Suchen

Von scharfer Kritik bis zu Jubel Unterschiedliche Reaktionen auf das EuGH-Urteil zum Privacy Shield

| Autor: Ulrike Ostler

Am Donnerstag der vergangenen Woche hat der Gerichtshof der Europäischen Union per Gerichtsverfahren im Bereich des Datenschutzes die rechtlichen Grundlagen des EU-US-Datenschutzschildes für ungültig erklärt. Jetzt hagelt es Kommentare und Empfehlungen.

Firma zum Thema

„Der Hammer!“, das steckt in den meisten Stellungnahmen zum EuGH-Urteil, das das EU-US-Abkommen „Privacy Shield“ kippt.
„Der Hammer!“, das steckt in den meisten Stellungnahmen zum EuGH-Urteil, das das EU-US-Abkommen „Privacy Shield“ kippt.
(Bild: 3D Animation Production Company auf Pixabay)

Die Regelung des „EU-U.S. Privacy Shield“ erlaubte es mehr als 5.000 US-Unternehmen, Daten von EU-Nutzern zur Verarbeitung und Speicherung in die USA zu übermitteln. Sie wurden 2016 verabschiedet, nachdem der European Court of Justice (CJEU, EuGH) im Fall Schrems I im Jahr 2015 die vorhergehende Safe-Harbour-Vereinbarung für ungültig erklärte.

Die US-Unternehmen, die sich dem Privacy Shield unterworfen haben, unterzeichneten eine Selbstverpflichtung, deren Einhaltung vom amerikanischen Handelsministerium stichprobenartig überwacht wird. Jetzt stellt der EuGH fest, dass das US-Gesetz zur nachrichtendienstlichen Überwachung keine nach EU-Recht ausreichenden Garantien bietet, um die Übermittlung personenbezogener Daten aus der EU in die USA zu ermöglichen.

Das Center for Democracy & Technology

Alexandra Givens, Präsidentin und CEO des Center for Democracy & Technology, kommentiert: „Dies sollte ein Weckruf sowohl für den US-Kongress als auch für die US-Geheimdienstgemeinschaft sein, dass ein stärkerer Schutz der Privatsphäre in die nachrichtendienstlichen Überwachungsbehörden eingebaut werden muss. Menschen außerhalb der USA haben Rechte, die das US-Überwachungsgesetz und die Überwachungspraxis der USA respektieren müssen.“ Und sie fügt hinzu: „Die Reform der Überwachung war lange Zeit ein Gebot der Menschenrechte; jetzt ist sie auch ein wirtschaftliches Gebot.“

Die Entscheidung wurde im Zusammenhang mit dem Fall Schrems II getroffen, einer Vorabentscheidung, die der Irish High Court an den CJEU gerichtet hatte. Der CJEU wurde gebeten, über die Gültigkeit sowohl des Privacy Shield als auch der Entscheidung der Kommission 2010/87 bezüglich der Standardvertragsklauseln (SCCs) zu entscheiden, die manchmal die Übermittlung personenbezogener Daten von Unternehmen in EU-Mitgliedstaaten an Verarbeiter mit Sitz in Drittländern regeln.

Kurz gesagt, hat der Gerichtshof entschieden:

  • Die Schutzvorkehrungen der US-Gesetze über den Zugang zu und die Nutzung von Daten, die aus der Europäischen Union übermittelt werden, durch öffentliche Behörden genügen nicht den Anforderungen des EU-Rechts, weil sie unter anderem europäischen Bürgern keine einklagbaren Rechte gegenüber den US-Behörden einräumen.
  • Selbst wenn die SCCs ihre Gültigkeit behalten, sind die zuständigen nationalen Datenschutzbehörden verpflichtet, eine Übermittlung personenbezogener Daten in die USA auszusetzen oder zu untersagen, wenn das US-Recht die personenbezogenen Daten der Europäer nicht angemessen schützt.

Innerhalb der EU und für Unternehmen, die in der Gemeinschaft Geschäfte machen wollen, ist die General Data Protection Regulation (GDPR) ein scharfes Schwert. Sie schützt die personenbezogenen Daten ihrer Bürger wie kaum ein zweites Datenschutzgesetz der Welt. Unter anderem verbietet es die Übermittlung solcher Daten in Drittländer, deren Datenschutzgesetze kein angemessenes Schutzniveau bieten.

Die freiwilligen Ausnahmen

Wenn dieses Niveau durch die Gesetze des Drittlandes nicht gegeben ist, kann die EU einen sogenannten Angemessenheitsbeschluss fassen, der feststellt, dass das Schutzniveau ausreichend ist, wenn bestimmte Regeln zusätzlich vereinbart werden. Der 2016 vereinbarte EU-US Privacy Shield stellt eine solche bilaterale Absprache dar. In ihr geben die USA die Zusage, sich an bestimmte Regeln wie Datensparsamkeit zu halten. Die Anwendervereinigung Voice bemerkt hierzu: „Wohlgemerkt, die USA sagen die Einhaltung der Regeln zu, aber es handelt sich bei Privacy Shield nicht um einen verbindlichen Vertrag.“

So bezieht sich jetzige das Urteil des CJEU auf Artikel 49 des GDPR, der trotz der Aufhebung des Privacy Shield bestimmte „notwendige“ Datentransfers zwischen den beiden Kontinenten weiterhin zulässt, etwa wenn die Nutzer ausdrücklich in den Transfer eingewilligt haben oder der Datenfluss notwendig ist, um die Bedingungen eines Vertrages zu erfüllen.

Das Center for Democracy & Technology erneuert seine Empfehlungen zur Überwachungsreform 2015 und fordert den Kongress dazu auf,

  • die „vorgelagerte“ Überwachung zu verbieten, durch die die US-Regierung vorübergehend praktisch alle Internet-basierten Kommunikationen beschlagnahmt, die in die oder aus den USA fließen, und die vor dem Berufungsgericht des Vierten Bundesberufungsgerichts im Fall Wikimedia gegen die NSA angefochten wird;
  • die Zwecke, für die die US-Geheimdienste persönliche Daten gemäß Abschnitt 702 des Foreign Intelligence Surveillance Act erhalten dürfen, strikt einzuschränken;
  • die Fähigkeit von US-Beamten stärker zu beschränken; Zugang zu diesen Daten zu erhalten und sie zu nutzen;
  • sicherzustellen, dass jeder, dessen Rechte im Rahmen der nachrichtendienstlichen Überwachung möglicherweise verletzt wurden, wirksame Rechtsmittel erhalten kann.

Stimmen zum Urteil

Doch die Entscheidung des EuGH setzt auch die Anwenderunternehmen in Deutschland und Europa erheblich unter Druck, so die Anwendervereinigung Voice mit seinen über 400 Mitgliedern. Der Verband empfiehlt den Anwenderunternehmen „dringend“, die Verträge mit Cloud-Providern zu überprüfen und Daten zu verschlüsseln. Von der Bundesregierung fordert Voice schnelle Abhilfe und vor allem, die Digitale Souveränität mit deutlich größerem Nachdruck zu verfolgen.

Denn vom Privacy Shield betroffen sind fast alle europäischen Unternehmen, die ihre Daten von US-Cloud-Anbietern verarbeiten lassen und zum anderen Unternehmen, die personenbezogene Daten ihrer Kunden zum Beispiel an Mutter- oder Tochterunternehmen weiterleiten oder die aus anderen Gründen personenbezogene Daten in die USA transferieren. Das gilt auch für die großen Social Networks und Suchmaschinenanbieter, die die Daten von EU-Bürgern sammeln und in die USA übermitteln. Da das Privacy-Shield-Abkommen zwischen den USA und der EU nunmehr unrechtmäßig sei, und es laut Voice kaum Alternativen für einen rechtmäßigen Datentransfer in die USA gebe, werde ein Großteil der Übermittlungen personenbezogener Daten in die USA illegal.

Laut Voice droht den so genannten Standardvertragsklauseln Ähnliches, die europäische Unternehmen in ihre Verträge mit US-Providern aufnahmen, als 2015 der Vorgänger von Privacy Shield - das Safe-Harbour-Abkommen vom EuGH gekippt worden und Privacy Shield noch nicht in Kraft war. Wenn auch diese schon immer rechtlich umstrittenen Standardvertragsklauseln nicht mehr rechtmäßig sind, fehle der Übermittlung personenbezogener Daten in die USA auch diese Rechtsgrundlage.

„Auf deutsch: Jedes Unternehmen, dass personenbezogene Daten in die USA ohne Rechtsgrundlage übermittelt, verstößt gegen geltendes Recht, was empfindliche Strafen nach sich ziehen kann.“ Die Anwerndervereinigung setzt hinzu: „In Anbetracht der unverlässlich gewordenen Beziehungen zwischen den USA und der EU ist zu befürchten, dass es sehr schwierig wird, eine Nachfolgeregelung zu vereinbaren, die den Regeln der GDPR entspricht.“

Wie also sollen Unternehmen die teilweise existenziell notwendige Übermittlung personenbezogener Daten in die USA gewährleisten beziehungsweise sich vor einem Abfluss von Daten in die USA schützen? Voice empfiehlt, zu überprüfen, ob das Daten-Management-System in der Lage ist, sämtliche Datenströme im Detail zu monitoren, da sie jederzeit Aussagen dazu treffen können müssen, wo personenbezogene Daten verarbeitet und gespeichert werden. Sämtliche Verträge mit US Cloud-Providern und mit Providern, die ein signifikantes US-Geschäft haben, sollten überprüft werden. Im Zweifelsfall dürfen dem/den Providern nur verschlüsselte Daten anvertraut werden und die Schlüssel ausschließlich in den Händen Ihres Unternehmens sein.

Voice wünscht sich, den Aufbau einer europäischen Cloud-Infrastruktur, die die Interessen der IT-Anwenderunternehmen berücksichtigt und deren Beteiligte eindeutig auf die Einhaltung der GDPR verpflichtet sind; dass europäische und nationale Behörden und Einrichtungen der öffentlichen Hand in Europa ausschließlich europäische Cloud-Provider nutzen, die die GDPR einhalten; und die nachhaltige Förderung insbesondere mittelständischer Software-und Servicehäuser sowie App-Anbietern, damit mittelfristig europäische Alternativen zu den amerikanischen Anbietern entstehen.

Scharfe Kritik

Der Bundesverband Digitale Wirtschaft (BVDW) e.V. kritisiert das Urteil des Europäischen Gerichtshofs zum Aus des EU-US Privacy Shield indes scharf: „Der Wegfall des EU. US. Privacy Shield hat erneut erhebliche Auswirkungen auf die Digitalwirtschaft in Gänze und belastet insbesondere auch kleine und mittelständische EU-Unternehmen“, so BVDW-Vizepräsident Thomas Duhr (IP Deutschland).

Thomas Duhr, Bundesverband Digitale Wirtschaft (BVDW) e.V. verurteilt die Entwicklung.
Thomas Duhr, Bundesverband Digitale Wirtschaft (BVDW) e.V. verurteilt die Entwicklung.
(Bild: Bundesverband Digitale Wirtschaft (BVDW) e.V.)

Der Digitalverband BVDW begrüßt zwar, dass der EuGH die Rechtmäßigkeit von Datentransfers auf der Basis von Standardvertragsklauseln weiterhin erlaubt, wodurch grundsätzlich Nutzerdaten von EU-Bürgern in andere Staaten übertragbar bleiben, „Unternehmen benötigen aber auch in dynamischen Märkten wie der Digitalwirtschaft dauerhafte und langfristig stabile rechtliche Rahmenvorgaben. Wir können nicht alle fünf Jahre bei null anfangen“, so Duhr.

Der EU-US Privacy Shield habe der EU-Wirtschaft in den vergangenen Jahren Rechtssicherheit geboten und den Datenaustausch zwischen EU- und Drittländern auf eine eindeutige und tragfähige Säule gestellt. Duhr kommentiert: „Die Privatwirtschaft darf hier nicht zum Spielball gemacht werden. Zwar sind die ebenfalls marktüblichen Standardvertragsklauseln weiterhin gültig. Aber der Wirtschaft wird immer wieder die Grundlage für nachhaltige Entwicklung im Sinne des Gemeinwohls durch den Wegfall von stabilen und dauerhaft gültigen Regelungen entzogen.“

Dramatische Auswirkungen

Auch der Eco beurteilt die Auswirkungen für Unternehmen und den internationalen Datenverkehr als „dramatisch“. Der Verband der Internetwirtschaft prognostiziert erhebliche Auswirkungen auf viele Unternehmen in der EU, die für den Datentransfer zu Drittstaaten auf das Privacy Shield vertraut haben. Eco Geschäftsführer Alexander Rabe formuliert: „Nach Safe Harbour wurde heute mit dem EU-US – Privacy Shield nun also auch das zweite internationale Abkommen für den Transfer personenbezogener Daten zu Drittstaaten kassiert und die Unternehmen werden so erneut mit großer Rechtsunsicherheit konfrontiert: Dieses Urteil hat fatale Folgen für die Internet-Wirtschaft und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks, die auf den Austausch von personenbezogenen Daten angewiesen sind. Denn ohne das Privacy-Shield gibt es jetzt praktisch kaum noch Alternativen, Daten unkompliziert und rechtssicher aus der EU in die USA zu übertragen.“

Den Unternehmen bleibe derzeit nur die Möglichkeit für den Datenaustausch mit Drittstaaten auf Basis der Standardvertragsklauseln. Diese bedeuteten aber einen erheblichen Aufwand für die Unternehmen. „Die EU-Kommission muss jetzt umgehend praktikable und nachhaltige Lösungen für den Datentransfer zu Drittstaaten präsentieren und für Unternehmen Rechtssicherheit schaffen.“

Übergang zur Praxis

Während die diversen Organisationen jubeln oder lamentieren, startet der Hamburger Cloud-Services-Anbieter Teamdrive GmbH bereits ein Migrationsprogramm für Betroffene des EU-US Privacy Shield. Geschäftsführer Detlef Schmuck sagt: „Wir haben das Urteil erwartet und daher unsere Support-Kollegen aus dem Urlaub zurückgerufen.“

Sein Unternehmen hat bereits einen Migrations-Support für Firmen eingerichtet, die ihre Daten aus den USA abziehen und nach Deutschland verlagern wollen. Der Anbieter versichert, dass jedes Unternehmen, das zu Teamdrive wechsele, bei der Datenmigration umfangreiche Remote-Unterstützung bekomme, die erste Support-Stunde sei sogar kostenfrei; denn „deutsche Unternehmen sind gut beraten, ihre Datenbestände so schnell wie möglich von US-Diensten abzuziehen und auf deutsche Anbieter umzuleiten“, sagt Schmuck nicht ganz uneigennützig.

Er verweist darauf, dass die Richter des EuGH in ihrer Urteilsbegründung ausdrücklich darauf hinweisen, dass die Datenschutzbehörden verpflichtet sind, Datenübermittlungen auszusetzen oder zu verbieten, wenn zu vermuten ist, dass der Datenschutz in den USA nicht eingehalten wird. „Faktisch erklären die Richter damit die Standardvertragsklauseln, mit denen viele US-Anbieter das absehbare Kippen des Privacy Shield kaschieren wollten, für unsicher, auch wenn sie nicht grundsätzlich als ungültig befunden wurden. Mit Rechtssicherheit hat das jedenfalls nichts zu tun“, so Schmuck. „Das EuGH-Urteil stellt die USA in Bezug auf den Datenschutz im Grunde auf eine Stufe mit sagen wir China, Nordkorea und Namibia.“

Auch Verena Grentzenberg und Jan Pohle, beide Datenschutzpartner bei DLA Piper, eine der weltweit größten Anwaltskanzleien, bestätigen die Befürchtungen in Richtung Standardvertragsklauseln: „Das heutige Urteil hat schwerwiegende Auswirkungen auf die Übermittlung personenbezogener Daten in Länder außerhalb der EU und ist ein Weckruf für EU-Unternehmen. Für diejenigen Unternehmen, die sich bisher auf Privacy Shield verlassen haben, muss ein alternativer Übertragungsmechanismus gefunden werden. Vor der Verwendung von Standardvertragsklauseln, dem am häufigsten verwendeten alternativen Übertragungsmechanismus, müssen die Unternehmen jedoch prüfen, ob geeignete Schutzmaßnahmen vorhanden sind, wobei die realen Risiken einer solchen Übertragung im Kontext des Sektors / der Branche und anderer relevanter Faktoren, einschließlich des Ziellandes, berücksichtigt werden müssen.“

Dies werde auch für Unternehmen gelten, die derzeit Standardvertragsklauseln verwenden. Die EU-Datenschutzbehörden werden die wenig beneidenswerte Aufgabe haben, die Angemessenheit angemessener Schutzmaßnahmen zu bestimmen, und es sei wahrscheinlich, dass dies eine weitere Runde politischer Diskussionen zwischen der EU und den USA auslösen werde.

Teamdrive gelte als „sichere Sync&Share-Software made in Germany“ für das Speichern, Synchronisieren und Sharing von Daten und Dokumenten, weil das Angebot den Hochsicherheitsanforderungen gemäß Paragraph 203 Strafgesetzbuch für Berufsgeheimnisträger entspreche. Grundlage bilde eine durchgängige Ende-zu-Ende-Verschlüsselung, die gewährleiste, dass nur der Anwender selbst die Daten lesen kann – weder Teamdrive noch irgendeine Behörde auf der Welt könne die Daten entschlüsseln.

Freude bei Owncloud

Für die positive Einschätzung deutscher Provider steht Tobias Gerlinger, CEO und Managing Director von Owncloud in Nürnberg. Das Unternehmen, Spezialist für Digital Collaboration, begrüßt ausdrücklich die Entscheidung des Europäischen Gerichtshofs in Bezug auf den EU. US. Privacy Shield, die den Transfer jedweder persönlicher Daten in amerikanische Public-Cloud-Dienste wie „Microsoft OneDrive“, „Google Drive“, „Dropbox“ oder „Box.com“ für unrechtmäßig erklärt. Denn mit dem Urteil rückten europäische Alternativen wie das Cloud-Projekt „Gaia-X“ und auf Open-Source-basierende Content-Collaboration-, Enterprise-Filesync- und Fileshare-Angebote in den Vordergrund.

Tobias Gerlinger, CEO und Managing Director von Owncloud: „Der heutige Tag ist ein Sieg für den Datenschutz und ein großer Schritt hin zur digitalen Souveränität Europas. Der EuGH hat erkannt, dass das Datenschutzniveau in den USA bei weitem nicht den Vorgaben der DSGVO entspricht und das der EU-US Privacy Shield damit nichtig ist.“
Tobias Gerlinger, CEO und Managing Director von Owncloud: „Der heutige Tag ist ein Sieg für den Datenschutz und ein großer Schritt hin zur digitalen Souveränität Europas. Der EuGH hat erkannt, dass das Datenschutzniveau in den USA bei weitem nicht den Vorgaben der DSGVO entspricht und das der EU-US Privacy Shield damit nichtig ist.“
(Bild: Owncloud)

Das heutige EuGH-Urteil beinhalte eine klare Anweisung an alle Unternehmen, Behörden und Organisationen: Der sogenannte EU-US Privacy Shield darf ab sofort nicht mehr angewendet werden, um den Transfer persönlicher Daten in die USA zu begründen. Die Standard-Vertragsklauseln der Europäischen Union können als Grundlage genutzt werden, dabei muss aber jeweils überprüft werden, ob das hohe Datenschutzniveau der EU eingehalten wird. Diese Prüfung obliegt dem jeweiligen Unternehmen, das die Datenhoheit ausübt.

In der Praxis wird diese Prüfung aber entweder nicht möglich sein oder aber sie wird spätestens an der Gesetzeslage in den USA scheitern. Solange ein Zugriff über den US Cloud Act nicht ausgeschlossen werden kann, betrifft das Urteil auch alle Cloud-Dienste von US-amerikanischen Muttergesellschaften – unabhängig davon, ob sich das Rechenzentrum in Deutschland oder einem anderen Land befindet.

Gerlinger sagt: „Mit dem Urteil des Europäischen Gerichtshofs ist es nun auch amtlich, dass die Zertifizierungen der großen amerikanischen Cloud-Anbieter Microsoft, Google, Amazon und Co. nach dem ,EU-US-Privacy-Shield-Abkommen’ nicht einmal das Papier wert sind, auf dem sie stehen. Der Transfer personenbezogener Daten von EU-Bürgern durch diese Cloud-Dienste in die USA verstößt gegen EU-Recht. Da ein solcher Transfer wegen des US Cloud Act auch bei Speicherung der Daten in der EU nicht ausgeschlossen werden kann, wird die Nutzbarkeit amerikanischer Cloud-Dienste für europäische Unternehmen und Behörden de facto stark eingeschränkt.“

(ID:46726491)

Über den Autor

 Ulrike Ostler

Ulrike Ostler

Chefredakteurin DataCenter-Insider, DataCenter-Insider