Werte Verantwortliche,

wie Sie bereits der Presse entnehmen konnten, hat der EuGH das im Datenschutz wegweisende Schrems II Urteil gefällt und das Privacy Shield Abkommen – wie den Vorgänger Safe Harbor – gekippt. Nachdem sich der Pulverdampf (Sie erinnern den Hype um die DSGVO in 2018) ein wenig gelichtet hat, wenden wir uns mit weiterführenden Informationen an Sie, um unseren Unterrichtungs- und Beratungspflichten nachzukommen. Wie stets gilt auch hier: Entscheidungen werden von Ihnen getroffen und verantwortet, wir werden Sie hierbei begleiten und Sie bestmöglich informieren.

Die allermeisten Unternehmen nutzen Dienste oder Programme, die von US-Firmen angeboten werden (Google, Microsoft etc.) In der Regel werden auch (personenbezogene) Daten dorthin übermittelt:

– Es befinden sich die Daten dort physikalisch (z.B. auf Servern eines Cloud-Anbieters)
– oder die Daten werden zwar in der EU verarbeitet, jedoch sind von den USA aus Zugriffe darauf möglich
– oder es gibt telemetrische Übertragungen (wenn ein Programm „nach Hause telefoniert“ wie etwa die Microsoft-Programme).

Ein bislang genutztes Rechtsinstrument, um Daten von EU-Bürgern legal in die Vereinigten Staaten exportieren zu können, was jenes sog. „Privacy Shield„-Abkommen. (Wir haben bei der Entwicklung Ihrer Verarbeitungsverzeichnisse bzw. im Bereich der Auftragsverarbeitung darauf Bezug genommen). Beinahe alle großen Anbieter wie Google, Amazon etc. haben an diesem Abkommen teilgenommen. Aus guten Gründen wurde dieses Abkommen allerdings wegen grundlegender Schutzlücken angegriffen. Hierüber hatte der EuGH nun unlängst zu entscheiden und hat geurteilt, daß der von der (europäischen) DS-GVO geforderte Datenschutzstandard nicht gewährleistet ist. Somit ist dieses Abkommen mit sofortiger Wirkung hinfällig.

Das bedeutet, jede Übermittlung (im Sinne einer Verarbeitung), bei der sich ein AV-Vertrag darauf stützt, ist ab sofort verboten und darf nicht fortgesetzt werden. Zahlreiche AV-Verträge, die bis vor kurzer Zeit in Ordnung waren, sind somit leider ungültig.

Als Verantwortlicher oder Auftragsverarbeiter müssen Sie nun also handeln, um die Übermittlung wieder auf „legale Füße zu stellen“. Daraus entstehen Fragen für Sie, bei deren Beantwortung wir Sie begleiten wollen.

Betrifft Sie das ?

Bitte sichten Sie die AV-Verträge, die Sie mit Ihren Auftragsverarbeitern eingegangen sind. Durch uns wurden ausnahmslos alle Verträge geprüft, die Sie uns vorgelegt haben. Bitte beachten Sie hierbei, daß unsere Erfahrung zeigt, daß uns nicht alle Verträge vorliegen. Das ändert aber nichts an deren Rechtsunwirksamkeit bzw. den hier besprochenen Problemen, die Sie bekommen, wenn Sie diese Sachverhalte ignorieren. Bitte übersenden Sie uns neue oder ungeprüfte Vertragswerke zur Prüfung !

•    Für hinzugekommene oder noch nicht geprüfte / uns unbekannte Verträge gilt: Ihr betriebsinterner Datenschutzkoordinator muß sich zunächst die AV-Verträge ansehen und nach darin eventuell vorhandenen Verweisen auf Datenverarbeitung außerhalb der EU forschen. Besondere Beachtung verdient hier der Punkt der Folgeverarbeiter.

•    Bei bereits von uns geprüften AV-Verträgen ist es einfacher: Hier gibt es das Prüfdokument von uns, das Ihnen zu ausnahmslos jedem Vertrag vorliegt. Darin finden Sie auf Seite 2 unten ein Prüffeld „Bedingungsprüfung“ zur Verarbeitung außerhalb der EU.

Was müssen Sie als Unternehmen aufgrund des Urteils des EuGH tun, wenn Sie betroffen sind?

1.    Wurde an vorstehend benannter Stelle das Privacy Shield-Abkommen als Rechtsinstrument für die Übermittlung bei Ihrem AV-Vertrag in die Vereinigten Staaten genannt, besteht Handlungsbedarf:
     Wenn der AV-Vertrag Ihrem Partner erlaubt, Daten in den USA auf Grundlage des Privacy-Shield-Abkommens verarbeiten zu lassen, ist dieser nun ungültig
     Wenn der AV-Vertrag Ihrem Partner erlaubt, Subunternehmer (Folgeverarbeiter) einzubinden, die Daten in den USA gemäß dieser Vereinbarung verarbeiten, ist dieser ebenfalls ungültig
2.    Bitte melden Sie uns die betroffenen Verträge. Sie müssen nun zusätzlich die sog. „EU-Standardvertragsklauseln“ mit ihrem Partner abschließen. In der Praxis wird dies häufig auch dadurch erreicht, daß bspw. Microsoft im Bereich Office 365 / Apps for Enterprise bereits aktualisierte Vertragswerke anbietet, die teilweise noch auf den alten DPAs fußen. Bitte kontaktieren Sie hier dringend Ihren Lizenzhändler / Systemhaus. Nach der Aktualisierung der Verträge ist – in aller Regel – die Welt wieder in Ordnung.

Wichtig: Niemand darf diese SCC im Wortlaut abändern und muß mit seiner Gegenzeichnung Gewähr dafür bieten, daß er sich auch wirklich daran hält. Sie als verantwortliche Stelle haben hier selbstverständlich ein Prüfrecht und bei Zweifeln auch eine Prüfpflicht, bei der wir Sie gerne unterstützen.

3.    Auch die EU-Standardvertragsklauseln alleine reichen nicht aus, denn nach Auffassung des Urteils des EuGH sind sie wirkungslos, wenn sie das von der EU geforderte Schutzniveau nicht einhalten  – das ist dann der Fall, weil im Drittland ein nationales Gesetz entgegensteht. Sollten wir beim Sichten der Verträge hier etwas finden (Stichwort FISA) , werden wir berichten und Sie in die benötigte Handungsfähigkeit bringen.

Natürlich lautet die nach der Lektüre des obenstehenden auftauchende Frage stets:

Und jetzt ?!

Wir wissen um die Hemmnisse (und Aufwände), die das für Sie nach sich zieht. Es ist uns klar, daß dies in Ihrem Betrieb Fragen aufwirft und man auf unternehmenskritischen Anwendungen nicht einfach „den Stecker ziehen“ kann.  Wir gehen davon aus, daß gerade bei den prominentesten Kandidaten wie Office Apps for Enterprise es sich auszahlt, daß Microsoft aufgrund seiner schieren Größe hier mitarbeiten muss und das  mit den aktuellen DPAs / OSTs auch tut. Dennoch müssen wir Ihnen mitteilen, daß Sie selbst handeln müssen, weder Microsoft noch Ihr Datenschutzbeauftragter wird und kann das für Sie tun.  Die Themen im Microsoft Umfeld (Office, Dynamics, Azure)) finden Sie u.a. auch hier übersichtlich aufgearbeitet.

Näheres zu dem Urteil des EuGH – nur, falls Sie die Hintergründe interessieren:

Warum wurde das „Privacy Shield“ gekippt?

Die wesentlichen Gründe sind, daß…
1. für EU-Bürger kein wirksamer Rechtsbehelf gegen Überwachungsmaßnahmen besteht. Es gibt zwar eine „Ombudsperson“, die aber keine robusten Einsichtsrechte in das Vorgehen der Sicherheitsbehörden der USA hat und erst recht dem betroffenen EU-Bürger nicht helfen kann, seine Rechte durchzusetzen.
2. die Überwachungsmaßnahmen nicht zielgerichtet sind. Auch Gefahrenabwehr- und Strafver-folgungsbehörden in EU-Ländern dürfen „schnüffeln“, jedoch müssen solche Maßnahmen geeignet, erforderlich und erfolgversprechend sein und hier gilt i.d.R. ein „Richtervorbehalt“, also eine gerichtliche Anordnung. Bei Massenüberwachung gibt es diese nicht sondern es wird wahl- und grundlos überwacht, was dem Rechtsverständnis in der EU widerspricht (siehe nächster Punkt).
3. die für EU-Verhältnisse zu weitreichenden Zugriffsmöglichkeiten von Behörden in den USA verstoßen gegen die Artikel 7 und 8 der EU-Grundrechtecharta (Privatsphäre, Datenschutz) so-wie Art. 47 (effektiven gerichtlichen Rechtsschutz), weil das Privacy Shield die Sicherheitsinte-ressen der USA über das Persönlichkeitsrecht von EU-Bürgern stellte, ohne Schutzgarantien vorzusehen, die denen in der EU gleichen. Damit hat das Privacy Shield-Abkommen von vorn herein gegen EU-Recht verstoßen, was nunmehr festgestellt ist und damit ab sofort Gültigkeit hat.

Gibt es noch andere, „legale“ Möglichkeiten, in den USA Datenverarbeitungen durchführen zu lassen?

Ja, die gibt es. Diese Verfahren, um Datenübermittlungen in die USA zu legitimieren, ist im Einzelfall mit uns und vor allem, Ihrem Auftragsverarbeiter abzustimmen und vertraglich zu regeln und sind wie folgt:

– Entweder, Sie sind Teil eines Konzerns, dann kann für konzerninterne Übermittlungen in Koooperation mit uns und den Aufsichtsbehörden ein Regelwerk zur Übermittlung in jedwede Dritt-länder erstellt werden. Dies ist jedoch sehr aufwendig, langwierig und teuer. Es ist also keine kurzfristige Lösung und für kleine und mittelständische Betriebe unsinnig.

– Sie führen einmalige Übermittlungen durch
– Sie haben die Einwilligung jedes einzelnen Betroffenen.

– Letztes Mittel: Es werden technische Maßnahmen wie z.B. die Kombination starker Verschlüsselung mit Mehrfaktor-Authentifizierung und Pseudonymisierung getroffen, um US-Behörden den Zugriff auf technischer Ebene unmöglich zu machen. Das birgt aber 1. das Risiko für den Auftragsverarbeiter, in seinem Heimatland illegal zu handeln und dafür bestraft zu werden und 2. das Risiko, daß nicht gesagt werden kann, welche Hintertürchen Geheimdienste haben, um die Schutzmaßnahmen auszuhebeln. Auch dies ist unpraktisch.
Diese Optionen sind nur in seltenen Einzelfällen praxistauglich, doch auch hier beraten wir Sie gerne.

Autor: Bernhard Schuhmann