REWI: Im Bereich des Datenschutzrechts hat es gerade einen „Paukenschlag“ gegeben: Der EuGH hat das Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig erklärt. Welche Konsequenzen hat das?
Nicole Gosch: Mit dem Urteil des EuGH zu C-311/18 (Facebook Ireland und Schrems) vom 16. Juli 2020 wurde das Privacy Shield für ungültig erklärt, weshalb transatlantische Datenübermittlungen auf dieser Grundlage aktuell nicht mehr zulässig sind. Der EuGH begründet dies damit, dass in den USA aufgrund der Befugnisse, die den US-Behörden und Geheimdiensten zukommen, kein nach den Vorgaben der DSGVO angemessenes Datenschutzniveau gewährleistet werden kann. Verantwortliche, deren Datenübermittlungen ausschließlich auf Grundlage des Privacy Shield erfolgten, dürfen demnach keine dem europäischen Datenschutzregime unterliegenden personenbezogenen Daten mehr in die USA übermitteln. Die Europäische Kommission hat die Verhandlungen zu einem möglichen neuen „Privacy Shield 3.0“ bereits aufgenommen. Dass dieses den europäischen Datenschutzstandards gerecht werden wird, ist jedoch meines Erachtens ebenfalls nur schwer vorstellbar.
REWI: Wie kam es zum Abschluss des Privacy-Shield-Abkommens?
Nicole Gosch: Grundsätzlich ist die Übermittlung personenbezogener Daten ins EU-Ausland nur unter bestimmten, in der DSGVO festgelegten Voraussetzungen zulässig. Eine dieser Voraussetzungen stellt ein sog. „Angemessenheitsbeschluss“ dar, bei dem die Europäische Kommission feststellt, dass die Übermittlung personenbezogener Daten in ein gewisses Drittland ohne Weiteres (das bedeutet ohne weitere Genehmigung einer Aufsichtsbehörde) möglich ist, da das Schutzniveau in diesem Land mit europäischen Datenschutzgrundsätzen vereinbar ist. Eine solche Angemessenheitsentscheidung zwischen der Europäischen Union und den USA stellte das Privacy Shield dar, das seit 2016 das gekippte Safe-Harbor-Abkommen ersetzte. US-Unternehmen konnten sich durch die freiwillige Eintragung in die „Privacy Shield List“, mit der sie die Einhaltung der „Privacy Shield Principles“ erklärten, selbst zertifizieren und so als DSGVO-konforme Vertragspartner_innen auftreten.
REWI: Dürfen personenbezogene Daten derzeit überhaupt noch zwischen Europa und den USA übermittelt werden?
Nicole Gosch: Insbesondere Unternehmer_innen stellen sich derzeit dieser Frage. Die österreichische Datenschutzbehörde informiert diesbezüglich auf ihrer Webseite, dass unter Einhaltung bestimmter Vorgaben ein Datentransfer in die USA nach wie vor möglich ist. Ein Angemessenheitsbeschluss der Europäischen Kommission ist nämlich nicht die einzig mögliche Grundlage für einen Datentransfer an EU-Drittländer. Eine weitere Möglichkeit wäre das Vorsehen geeigneter Garantien für den Schutz der betroffenen Person. Diese geeigneten Garantien können darin bestehen, dass auf von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln, verbindliche interne Datenschutzvorschriften oder von einer Aufsichtsbehörde genehmigte Vertragsklauseln zurückgegriffen wird. Nach Erwägungsgrund 108 der DSGVO sollten sie sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden. Beispielsweise könnte der/die Verantwortliche Standarddatenschutzklauseln in Verträgen mit den Datenempfänger_innen verwenden oder könnte innerhalb eines Konzerns an verbindliche interne Datenschutzvorschriften gedacht werden.
Darüber hinaus gibt es aber auch noch weitere Möglichkeiten für eine zulässige Übermittlung im Einzelfall. Die große Frage für Unternehmer_innen und andere Verantwortliche ist es nun, ob und unter welchen Voraussetzungen ihre Datenübermittlungen in die USA durch eine dieser Alternativen gerechtfertigt werden können.
REWI: Was sind nun die für Unternehmen zu beachtenden Schritte, wenn personenbezogene Daten in die USA oder ein Drittland übermittelt werden?
Nicole Gosch: Im ersten Schritt sollten Unternehmer_innen zunächst einmal alle ihre Datenflüsse überprüfen. Jede Übermittlung personenbezogener Daten an ein Drittland ist generell nur zulässig, wenn Verantwortliche beziehungsweise Auftragsverarbeiter_innen die allgemeinen Bedingungen für eine rechtmäßige Verarbeitung und auch die sonstigen Bestimmungen der DSGVO einhalten. Es muss festgestellt werden, ob bzw. welche Daten überhaupt in die USA übermittelt werden. Anschließend empfiehlt es sich zu evaluieren, ob eine Übermittlung in die USA auch unbedingt notwendig ist. Sollte dies nicht der Fall sein, wäre es ratsam, die jeweiligen Anbieter_innen oder Dienstleister_innen zu wechseln und auf Vertragspartner_innen zurückzugreifen, die sich innerhalb der Union befinden oder ein angemessenes Datenschutzniveau garantieren können.
Für alle Übermittlungen in die USA, die sich nicht vermeiden lassen, muss in einem zweiten Schritt festgestellt werden, aufgrund welcher datenschutzrechtlichen Grundlage diese Datenflüsse überhaupt erfolgen sollen. Alle Übermittlungen, die sich auf das Privacy Shield stützen, müssen eingestellt werden. Die Datenschutzbehörde weist auf ihrer Webseite ausdrücklich darauf hin, dass keine „Übergangsphase“ oder „Schonfrist“ vorgesehen ist, in der man sich noch weiter auf das Privacy Shield stützen könnte. Werden weiterhin Datenübermittlungen auf Basis dieser Rechtsgrundlage durchgeführt, sind diese rechtswidrig und können neben Geldbußen in Höhe von 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes des Unternehmens im vergangenen Geschäftsjahr, je nachdem welcher Betrag höher ist, auch Schadenersatzforderungen nach sich ziehen.
REWI: Wie könnten zulässige Alternativen für eine Datenübermittlung konkret aussehen?
Nicole Gosch: Der Datentransfer aufgrund von Standarddatenschutzklauseln ist, wie zuvor erwähnt, zwar grundsätzlich denkbar, jedoch werden die Voraussetzungen, die der EuGH für ein wirksames Schutzniveau verlangt, nur in den seltensten Fällen erfüllt werden können. Hier müsste es dem/der Verantwortlichen gelingen, zusätzliche Garantien einzubeziehen, die einen faktischen Zugriff von US-Behörden und Geheimdiensten effektiv verhindern. Zu denken wäre hier an technische und organisatorische Maßnahmen, wie etwa Verschlüsselung oder Pseudonymisierung personenbezogener Daten, bei der nur ausschließlich der Datenübermittler/die Datenübermittlerin die Zuordnung vornehmen bzw. den Datensatz entschlüsseln kann. Oftmals wird dies aber weder technisch umsetzbar oder praktikabel noch mit dem Zweck der Verarbeitung vereinbar sein. Wenn der/die Verantwortliche diesen zusätzlichen geeigneten Schutz nicht sicherstellen kann, muss die Übermittlung der Daten ausgesetzt oder beendet werden.
Eine weitere Möglichkeit wäre in der Genehmigung von individuellen unternehmensspezifischen Vertragsklauseln durch die Datenschutzbehörde zu sehen. Hier liegt es an der Aufsichtsbehörde zu überprüfen, ob die vereinbarten Vertragsklauseln tatsächlich geeignete Garantien für den Schutz der personenbezogenen Daten bieten und auch eingehalten werden können. Als letzte Alternative bliebe noch eine Übermittlung auf Grundlage der engen Ausnahmebestimmung für Einzelfälle. Da der EuGH in seinem Urteil jedoch auch von einer Verletzung des Wesensgehalts europäischer Grundrechte spricht, ist es höchst fraglich, inwieweit eine Übermittlung personenbezogener Daten in die USA bereits in Bezug auf die Einhaltung der allgemeinen Bedingungen für eine rechtmäßige Verarbeitung legitimiert werden kann. Zurzeit kann keine verlässliche Aussage darüber gemacht werden, wie die Aufsichtsbehörden das Urteil des EuGH interpretieren werden, weshalb jegliche Datenübermittlung in die USA, die nicht unbedingt notwendig ist, auch vermieden werden sollte.
REWI: Müssen Einzelne darüber informiert werden, wenn personenbezogene Daten ins EU-Ausland übermittelt werden?
Nicole Gosch: Die DSGVO räumt betroffenen Personen starke Informations- und andere Betroffenenrechte ein. Unternehmen müssen betroffene Personen schon bei Erhebung ihrer Daten darüber informieren, ob sie vorhaben, personenbezogene Daten ins EU-Ausland zu übermitteln. Zudem müssen sie darüber Auskunft erteilen, wohin die Daten übermittelt werden, an welche Empfänger_in und auf welcher Grundlage das passiert. Unternehmen als datenschutzrechtlich Verantwortliche haben daher nur einen sehr eingeschränkten Gestaltungsspielraum und unterliegen darüber hinaus einer Informationspflicht.
REWI: Adobe, Amazon, Apple, Cisco, Cloudflare, Dropbox, Facebook, Google, Microsoft, Zoom: Bei so vielen bei uns am Markt umfassend vertretenen US-Anbieter_innen stellt sich die Frage, wer kann heute in Österreich überhaupt noch was und auf welche Art einsetzen?
Nicole Gosch: Grundsätzlich sollte in der aktuellen Situation kein Datentransfer in die USA stattfinden, der nicht unbedingt notwendig ist. Sollte sich eine Übermittlung keinesfalls vermeiden lassen, ist für jeden einzelnen Dienst zu überprüfen, auf welcher rechtlichen Grundlage die Datenübermittlung stattfindet. Darüber hinaus sollten Unternehmer_innen aber auch Privatpersonen ein entsprechendes Maß an Zeit und Ressourcen in die aus datenschutzrechtlicher Sicht „optimale“ Nutzung ihrer verwendeten Dienste investieren. Nahezu jede Software bzw. jeder Dienst bietet mittlerweile die Möglichkeit, in den Einstellungen die Verarbeitung und Nutzung der verwendeten Daten zu konfigurieren. Diese Möglichkeit wird oftmals nicht genutzt, obwohl dies datenschutzrechtlich einen großen Unterschied machen kann. An sich sollte jeder Dienst nach den Prinzipien „Privacy by Design“ und „Privacy by Default“ entwickelt bzw. eingestellt sein, was jedoch meiner Erfahrung nach nur sehr selten tatsächlich so gelebt und umgesetzt wird, da es meistens im Konflikt mit dem (vermeintlich aus Anwender_innensicht) „optimalen Nutzer_innenerlebnis“ steht. Hier liegt es dann an den Unternehmen die Einstellungen bestmöglich selbst zu modifizieren oder die Anbieter_innen der Dienste vertraglich in die Pflicht zu nehmen.
REWI: Wie steht es um die Entwicklung und Nutzung rein europäischer Software- und Internetlösungen?
Nicole Gosch: Wenn wir den europäischen Datenschutzgedanken aufrechterhalten wollen, führt meines Erachtens kein Weg daran vorbei, in Zukunft vermehrt auf europäische Software- und Internetlösungen zu setzen. Insbesondere die Corona-Krise hat uns vor Augen geführt, dass in Europa ein dringender digitaler Nachholbedarf besteht. Nicht nur in Zeiten einer Pandemie, sondern auch in Zeiten einer immer weiter voranschreitenden Digitalisierung ist nicht nur der Zugang zu Hardware und Komponenten für IT-Infrastrukturen, sondern insbesondere auch die Verfügbarkeit datenschutzkonformer Dienste, denen wir vertrauen können, entscheidend. Derzeit wird der Markt – angefangen von sozialen Netzwerken bis hin zu Cloud-Anbieter_innen und Videokonferenzanbieter_innen – von privaten amerikanischen und chinesischen Anbieter_innen dominiert, weshalb nur gehofft werden kann, dass unter der deutschen Ratspräsidentschaft tatsächlich nachdrücklich das Ziel einer „Digitalen Souveränität“ Europas verfolgt wird.
Spannende Möglichkeiten könnten hier in Zukunft verschiedene Ausprägungen von Blockchain-Technologien liefern. Der grundlegende Ansatz von dezentraler, nicht veränderbarer und sicherer (verschlüsselter) Datenübertragung bringt einerseits das Potential mit sich, sich von der Abhängigkeit bestehender Konzerne/Dienste zu lösen, da die extrem kostenintensiven Serverfarmen nicht ersetzt werden müssen, aber andererseits auch (zumindest theoretisch) die Möglichkeit Datenschutz tatsächlich umzusetzen. Ob sich derartige Technologien zukünftig etablieren können, muss sich aber erst noch zeigen.
REWI: Aufgrund der aktuellen Situation taucht immer wieder die Frage auf, welche Anbieter_innen man für Videokonferenzen nutzen soll. Welche würden Sie empfehlen?
Nicole Gosch: Welche Videokonferenzanbieter_innen empfohlen werden können, ist seit der Corona-Pandemie und jetzt, insbesondere nach Fall des Privacy Shield, die Gretchenfrage schlechthin. Sogar unter verschiedenen (deutschen) Aufsichtsbehörden besteht zum Teil Uneinigkeit über die Datenschutzkonformität bestimmter Videokonferenzdienste. Insbesondere der Anbieter Zoom, der auch in der österreichischen Justiz Verwendung findet, wird regelmäßig für diverse Datenschutzmängel kritisiert. Die österreichische Datenschutzbehörde hat leider noch keine Stellungnahme zur Nutzung von Videokonferenzdiensten veröffentlicht, weshalb Unternehmen auf keine datenschutzrechtliche Empfehlung seitens der Datenschutzbehörde zurückgreifen können. Die Abhaltung von Videokonferenzen, bei denen ein Datentransfer in die USA ausschließlich auf das Privacy Shield gestützt wird, ist aktuell jedenfalls unzulässig und scheidet daher von vornherein aus. Auch hier müssen Verantwortliche prüfen, ob alternative Rechtsgrundlagen für die Datenübermittlung bestehen. Videokonferenzen, die auf Grundlage von Standarddatenschutzklauseln abgehalten werden, sind zwar grundsätzlich möglich, jedoch hängt deren Zulässigkeit ganz davon ab, ob und inwieweit die in den Standarddatenschutzklauseln enthaltenen Garantien bei der Übermittlung von Daten in die USA vom/von der Verantwortlichen durch zusätzliche Maßnahmen ergänzt und eingehalten werden können, um ein gleichwertiges Schutzniveau zu gewährleisten. Da dies momentan faktisch nahezu unmöglich sein dürfte, empfiehlt es sich, Videodienste zu nutzen, bei denen sich die Server innerhalb der EU beziehungsweise des EWR befinden und daher keine personenbezogenen Daten in die USA übermittelt werden.
Hinweis: Die Grazer Datenschutzgespräche am 30. November 2020 widmen sich dem Thema „Internationaler Datenverkehr und ‚Deaktivierung des Privacy Shield‘“. Expert_innen aus Wissenschaft und Praxis diskutieren dabei aktuelle datenschutzrechtliche Fragestellungen im Zusammenhang mit grenzüberschreitenden Datenverarbeitungen in Form eines Online-Roundtables. Nähere Infos finden Sie hier.