Wegfall des Privacy Shield: Geschieht das bisher Undenkbare, die Speicherung von Daten in der EU statt Datentransfer in die USA?

Die IT-Recht Kanzlei hat bereits vielseitig zu den Auswirkungen des EuGH-Urteils zum US-EU Datenschutzschild „Privacy Shield“ berichtet Es mehren sich die Anzeichen, dass nach dem Wegfall des „Privacy Shield“ die Rettung des Datentransfers in die USA über rechtliche Umgehungsmöglichkeiten wie Standardvertragsklauseln (SCCs) datenschutzrechtlich keine praktikable Lösung bringen und viele global agierende Unternehmen über das bisher Undenkbare nachdenken: Speicherung der in der EU erhobenen personenbezogenen Daten in der EU, statt Transfer dieser Daten in die USA. Nur ein Gedankenexperiment?

Der EuGH hat in seiner Entscheidung zum „Privacy Shield“ klargestellt, dass das US-Recht, das US-Behörden den Zugang auf personenbezogene Daten aus der EU aus nationalen Sicherheitsgründen ermöglicht, zu einer mit dem EU-Datenschutzrecht nicht vereinbaren Einschränkung des Schutzes personenbezogener Daten führt.

Der EuGH moniert weiterhin, dass EU-Bürgern in den USA in Fragen des Datenschutzes keine durchsetzbaren Klagen vor US-Gerichten gewährt wird.

Aus diesen Gründen wurde das Privacy-Shield-Abkommen für unwirksam erklärt.

Andere nach Art. 46 DSGVO vorgesehene Schutzgarantien wie Standardvertragsklauseln im Rahmen eines Datentransfers in die USA wurden zwar nicht für unwirksam erklärt, sie müssen aber bei einem Datentransfer in ein Drittland wie die USA sicherstellen, dass das Schutzniveau der DSGVO unbedingt eingehalten wird.

Global agierende Tech-Unternehmen wie Google versuchen zwar, den bisherigen Transfer von in der EU erhobenen Daten in die USA über solche Standardvertragsklauseln (Art. 46 DSGVO) zu retten. Das scheint allerdings rechtlich problematisch zu sein (wir berichteten).

Der Bundesbeauftragte für den Datenschutz äußert in einer Stellungnahme hierzu, dass eine Übermittlung von Daten in die USA nur dann über Standardvertragsklauseln begründet werden kann, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.

Dabei müssen die Umstände des Datentransfers von Fall zu Fall betrachtet werden.

An welche zusätzlichen Maßnahmen zu denken ist, darüber schweigt sich der Bundesbeauftrage aber aus.

Auch der Europäische Datenschutzausschuss hat an dem Weg, über Standardvertragsklauseln den Datentransfer in die USA zu ermöglichen, erhebliche Zweifel geäußert.

Im Rahmen einer Stellungnahme zu dem Urteil des EuGH kommt dieser Ausschuss zu dem Ergebnis, dass sog. Standardvertragsklauseln für einen Datentransfer in ein Drittland wie die USA gemäß dem EuGH-Urteil zwar nach wie vor möglich, aber kaum praktikabel seien, da zu viele Hürden überwunden werden müssen:

Die vom EUGH dargelegten Anforderungen an einen Datentransfer in die USA (kein Zugang von US-Sicherheitsbehörden zu personenbezogenen Daten von EU-Bürgern, wirksame Interventionsrechte von EU-Bürgern vor US-Gerichten bei Verletzung ihrer personenbezogenen Daten) gelten auch für andere Schutzgarantien nach Art. 46 DSGVO bei einem Datentransfer in die USA wie insbesondere dem Einsatz von Standardvertragsklauseln.

Diese Klauseln können nur verwendet werden, wenn die Einhaltung eines Schutzniveaus gewährleistet ist, das dem Standard der Datenschutzgrundverordnung (DSGVO) in der EU entspricht und ein Verbot eines Datentransfers dann gewährleistet ist, wenn diese Klauseln nicht eingehalten werden können. Dem Datenexporteur und dem Datenimporteur wird die Verpflichtung zur Prüfung aufgebürdet, dass das Drittland USA, in das Dateien transferiert werden, ein Datenschutzniveau entsprechend DSGVO respektiert. Der Datenexporteur hat die Verpflichtung, bei Nichteinhaltung der Standardvertragsklauseln den Datentransfer zu stoppen und den Vertrag mit dem Datenimporteur zu beenden. Zusätzliche Maßnahmen, die die Standardvertragsklauseln ergänzen, sollen auf der Grundlage einer Einzelfallprüfung sicherstellen, dass US-Recht das Datenschutzniveau der EU auf keinen Fall beeinträchtigen kann.

Wenn Zweifel bestehen, ob ein Datentransfer rechtlich möglich ist, ist dies der zuständigen Aufsichtsbehörde zu melden.

Leider führt der Ausschuss nicht aus, an welche zusätzlichen Maßnahmen hier zu denken ist.

Es bleibt also vorerst die lokale Speicherung von personenbezogenen Daten in Europa als praktikable Lösung.

Es mehren sich die Stimmen, so etwa diejenige des Berliner Datenschutzbeauftragten, die nach dem Urteil des EuGH dazu aufrufen, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern.

Eine wachsende Anzahl von Firmen wartet nicht darauf, ob Standardvertragsklauseln oder andere rechtliche Möglichkeiten einen Datentransfer in die USA ermöglichen, sondern sie speichern ihre in Europa erfassten personenbezogenen Daten bereits jetzt auf Servern, die in Europa lokalisiert sind.

Nach einer Übersicht von Politico gilt das für Firmen wie „Kaspersky“ oder den Passwort-Manager „Dashlane“. Internationale Anwaltsfirmen raten ihren Klienten laut Politico erstmals dazu, auf lokale Speicherung von erhobenen personenbezogenen Daten zu setzen.

Für Tech-Unternehmen wie Google oder Facebook, deren Geschäftsmodell darauf basiert, personenbezogene Daten weltweit zu sammeln und in die USA zur weiteren Verarbeitung und Auswertung zu transferieren, wäre eine Regionalisierung der Datenspeicherung ein ziemlicher Schlag.

Sie müssten ihre gesamte Unternehmensstruktur ändern und wären über Ihre regionalen Server in verstärktem Maße der Überprüfung durch regionale Aufsichtsbehörden, wie zum Beispiel den europäischen Aufsichtsbehörden ausgesetzt.
Es ist daher kein Wunder, dass Google versucht, den Datentransfer in die USA über Standardvertragsklauseln zu retten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.