Wenn DSGVO auf Realität trifft, wollen die Aufsichtsbehörden keine Gefangenen machen
Mit dem auch als „Schrems II“ bekannten Urteil (Rechtssache C-311/18) hat der EuGH am 16. Juli 2020 mit sofortiger Wirkung eine Datenübermittlung aus der EU in die USA auf Grundlage des sog. „Privacy Shield“ für rechtswidrig erklärt.
Außerdem hat der EuGH die Datenschutzaufsichtsbehörden aufgefordert, Datenübermittlungen auch auf anderer rechtlicher Grundlage der DSGVO, den EU-Standardvertragsklauseln (auch als „Standard Contractual Clauses“ (SCC) bekannt) oder verbindliche interne Datenschutzvorschriften (auch als „Binding Corporate Rules“ (BCR) bekannt), zu unterbinden, wenn im Zielland die Vertragsklauseln aufgrund der dortigen Gesetze nicht eingehalten werden können – etwa weil die dortigen Gesetze zur staatlichen Überwachung EU-Bürgern keine „Gleichwertigkeit im Schutzniveau“ bieten. Für die USA hat der EuGH diese Fragen zugleich klar mit „nein“ beantwortet, sodass sich die Frage stellt, auf welcher Grundlage US-Dienste im Internet überhaupt noch datenschutzkonform in der EU eingesetzt werden können. Hier wurde in den vergangenen Wochen oftmals sehr optimistisch angenommen, dass die Datenschutzaufsichtsbehörden sicherlich eine „pragmatische“ Lösung vorgeben würden und insbesondere SCC und BCR eine weiterhin sichere Rückfalloption wären.
Diese Hoffnungen wurden jedoch alle enttäuscht: Inzwischen liegen eine Reihe von Stellungnahmen der Datenschutzaufsichtsbehörden vor, die den juristischen Todesstoß für die Nutzung nahezu aller relevanten Cloud- oder „Software as a Service“-Angebote (SaaS) von Unternehmen mit Sitz in den USA bedeuten. Der Europäische Datenschutzausschuss EDPB, also des Verbunds der Aufsichtsbehörden in Europa (https://edpb.europa.eu/[...]/recommendations-012020-measures-supplement-transfer_en), wie auch die deutsche Konferenz der Datenschutzbeauftragten DSK (https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf), interpretieren in ihren Stellungnahmen das Urteil und die Rechtslage so, dass Datenübermittlungen in Drittländer außerhalb von EU und EWR auch nicht auf Grundlage von SCC oder BCR möglich wären, ohne dass zuvor eine umfängliche rechtliche Prüfung des Datenschutzniveaus im Drittland erfolgt. Dieses wird von Seiten mancher Aufsichtsbehörden, wie etwa dem LfDI Rheinland-Pfalz, zwar als „machbar“ oder sogar „einfach“ dargestellt (z. B. hier: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Pruefschritte_Datenuebermittlung_in_Drittlaender_nach_Schrems_II.pdf) – was allerdings nicht der Realität entspricht (vgl. hier: https://www.gdd.de/aktuelles/startseite/handlungsempfehlung-gdd-eugh-eu-us-privacy-shield-SCC).
Gerade wenn zusätzliche Maßnahmen zur Sicherung der Einhaltung der DSGVO im Ausland gefordert werden, erweisen sich vertragliche Regelungen, die geltendes Recht aushebeln sollen (auch „SCC+“ genannt, https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Datentransfers_nach_Schrems_II_20201110.pdf), als untauglich. Daran wird auch nicht die angekündigte Neufassung der SCC durch die EU-Kommission etwas ändern können (die durchaus gelungenen ersten Entwürfe hier: https://ec.europa.eu/[...]/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries). Denn egal wie die vertraglichen Maßnahmen zwischen einem „Datenexporteur“ in der EU und einem „Datenimporteur“ in einem Drittstaat, wie den USA, gestaltet werden: Stehen diese im Widerspruch zu den rechtlichen Regelungen des Drittstaates, wird das örtliche Recht jedem Vertrag immer vorgehen, der Anbieter also etwa einem Gerichtsbeschluss nachkommen und Daten eines EU-Bürgers seinen Behörden übergeben müssen, ohne den Betroffenen darüber in Kenntnis setzen zu dürfen. Vergleichbare Vorschriften existieren allerdings auch so in den Staaten der EU, sodass das Bundesverfassungsgericht keinen dem EuGH vergleichbar hohen Anspruch postuliert. Rechtlich bewegt sich der EuGH insoweit auch auf „dünnem“ Eis, da der EU Kompetenzen hinsichtlich Fragen der nationalen Sicherheit fehlen.
Auch die Idee, mit Hilfe entsprechenden TOMs dieses Risiko zu minimieren, dürfte gegenüber staatlichen Stellen fern jeder Realität sein. Während beispielsweise harte Verschlüsselung Daten in der Cloud gegen einen Zugriff Dritter zu sichern vermag, ist dieses gegenüber einem SaaS- oder Cloud-Dienst, der zumindest ein Teil der Verarbeitung der Daten in einem Land außerhalb des Geltungsbereichs der DSGVO vornimmt, schlicht nicht möglich. Denn wenn der Diensteanbieter keinen Zugriff auf die (Klar-)Daten hat, kann er diese auch nicht vertragsgemäß verarbeiten. Das aber trifft für fast alle Social-Media-Plattformen, Videokonferenzsysteme, CRM-Tools, HR-Datenbanken, Officeanwendungen, Betriebssysteme, Analysetools, Shopsysteme usw. zu. Sprich – für fast alles, was nicht erst seit der Corona-Pandemie den beruflichen Alltag vieler Menschen in der EU bestimmt.
Die Auswirkungen des Urteils und dieser Positionierung sind immens, da damit sehr viele Bereiche der Datenverarbeitung betroffen sind und eine rechtskonforme Lösungsmöglichkeit praktisch ausgeschlossen wird. Wer als juristischer Berater etwas anderes suggeriert, begeht hier schnell einen schwerwiegenden Beratungsfehler. Angesichts der drohenden Sanktionen bei Verstößen, ist dieses kein Risiko, dass ein seriöser Berater eingehen sollte – auch nicht aus falsch verstandener Zurückhaltung gegenüber den Nöten redlicher Datenverarbeiter. Denn was von den Datenschutzaufsichtsbehörden als Notwendigkeit zur „Umstellungen von Geschäftsbeziehungen und Geschäftsmodellen“ beschrieben wird, hat leider das Potential, die Akzeptanz der DSGVO und der Hinweise der Aufsichtsbehörden in Organisationen und Unternehmen – aber eben auch von Datenschutzexperten, die darauf hinweisen müssen – nachhaltig zu beschädigen. Denn für viele Produkte – sei es Betriebssysteme, Datenbanken, CRM, Officelösungen oder Videokonferenzsysteme – gibt es zurzeit schlicht keine gleichwertige, datenschutzkonforme Lösung in oder aus der EU. Denn die Idee eines „europäischen Wegs der Digitalisierung“, wie er hier mit den Mitteln des Bußgelds oder der Untersagung durch die Aufsichtsbehörden vorgezeichnet wird, kann zwar einige Opfer kosten – wird aber nicht zeitnah oder vielleicht auch gar nicht zu wettbewerbsfähigen Anwendungen und Diensten führen. Politische Initiativen zur Schaffung einer europäischen Cloud, wie sie etwa bereits 2016 angekündigt wurden (https://ec.europa.eu/transparency/regdoc/rep/1/2016/DE/1-2016-178-DE-F1-1.PDF), haben dahingehend bislang jedenfalls keinen Erfolg gezeigt.
Viele Betroffenen werden somit den Datenschutz schlicht als „unrealistisch“ ignorieren (müssen) – und die Frage nach der Vereinbarkeit mit der DSGVO einem Experten im Zweifel schon deswegen nicht mehr stellen, weil dieses den Verschuldensmaßstab hin zum Vorsatz verschlechtern kann und ein drohendes Bußgeld damit sogar noch erhöhen würde.
Autor: Jan Mönikes, Rechtsanwalt
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.