Wieder eine Veränderung in der Welt des Datenschutzes – dokuworks bezieht Position
Mit Einführung der DSGVO kam dem Datenschutz in europäischen Unternehmen eine hohe Bedeutung zu. Dies stellt kleine und mittelständische Unternehmen jedoch häufig vor eine Herausforderung – vor allem bei dem stetig wachsenden Digitalisierungsgrad und den sich ändernden Gesetzgebungen. Die aktuellste entscheidende Veränderung im Datenschutz kam mit dem Urteil Schrems-II des Europäischen Gerichtshofs (EuGH). Dieser erklärte die Vereinbarung des Privacy Shield am 16.07.2020 für unwirksam und sorgt damit wieder einmal für bedeutende Veränderungen im Datenschutz.
Im täglichen Leben, sei es privat oder beruflich, kommen wir nicht drum herum mit US-Amerikanischen Unternehmen zu arbeiten – auch wenn dies nicht immer direkt auf den ersten Blick ersichtlich ist. Vor allem gilt dies in den digitalen Bereichen, welche einen immer größeren Platz in unserem Alltag einnehmen. Sei es die Einbindung in der eigenen Website oder das eigene Betriebssystem, die Homepages, die wir nach neuen Produkten durchstöbern oder das Mobiltelefon, bei dem wir täglich den Nutzen der vielen Apps schätzen. Bei der Nutzung eines Großteils dieser Anwendungen von US-Amerikanischen Anbietern, kann die Verarbeitung (Übermitteln, Speichern, Verändern, Übermitteln, Sperren und Löschen) der eigenen personenbezogenen Daten in den USA einhergehen.
Betrachtet man dieses Thema aus unternehmerischer Sicht, bringt das neue Urteil Handlungsbedarf mit sich. Vor dem Urteil konnten Unternehmen sich rechtlich zum Schutz personenbezogener Daten auf das Privacy Shield stützen, wenn sie ihren Mitarbeiter oder Kunden Dienstleistungen und Services solcher Anbieter zur Verfügung gestellt haben. Das Privacy Shield diente als eine Art Garantie, dass die Anbieter der Dienstleistungen ein angemessenes Schutzniveau der zu verarbeitenden personenbezogenen Daten gemäß europäischer Standards bieten.
Diese Garantie ging mit dem Schrems-II-Urteil verloren.
Aber was ist eigentlich an der Datenübermittlung in die USA so schlimm?
Bezüglich dieser Frage vertritt das EuGH mit seinem Urteil gemäß der Pressemitteilung 91/20 vom 16.07.2020 folgende Auffassung:
„…Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.“
Zudem begründet das EuGH sein Urteil dadurch, dass
„…den betroffenen Personen kein […] Rechtsweg zu einem Organ eröffnet [wird] das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d.h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.“
Kurzgefasst bedeutet dies, dass bei jeglicher Übermittlung von Daten in die USA, die Nachrichtendienste ohne Einschränkung auf diese zugreifen können. Dazu kommt, dass eine Klage bei missbräuchlicher Verwendung der Daten rechtlich keinen Erfolg hätte. Hier sei auch kurz erwähnt, dass dies nicht nur personenbezogene Daten betrifft, sondern alle Daten, die eine Privatperson oder ein Unternehmen in den USA speichert.
Aber was nun? Was sind eigentlich Handlungsbedarfe
Nach dem Urteil des EuGHs und der Unwirksamkeit des Privacy Shield, auf die sich so viele Unternehmen stützten?
Bezüglich dieser Frage findet sich im Internet eine Vielzahl an Kommentaren. Es gibt unter anderem ein FAQ vom Europäischen Datenschutzausschuss:
(https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_de.pdf).
Diese Meinungen und Aufsätze bieten zwar theoretische Antworten, liefern aber kaum tatsächliche Lösungen für die Praxis. Unternehmen werden zunächst mit dem Urteil und den nötigen Veränderungen allein gelassen. Die bisher häufigsten Empfehlungen stellen die Schließung von Standardvertragsklauseln und die Einholung einer Einwilligung dar.
Bei der Standardvertragsklausel handelt es sich um eine Art Vertrag zur Auftragsdatenverarbeitung, welche durch die EU veröffentlicht wurde.In dieser werden alle relevanten datenschutzrechtlichen Themen bei der Übermittlung von Daten geregelt, die Garantien zum Schutzniveau geben können.
(Eur-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087).
Da das Privacy Shield als Rechtsgrundlage für die Verarbeitung von Daten in den USA wegfällt, wäre dieser Vertrag mindestens mit allen Dienstleistern wie z.B. Google, Facebook, Apple, Microsoft etc. zu schließen, wenn bei der Inanspruchnahme derer Produkte und Dienstleistungen, personenbezogene Daten nicht über die Rechtsgrundalge einer Einwilligung mit explizitem Risikohinweis übermittelt werden.
Hier sei allerdings kritisch erwähnt, dass selbst bei einer solchen Vertragsschließung mit dem Unternehmen in den USA und der damit einhergehenden Garantie des Schutzniveaus auf dem Papier, das Unternehmen immer noch dem amerikanischen Recht untersteht und somit nach unserer Auffassung weiterhin dazu verpflichtet ist, alle Daten den Nachrichtendiensten jederzeit zur Verfügung zu stellen.
Aufgrund dessen reicht eine Standardvertragsklausel in gewissen Bereichen des Datenschutzes unabhängig der Vereinbarung des Privacy Shield nicht aus, sondern eine Einholung einer Einwilligung ist unabdingbar. Das wohl dazu bekannteste Urteil des EuGHs entscheidet über die Datenschutzkonformität bei der Verwendung von Marketing- und Analyse-Cookies auf der eigenen Homepage. Diesbezüglich wurde klar beschlossen, dass diese Cookies nur mit ausdrücklicher Einwilligung genutzt werden dürfen – weswegen Unternehmen mittlerweile das sogenannte Opt-In Verfahren in ihrem Cookie-Banner anwenden.
Darüber hinaus kann der Wegfall des Privacy Shield am Beispiel der datenschutzkonformen Homepage bedeuten, dass gegebenenfalls auch technisch notwendige Cookies betroffen sind und dementsprechend neu bewertet werden müssen. Wo in der Vergangenheit eine Berufung auf das berechtigte Interesse und das Privacy Shield zur Sicherstellung des Schutzniveaus ausreichte, benötigen Unternehmen jetzt die Einwilligung der betroffenen Person, wenn kein Vertrag gemäß den Standardvertragsklauseln mit dem Anbieter geschlossen werden kann. Das bedeutet, dass die technisch notwendigen Cookies mit in die Einwilligung eingebunden werden müssen, sobald Sie personenbezogene Daten, wie die IP-Adresse, erfassen.
Allerdings sehen wir als dokuworks Datenschutz-Berater in der Praxis auch in dem alternativen Weg zur Standardvertragsklausel, bei dem Einsatz der Einwilligung, einige Hürden für Unternehmen. Grundsätzlich ist eine Einwilligung nicht schwer zu formulieren, allerdings ist das Problem bei einer Einwilligung, dass diese mehr oder weniger zwingend notwendig für die betroffene Person ist und somit nicht ganzheitlich als freiwillig betrachtet werden kann. Außerdem kann die Einwilligung jederzeit wiederrufen werden – was im Bereich der Verbraucher auch richtig und wichtig ist, allerdings im täglichen Arbeitsleben, unter der permanenten Begierde nach Digitalisierung, eine Herausforderung darstellt. Man darf schließlich nicht vergessen, dass der überwiegende Teil an Betriebssystemen, Software, Webanwendungen und Mobilgeräten durch US-Amerikanische Unternehmen entwickelt wird und man nicht hundertprozentig nachvollziehen kann, welche Daten wo verarbeitet werden. Die Veränderungen durch den Wegfall des Privacy Shield betreffen allerdings nicht nur Kunden und ihre Daten, sondern auch den Umgang des Unternehmens mit den Daten der Mitarbeiter. Gerade in den Zeiten einer Corona Pandemie sind Unternehmen darauf angewiesen, Videokonferenzsysteme wie Teams von Microsoft oder ähnliche Tools für interne Absprachen zu nutzen. Dies bedeutet unserer Auffassung nach, dass Unternehmen, soweit Sie mit US-Amerikanischen Unternehmen zusammenarbeiten, im Augenblick ebenfalls am besten mit jeder/m Mitarbeiter/in eine Einwilligung schließen sollten. Diese sollte nach dem FAQ des Europäischen Datenschutzausschusses und der Datenschutzgrundverordnung beinhalten, welche Daten verarbeitet werden und an wen die Daten übertragen werden. Außerdem muss über die Risiken informiert werden, dass amerikanische Nachrichtendienste auf die personenbezogenen Daten zugreifen können und die/der Mitarbeiter/in bei Missbrauch der Daten nicht gegen diese klagen kann.
Bei dem Versuch einen praktischen Lösungsansatz für Unternehmen zu finden, haben wir uns mit den Big Players selbst dieser Welt in Verbindung gesetzt, um zu erfahren, welche Lösungen sie anbieten. Leider erweist sich hier der persönliche Kontakt – sowohl per Telefon als auch per Mail – als schwierig und auf ihren Webseiten lässt sich ebenfalls kaum eine Lösung finden.
Somit werden Unternehmen durch das Urteil zum Privacy Shield vor eine herausfordernde Aufgabe gestellt, welche sie allein bewältigen müssen, um weiterhin datenschutzrechtlich konform zu agieren. Zum einen ist der Erfolg bisher sehr gering, mit US-Amerikanischen Unternehmen einen rechtsicheren Vertrag gemäß Standardvertragsklauseln zu schließen. Zum anderen gestaltet sich der Weg der Einwilligung in fast allen Bereichen des täglichen Arbeitslebens (Homepage, Kunden, Mitarbeiter) als notwendig und gleichzeitig als sehr aufwendig und wenig praktikabel.
Aber was passiert, wenn Sie nichts machen?
Diesbezüglich haben die Landesbehörden für Datenschutz eine klare Position. Sollte bei ihnen eine Beschwerde eingehen, dass die Daten einer betroffenen Person unrechtmäßig in die USA übermittelt wurden (Keine Einwilligung, keine Standardvertragsklauseln), werden sie dieser Beschwerde nachgehen. Schlimmstenfalls kann dem Unternehmen sogar ein Bußgeld verhängt werden.
Leider wird es dazu auch kurzfristig keine praktikable Lösung ähnlich zum Privacy Shield geben. Daher empfehlen wir die folgenden Handlungsabläufe für Unternehmen:
- Analysieren Sie, welche Daten von Ihnen in die USA übermittelt werden und an welchen Stellen dies geschieht.
- Bewerten Sie das Risiko für mögliche betroffene Personen.
- Schließen Sie einen Vertrag gemäß den Standardvertragsklauseln, soweit Sie es erwirken können.
- Bewerten Sie ihre Rechtsgrundlagen zur Verarbeitung der personenbezogenen Daten (Möglicherweise Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO anstatt berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO).
- Aktualisieren Sie Ihre Datenschutzhinweise. Verweisen Sie nicht mehr auf die Vereinbarung des Privacy Shield.
- Wo es keine alternativen Rechtsgrundalgen zur Übermittlung der Daten gibt, müssen Sie sich eine Einwilligung einholen.
Abschließend lässt sich sagen, dass wir als dokuworks Datenschutz-Berater eine kritische Ansicht demgegenüber vertreten, dass europäische Unternehmen einerseits auf die Zusammenarbeit mit amerikanischen Unternehmen verzichten sollen, aber andererseits die Länder der EU und die Europäische Union über Jahrzehnte dabei zugesehen haben, wie US Amerikanische Tech-Unternehmen immer stärker wurden, sodass es in manchen Bereichen der digitalen Welt quasi kaum europäische Alternativen mehr gibt. Gegeben dieser Tatsache, ist es jedoch wichtig, dass Sie Ihr Möglichstes tun, Kunden, Mitarbeiter und Geschäftspartner ausreichend zu informieren, über ihre Risiken aufzuklären und den Schutz der Daten sicherzustellen.
Wenn auch nicht endgültig zufriedenstellend, hoffen wir Ihnen die aktuelle Situation verständlich beschrieben zu haben und Ihnen mit unseren Handlungsempfehlungen eine Orientierungsstütze zu bieten. Bezüglich aller Punkte stehen wir Ihnen natürlich auch gerne persönlich zur Verfügung.
Ihr dokuworks Team
Erstellt von Sven Berger, Julia Hexel und Cherif Soltani