschlägen an die Öffentlichkeit. In ihrer Orientierungshilfe gibt die Behörde konkrete Anleitungen zur Umsetzung der neuen EuGH-Vorgaben. Hier die wichtigsten Aussagen:
Die Vorschläge der Landesbehörde in Baden-Württemberg sind damit bereits sehr viel konkreter, als bisher von den anderen Behörden wahrgenommen. Unternehmen sollten sich daher auf Grundlage der neuen Orientierungshilfe Nachweise zurechtlegen, die im Falle eines behördlichen Audits vorgelegt werden können. Im Hinblick auf den ungültigen EU-US-Privacy-Shield sollte zudem die eigene Datenschutzerklärung der Website daraufhin überprüft werden, ob dort noch bestimmte Verarbeitungen (z.B. Google Analytics) auf diese Rechtsgrundlage gestützt werden; ggf. sind die Verarbeitungen entsprechend umzustellen und alle Hinweise auf das EU-US-Privacy-Shield zu löschen.