Schrems II – EU US Privacy Shield unwirksam. Datenübermittlung in die USA ohne geeignete Garantien rechtswidrig. Bußgelder und Betriebsschließungen drohen.

US Präsident, FBI, CIA, NSA dürfen aufgrund verschiedener US Gesetze (Patriot Act, Freedom Act, Cloud Act) ohne richterlichen Beschluss auf Post, Telekommunikation und Datenübermittlungen, sprich auf Server von Organisationen und Unternehmen mit Sitz in den USA (gilt auch für die Tochterunternehmen im Ausland, Deutschland) zugreifen.

Betroffen sind insbesondere E-Mails, Telefongespräche, Videokonferenzen, Chats, Cloud-Daten. Dies gilt für alle Anbieter mit Servern sowie „Leitungen & Kabeln“ in den USA, in die USA und aus den USA. Die US Behörden haben damit z.B. mit der NSA Software PRISM auch Zugriff auf Verbraucher- und Kundendaten, die von Werbe- und Tracking Tools wie z.B. Google Analytics erhoben und analysiert werden, wenn Webseiten besucht werden.

Nach Ansicht des EuGH, Urteil vom 16.07.2020 – Rechtssache C-311/18 „Facebook Ireland und Schrems“ besteht deswegen in den USA kein ausreichendes und angemessenes Datenschutzniveau zur Übermittlung von Daten in die USA. Der einst erteilte EU Angemessenheitsbeschluss „EU US Privacy Shield“ wurde – wie bereits 2015 „Safe Harbor – für unwirksam erklärt: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:62018CJ0311&from=DE

Unternehmen müssen nun andere, geeignete Garantien gem. Art. 46 ff. DSGVO zur Übermittlung in Drittstaaten (Nicht-EU Staaten) prüfen, mit denen sich eine sichere Übermittlung herstellen lässt. In Frage kommen die sogenannten EU Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO, die der EuGH nach wie vor für einsetzbar hält, solange und soweit sichergestellt ist, dass das Datenschutzniveau im Rahmen der Datenübermittlung sichergestellt werden kann z.B. durch „geheimdienstsichere“, starke Verschlüsselung (Geheimdienst hat keinen Schlüssel), Pseudonymisierung oder Anonymisierung. Liegt z.B. Auftragsverarbeitung zwischen Unternehmen X mit Sitz in Deutschland und Unternehmen Y mit Sitz in den USA vor, weil X Clouddienste und / oder HR Services des Y in den USA nutzt, müssen neben einem Auftragsverarbeitungsvertrag zusätzlich z.B. EU Standardvertragsklauseln oder innerhalb eines Konzerns sogenannte Binding Corporate Rules (BCR) gem. Art. 46 Abs. 2 lit. b), 47 DSGVO geschlossen und z.B. starke Verschlüsselung oder Anonymisierung eingesetzt werden. BCR müssen von der Aufsichtsbehörde genehmigt werden.

Da sich die Herstellung des Datenschutzniveaus nicht erzwingen lässt bzw. sich Behörden nicht durch irgendwelche zivilrechtlichen Vereinbarungen oder Standardvertragsklauseln zwischen privaten oder privatwirtschaftlichen Parteien binden lassen, wird es insbesondere darauf ankommen, welche technisch-organisatorischen Maßnahmen (TOM) und Garantien gem. Art. 46,47,49 DSGVO neben den Standardvertragsklauseln ergriffen werden, um eine überwachungssichere Übermittlung zu gewährleisten.

Es besteht zudem eine Gemengelage mit den Planet49 Urteilen des EuGH und BGH, über die wir bereits berichteten: https://www.nietzer.info/blog/2020/06/02/bgh-folgt-eugh-planet49-voreingestelltes-ankreuzkaestchen-opt-out-stellt-keine-rechtmaessige-einwilligung-fuer-den-einsatz-von-werbe-und-tracking-cookies-dar/

Befinden sich die Server von Drittanbietern wie z.B. Google (auch) in den USA, müssen mit Google Standardvertragsklauseln geschlossen werden, wenn man Google Analytics einsetzen will. Die informierte Einwilligung mit dem Webseitenbesucher müsste dann u.a. darüber aufklären, dass die US Behörden auf seine Nutzerdaten zugreifen können und der Nutzer konkret darin einwilligt.

Die Aufsichtsbehörden der Länder kündigten bereits viele Kontrollen an. Maßnahmen wie z.B. Bußgelder oder Betriebsschließungen drohen. Wir unterstützen Sie hierbei gerne.

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen