Das EU-US Privacy Shield dient als Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA. Bereits seit in Kraft treten wird das EU-US Privacy Shield von Seiten der Datenschützer als unzureichend erachtet. Aktuell läuft im Hinblick auf das EU-US Privacy Shield ein Verfahren vor dem EuGH. Gerade im Hinblick auf die neusten Entwicklungen in den USA wird die Rechtswidrigkeit des EU-US Privacy Shields immer wahrscheinlicher.
Worum geht es ?
Am EuGH ist aktuell eine Vorabentscheidung des Irish High Court anhängig (Rechtssache: C-311/18). Am 12. Dezember wird der EU-Generalanwalt seine Einschätzung zur Rechtmäßigkeit des EU-US-Privacy Shields abgeben. Die finale Entscheidung des EuGH wird einige Wochen nach der Einschätzung des EU-Generalanwaltes erfolgen.
Im zu Grunde liegenden Verfahren klagt der Datenschützer Max Schrems gegen Facebook. Herr Schrems hatte bereits in dem Rechtssttreit C-362/14 - Schrems / Data Protection Commissioner (Urteil des EuGH vom 06.10.2015) eine entscheidende Rolle gespielt (siehe
Blogbeitrag). Im vorherigen Rechtstreit ging es um die Rechtmäßigkeit des Safe Harbor Abkommens zwischen der EU und den USA. Das Safe Harbor Abkommen stellte den Vorläufer des heutigen EU-US Privacy Shields dar. Dieses wurde in dem Verfahren als unzureichend für den Datenexport angesehen und für unrechtmäßig erklärt.
Im aktuellen Verfahren ist der Irish High Court der Auffassung, dass durch die Regierungsbehörden der Vereinigten Staaten eine gezielte und massive Überwachung europäischer Bürger stattfindet. Die Datenübertragung in die USA ist insbesondere vor dem Hintergrund des "Clarifying Lawful Overseas Use of Data Act" (CLOUD Act) (wir
berichteten) schwierig. Auf Grundlage des CLOUD Act haben US Behörden einen Anspruch auf Herausgabe aller bei einem Unternehmen gespeicherten Daten. Hiervon umfasst sind grundsätzlich auch Daten von EU-Bürgern.
Wie spielt die aktuelle politische Situation in die Entscheidung mit ein?
Die Entscheidung des Generalanwaltes könnte auch durch eine neuerliche Überlegung in den USA beeinflusst werden. Die US-Regierung unter Donald Trump spielt mit dem Gedanken die Ende-zu-Ende Verschlüsselung zu verbieten (
https://www.politico.com/story/2019/06/27/trump-officials-weigh-encryption-crackdown-1385306 - Englischer Beitrag). Dies schafft ein großes Sicherheitsrisiko für sensible personenbezogene Daten. Zudem könnten US Behörden im Rahmen des Cloud Actes alle Daten von EU-Bürgern ohne größeren Aufwand auslesen und verwerten.
Einen Schutz personenbezogener Daten in den USA wäre durch die Aufhebung der Ende-zu-Ende Verschlüsselung rein praktisch nicht mehr möglich. Hiervon umfasst sind selbst die heute alltäglichen Dienste wie Facebook, Whatsapp und co., die eine Ende-zu-Ende Verschlüsselung anbieten. Neben den personenbezogenen Daten stellt ein Verbot der Ende-zu-Ende Verschlüsselung auch ein Risiko für sensible Unternehmens- und Wirtschaftsdaten dar.
Die EU-Kommission hat auf Anfrage eines Europaabgeordneten am 20.11.2019 bereits angekündigt, dass mögliche Konsequenzen im Hinblick auf das EU-US Privacy Shield geprüft werden sollen (
https://www.europarl.europa.eu/doceo/document/E-9-2019-002780-ASW_EN.pdf - Stellungnahme in Englisch).
Mögliche Folgen
Datenschützer kritisierten das EU-US Privacy Shield bereits unmittelbar nach Verabschiedung. Aufgrund der zahlreichen Lücken und Probleme wie z.B. den CLOUD Act ist es nicht unwahrscheinlich, dass das EU-US Privacy Shield gekippt wird.
Im Falle der Rechtswidrigkeit des Privacy Shields ist zu erwarten, dass die EU-Kommission zusammen mit den USA nach einer Lösung suchen wird. Da die Auswirkungen auf den Wettbwerb und die alltägliche Arbeit vieler Unternehmen gravierend sein wird. Ob und in wieweit eine Übergangsfrist für das Privacy Shield gewährt wird ist aktuell vollkommen unklar.
Die Zeit zwischen dem neuen und der neuen Rechtsgrundlage wird allerdings in rechtlicher und tatsächlicher Hinsicht schwierig.
Variante 1: Kein Kippen des EU-US Privacy Shield
In dieser Variante entstehen keine Folgen für die Datenschutzerklärung und die Ausgestaltung der Internetseite.
Variante 2: Unzulässigkeit des EU-US Privacy Shield
Sofern der EuGH das EU-US Privacy Shield als unzulässig erklärt, gilt die USA als unsicherer Drittstaat. Dadurch werden auf einen Schlag alle Übermittlungen personenbezogener Daten, die auf dem US-Privacy Shield beruhen, rechtswidrig. Insbesondere im Hinblick auf die zur Verfügung stehenden Marketingtools und Webtracker werden gravierende Probleme entstehen. In Fall der Rechtswidrigkeit muss man alle im Einsatz befindlichen Webtools prüfen. Sind diese nicht mehr datenschutzkonform einsetzbar, dürfen diese aus rein rechtlicher Sicht nicht mehr verwendet werden.
Ein Einsatz von Webtrackern, die Daten in die USA übermitteln, wäre dann nur noch im Rahmen anderer Rechtsgrundlagen (wie z.B. Binding Corporate Rules oder Standardvertragsklauseln) zulässig.
Ebenfalls besteht die Möglichkeit sich die Einwilligung des Seitenbesuchers im Hinblick auf die Übermittlung einzuholen. Diese Einwilligung kann z.B. auch über das Cookiebanner eingeholt werden. Bedingung hierfür ist, dass das gesetzte Cookie auch tatsächlich Daten in die USA übertragen und der Nutzer hierüber ausreichend aufgeklärt wird.
Fazit
Bevor man in Panik verfällt, sollte man die Stellungnahme des EU-Generalanwaltes abwarten. Ist dieser der Auffassung, dass das Privacy Shield rechtswidrig ist, sollte man sich auf die Probleme vorbereiten. Hier hilft es sich bereits jetzt zu überlegen welche Webtools im Einsatz sind, die auf dem EU-US Privacy Shield beruhen.
Dank des technischen Prüfberichtes von Website-Check können Sie die Webtools schnell identifizieren. Im technischen Prüfbericht sind die Webtools erfasst. Im Bereich "Status" sind diese wie folgt beschrieben: "Datenschutzrechtskonform einsetzbar: Privacy Shield zertifizierter Service aus den USA".
Wir halten Sie in der Angelegenheit auf dem Laufenden.
Falls Sie eine Webseite oder einen Online-Shop betreiben und Ihren Internetauftritt effektiv, nachhaltig gegen teure Bußgelder und Abmahnungen absichern möchten, stehen wir Ihnen mit unserem
Website-Check bzw. unserem Paket für einen
rechtssicheren Online-Shop gerne zur Seite. Sie erhalten von uns die auf Ihre Webseite angepassten Rechtstexte (Impressum, DSGVO-konforme Datenschutzerklärung, Widerrufsbelehrung, Muster-Widerrufsformular), die Sie dann auf nur noch auf Ihrer Seite einpflegen müssen. Darüber hinaus wird Ihre Seite durch einen spezialisierten Rechtsanwalt geprüft, selbstverständlich inklusive Haftungsübernahme.