Prelude
Schlimmer noch: Das europäische Datenschutzrecht sieht Bußgeldzahlungen vor, sobald geltendes Recht verletzt wird. Die modifizierten Standardvertragsklauseln sind zudem datenrechtlich keine rechtssichere Alternative mehr. Können Sie wirklich sicherstellen, dass bei Ihrem Geschäftspartner, in einem Drittland, alles datenschutzkonform abläuft? Denn genau das müssen Sie tun, um bspw. Daten auf einem Google- oder Facebookserver zu speichern. Dabei hilft es Ihnen auch nicht, wenn Sie dies über eine europäische Tochtergesellschaft tun. Durch den Cloud-Act haben amerikanische Ermittlungsbehörden selbst dann Zugriff auf die Daten von US-Dienstleistern, wenn diese im Ausland gemeldet sind. Und dieser Fakt verstößt gegen die DSGVO… Das bedeutet der Transfer von Daten aus der EU an bspw. Clouddienstleister wie Amazon, Microsoft oder Facebook ist rechtswidrig. In der Realität sind US-Softwareprodukte 2021 jedoch verbreiteter und systemrelevanter denn je. Insbesondere während des von Corona geprägten Jahres 2020 verzeichneten US-Anbieter große Zuläufe. Ob Videochats mit Zoom, die Verwendung der Microsoft Business-Suite „Office“ und den darin enthaltenen Basisprogrammen wie Excel und Word oder Datenspeicherung in Dropbox. Die Nutzerzahlen steigen immer weiter. Allerdings werden dort reihenweise personenbezogene Daten übermittelt. Und das auf nicht DSGVO gerechte Art.
1. Drohen Bußgelder in Millionenhöhe?
Die europäischen Aufsichtsbehörden hielten sich bis jetzt zurück. Auch Ihnen ist bewusst, dass weite Teile der internationalen Wirtschaft auf US-Dienstleiter angewiesen sind. Zu groß ist der Innovationsvorsprung und die Leistungsstärke amerikanischer Produkte. Parallel existieren keine ernstzunehmenden, europäischen Alternativen. Der EuGH ist dazu angewiesen, seine Urteile zu vollstrecken und ist per Dekret daran gebunden, die Untätigkeit / Kulanz seiner Aufsichtsbehörden nicht ewig hinzunehmen.
Im Dezember 2020 durchbrach Frankreich mit zwei Klagen gegen google.fr und amazon.fr, über 100 bzw. 35 Millionen Euro die trügerische Stille seit der Urteilsverkündung. Wie lange also noch bis das Kartenhaus in sich zusammenfällt?
Für die traditionell, exportorientierte deutsche Wirtschaft ist diese Situation sowohl frustrierend als auch gefährlich. Insbesondere im Hinblick auf die enorme Bedeutung des amerikanischen Markts als Investitionsstandort. Leistungsstarker, rechtssicherer internationaler Datentransfer ist unabdingbar für die Wirtschaft. Und genau dieser ist bedroht.
Neben Bußgeldern drohen auch Schadensersatzansprüche von Privatpersonen, deren Daten ins Ausland übermittelt werden, also etwa Kunden oder Mitarbeitern. Diese dürften insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht “eine abschreckende Höhe aufweisen.“ Insbesondere den deutschen Mittelstand, könnten Strafen in Millionenhöhe in die Knie zwingen. Gerade hier fehlen oft die Mittel um komplexe, datenschutzrechtliche Anforderungen nach den enorm anspruchsvollen Vorstellungen des EuGH umzusetzen. Welcher Mittelständler hat schon das Personal um EU-Datenschutzrichtlinien (Es sind viele) im Alltagsgeschäft akkurat zu bearbeiten, um sicherzustellen, dass ein Vertriebspartner außerhalb der EU datenschutzkonform arbeitet… Und selbst wenn diese Kapazitäten bestehen, dann sind die Optionen für legale Datentransfers immer noch sehr beschränkt.
Um zu verstehen, wie es zu dieser einmalig verworrenen Situation kommen konnte und was vor allem die Wege heraus sein könnten, begeben wir uns tief in den sehr komplexen europäischen Hasenbau…
2. Definitionsfrage
Um zu verstehen, warum momentan kein legaler Datenaustausch zwischen der EU und den USA möglich ist, ist es wichtig ein gemeinsames Verständnis als Grundlage zu schaffen, worüber wir uns eigentlich unterhalten. Die Komplexität des Themas liegt in der Definition von Begriffen und in unterschiedlichen Denkweisen. Starten daher mit der Definition von Datenschutz und Datensicherheit.
Datenschutz
“Schutz von natürlichen Personen vor Beeinträchtigungen ihrer Privatsphäre durch unbefugte bzw. missbräuchliche Erhebung, Speicherung und Weitergabe von Daten die ihre Person betreffen. „
Anders formuliert:
Datenschutz behandelt das Recht auf informationelle Selbstbestimmung
Also die Frage: Wer darf Wie meine Daten verarbeiten?
Datensicherheit
Ein ähnlich klingender Begriff ist „Datensicherheit“. Er wird häufig in einem Atemzug verwendet, hat jedoch einen anderen Fokus und ist nicht so eng definiert wie Datenschutz. Datensicherheit bezieht sich auf die generelle Sicherheit ALLER Daten, d.h. nicht nur von personenbezogenen Informationen. In diese Gruppe fallen Unternehmensdaten bzw. Daten von juristischen Personen.
Es wird also zwischen einem theoretischen und einem praktischen Schutz von Daten unterschieden.
3. Deutsche vs. europäische vs. amerikanische Sicht auf Datenschutz
Deutschland
Deutschland gewährt allen Bürgern das Grundrecht auf informationelle Selbstbestimmung. Im Grundgesetz wird dieses Recht allerdings nicht erwähnt, da der Datenschutz laut Bundesverfassungsgericht unter das allgemeine Persönlichkeitsrecht in Artikel 1 Absatz 1 des Grundgesetzes fällt. Jedes Bundesland verfügt über eigene Datenschutzgesetze. Auf Bundesebene münden diese Gesetze in das Bundesdatenschutzgesetz (BDSG), welches den Datenschutz für alle Bundesbehörden und privaten Bereiche reguliert. Das BDSG setzt die europäischen Datenschutzverordnung um.
Europa
Die europäische und die deutsche Auffassung von Datenschutz ist im Prinzip identisch.
„Zweck der DSGVO ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“
Datenschutz wird als Grundrecht angesehen
Amerika
In den USA wird der Datenschutz als Teil des Verbraucherschutzrechts gesehen und wird traditionell als ein Element des Wirtschaftslebens interpretiert.
Anders als in Deutschland mit dem Bundesdatenschutzgesetz und auf europäischer Ebene mit der Datenschutzgrundverordnung gibt es in den USA kein allgemeines und umfassendes Datenschutzgesetz. Stattdessen gibt es diverse Bereiche mit individuellen Richtlinien wie bspw. das Gesundheitswesen oder den Finanzsektor.
Unternehmen sind nach diesen branchenspezifischen Datenschutz-Gesetzen etwa dazu verpflichtet, für die Sicherheit von gespeicherten personenbezogenen Daten zu garantieren. Zudem müssen sie bei Problemen, umfassenden Meldepflichten nachkommen.
Für Wirtschaft und Handel ist die Bundesbehörde für Verbraucherschutz und Wettbewerb, die Federal Trade Commission (FTC), zuständig.
Die wettbewerbsorientierte und traditionell, wirtschaftsnahe Denkweise der vereinigten Staaten, auch im Hinblick auf Datenschutz, führt daher wenig überraschend dazu, dass die datenschutzrechtliche Aufsicht in den USA ebenfalls der FTC zukommt. Ihr Einfluss ist seit den 1970’ern kontinuierlich gewachsen. Dabei beruft sich die FTC auf Absatz 5 ihres Gründungsaktes, der ein Verbot unlauterer, geschäftlicher Handlungen vorsieht.
Grundsätzlich gilt aber das Prinzip, dass Unternehmen ihr eigenes Datenschutzniveau festlegen. Wenn sie dann gegen ihre eigenen Versprechungen verstoßen, so gilt dies als trügerisches oder unlauteres Vorgehen, was wiederum wettbewerbsrechtliche Konsequenzen hat. Die Aufsichtsbehörde hat umfassende Mittel, um die Umsetzung dieser Vorschriften zum Datenschutz in den USA durchzusetzen. So kann sie geforderte Änderungen durch langfristige Überprüfungsmaßnahmen erzwingen. Sie kann zudem hohe Sanktionen verhängen.
In Amerika gibt es keine unabhängigen Datenschutzbehörden bzw. -beauftragte, die sowohl für öffentliche als auch nicht-öffentliche Stellen zuständig sind.
4. Wie konnte es soweit kommen?
Nachdem wir die wesentlichen Begriffe und Perspektiven eingeordnet haben, kommen wir nun zur Entstehungsgeschichte.
1995 - 95/46 EG - Europäische Datenschutzrichtlinie
2000 - EU – US Safe Harbour-Abkommen
2015 – EuGH annulliert Safe Harbour
2016 - EU - US Privacy Shield
2018 - DSGVO
2020 / Juli - EuGH annulliert Privacy Shield
2020 / Dezember - Frankreich verklagt google.fr und amazon.fr auf 100 bzw. 35 Millionen Euro
2021 ???
1995 - 95/46 EG - Europäische Datenschutzrichtlinie
Die europäische Gemeinschaft schuf 1995 erstmals einen definierten Mindeststandard für Datenschutz.
Adressiert wurden drei Probleme:
1. Die Grundrechte der EG-Bürger wurden auf unterschiedliche Arten, je nach Herkunftsland mal mehr, mal weniger geschützt. Die Differenzen widersprachen den Grundwerten der EG.
2. Durch die sich beschleunigende Digitalisierung wurde eine einheitliche Gesetzesgrundlage für den internationalen Datentransfer außerhalb der EG-Mitgliedsstaaten notwendig. (Drittstaaten)
3. Unterschiedliche Gesetzesgrundlagen zum Thema Datenschutz verkörperten eine Wettbewerbsverzerrung und mussten vereinheitlicht werden.
“Gemäß der innerhalb der Europäischen Union geltenden Datenschutzrichtlinie (Richtlinie 95/46/EG) dürfen personenbezogene Daten nur dann in andere Staaten übermittelt werden, wenn die Informationen dort ausreichend geschützt werden. Maßgeblich ist dabei, dass in demjenigen Staat, in den die personenbezogenen Daten übermittelt werden, ein Datenschutzniveau existiert, das dem Datenschutzniveau der Europäischen Union gleicht. Ob andere Staaten dieses Datenschutzniveau zu garantieren in der Lage sind, bewertet die EU-Kommission.”
Auf Basis einer Richtlinie wurden für alle Mitgliedsstaaten Regeln definiert, die durch nationale Gesetze umgesetzt werden mussten. Die Verordnung beschreibt die Basis des heutigen Verarbeitungsstandards. Die Nutzung personenbezogener Daten ist grundsätzlich verboten und nur gestattet, wenn eine ausdrückliche Genehmigung seitens der betroffenen Person vorliegt. Gibt man sein Einverständnis zur Freigabe der persönlichen Daten, muss trotzdem zu jedem Zeitpunkt eine Nachverfolgung der Nutzung der Daten möglich sein.
Als wichtiges, zusätzliches Instrument beim Datentransfer in unsichere Drittländer etablierte die europäische Kommission die Standardvertragsklauseln. Hierbei entwickeln die beteiligten Unternehmen verbindliche Datenschutzrichtlinien, in denen jegliches Handeln genau definiert ist. Beispielhaft seien hier ein Datenschutzsicherheitskonzept, Verpflichtungen zum Schadensersatz bei Missbrauch von Daten oder eine Zusicherung zu Transparenz genannt. Standardvertragsklauseln wurden seit 2001 als belastbare, alternative Garantie von der EU-Kommission anerkannt. Das Instrument wird dabei nicht nur im europäischen Raum angewandt. In allen Handelszonen der Welt werden Äquivalente verwendet.
Bei Standardvertragsklauseln handelt es sich um ein Vertragsverhältnis zwischen zwei Vertragspartnern
2000 - EU – US Safe Harbour Abkommen
In Artikel 25 der europäischen Datenschutzrichtlinie wurde die Übermittlung von Daten in Drittländer als nicht zulässig bezeichnet, wenn vor Ort kein angemessenes Datenschutzniveau gewährleistet werden kann.
Das Niveau des amerikanischen Datenschutzes wurde als nicht angemessen definiert, was direkt in den Nachfolgeartikel 26 mündete. „Ausnahmen sind unter bestimmten Bedingungen möglich.“ Die Handelsbeziehungen zwischen der EU und den USA wurden seitdem durch eine solche Ausnahme definiert. Das Safe Harbour Abkommen. Amerikanische Handelspartner mussten, sofern sie Handel mit europäischen Partnern treiben wollten, verpflichtend an diesem Abkommen teilnehmen. Einziges Kriterium war jedoch die Erklärung sich an den sieben Grundprinzipien des Abkommens zu orientieren. Eine Überprüfung fand nicht statt. Sofort nach Inkrafttreten wurden diverse Punkte kritisiert. Safe Harbour beinhalte bspw. keine verbindliche Überprüfung seitens einer zertifizierten Stelle.
2001 – USA Patriot Act
2001 kam durch die politischen Ereignisse ein weiteres Hindernis im transatlantischen Datenaustausch hinzu, was auch heute noch ein Kernproblem darstellt. Der USA Patriot Act. Ausgelöst durch den 11. September erhielten amerikanische Sicherheitsbehörden bei Terrorverdacht uneingeschränkten Zugriff, auf alle relevanten, gespeicherten Daten von amerikanischen Staatsbürgern, ohne, dass die betroffenen Personen darüber informiert werden müssen. (50 U.S.C. $1803) Hier liegt insbesondere im Hinblick auf die für das Cloud-Computing fundamentale Speicherung von Daten auf amerikanischen Servern ein großes Problem, da die dort hinterlegten Daten nicht gegen unbefugten Zugriff abgesichert sind, es laut DSGVO aber sein müssen.
Der Patriot Act ist kein komplett neues Gesetz. Er fußt auf dem Electronic Communications Privacy Act von 1986. Durch das Gesetz erhalten amerikanische Ermittlungsbehörden Zugriff auf Daten, wenn sie diese für strafrechtlich relevant halten. Darunter fallen auch sogenannte „ruhende Daten“. Also auch Daten die die Speicherung und die Rechenkapazität von Clouddiensten beinhalten. Der Patriot Act übernimmt diese Basis und erweitert sie. Alle sich in den USA befindlichen Personen, ohne amerikanischen Pass, unterliegen seitdem dem FISA Act. Jegliche Art von elektronischen Daten können von Ermittlern, im Verdachtsfall eingesehen werden. Das ECPA schließt theoretisch die Offenlegung von Kundendaten aus, beinhaltet jedoch praktisch jede Menge Ausnahmen, die nicht DSGVO-konform sind.
Beispiel: Über den National Security Letter (NSL), kann ein amerikanischer Bundesrichter für Ermittlungen, die die nationale Sicherheit betreffen, Personen oder Organisationen zur Herausgabe von Metadaten zwingen, auch wenn diese eigentlich geschützt sind. Diverse Behörden greifen seitdem auf Mittel wie den NSL zurück. Die genaue Zahl ist aufgrund von Geheimhaltungsklauseln und der Wahrung der nationalen Sicherheit nicht klar, Schätzungen von Datenrechtsexperten zur Folge, ist die Anzahl minimum sechsstellig.
Betroffene Personen haben das Recht gegen einen NSL vorzugehen und beim höchsten Gericht zu klagen. Allerdings ist Betroffenen untersagt, selbst über den Erhalt eines NSL zu sprechen. Daher sind bis heute lediglich vier erfolgreiche Klagen gegen den NSL bekannt.
Durch die Enthüllungen von Edward Snowden wurde zudem das Ausmaß bekannt, in dem Instrumente wie der NSL nicht nur punktuell, sondern flächendeckend angewendet und praktiziert werden.
2015 – EuGH kippt Safe Harbour Abkommen
In seiner Entscheidung vom 6. Oktober 2015 stellte der Europäische Gerichtshof fest, dass in den USA, das von der EU geforderte Datenschutzniveau nicht existiert und personenbezogene Daten in den USA nicht ausreichend geschützt sind. Vor diesem Hintergrund hat der EuGH das Safe Harbour Abkommen für unwirksam erklärt und damit einer Übermittlung personenbezogener Daten in die USA die rechtliche Grundlage entzogen.
Eine große Rolle in diesem und folgenden Urteilen spielt Max Schrems, ein österreichischer Jurist, der eine Klage gegen Facebook wegen Verletzung des Datenschutzgesetzes in Irland einreichte. Er argumentierte, dass Facebook unter Berufung auf das Safe Harbour Abkommen automatisch alle Daten in die USA übermitteln würde, was seiner Ansicht nach gegen das EU-Recht verstoßen würde, da die Daten dort nicht ausreichend gesichert seien. Die spannende Frage war also, ob die irische Facebooktochter sich an die EU-Verordnungen zum Schutz personenbezogener Daten halten muss.
Der EuGH fällte aufgrund der Schremsklage das Grundsatzsatzurteil, aufgrund dessen das Safe Harbour Abkommen als irregulär bewertet wird.
Die drei wesentlichen Kritikpunkte des EuGH im Wortlaut:
„Hierzu ist festzustellen, dass angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung der Privatsphäre und der großen Zahl von Personen, deren Grundrechte im Fall der Übermittlung personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau gewährleistet, verletzt werden können, der Wertungsspielraum der Kommission hinsichtlich der Angemessenheit des durch ein Drittland gewährleisteten Schutzniveaus eingeschränkt ist, so dass eine strikte Kontrolle der Anforderungen vorzunehmen ist, die sich aus Art. 25 der Richtlinie 95/46 im Licht der Charta ergeben.”
Es wird kein angemessenes Schutzniveau für den Datentransfer gewährleistet
“Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens.”
“Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent.“
Die Entscheidung verdeutlichte abermals die große Diskrepanz zwischen europäischer und amerikanischer Auffassung von Datenschutz und den entsprechenden Gesetzen. Als einzig wirksames Instrument für den internationalen Handel blieben die vom EuGH nicht angesprochenen Standardvertragsklauseln übrig. Vor der Urteilsverkündung wurde vielfach spekuliert, dass die Klauseln ebenfalls in das Urteil inkludiert würden, da auch hier Zweifel an der Konformität des Instruments bestehen. Dies geschah allerdings nicht. Eine große Verunsicherung blieb nach Bekanntwerden des Urteils dennoch im Raum.
2016 Privacy Shield
Um weiterhin Rechtssicherheit beim Datenaustausch zu gewährleisten, wurde innerhalb von fünf Monaten nach dem EuGH-Urteil, ein Nachfolgeabkommen namens Privacy Shield ausgehandelt. Es beinhaltete einige Zugeständnisse seitens der amerikanischen Regierung, die zusicherte den Datenzugriff von Behörden stärker zu beschränken.
Die wesentlichen Änderungen im Überblick:
+ Amerikanische Unternehmen verpflichten sich weiter, sich auf eine Liste einzutragen
+ Unternehmen die sich nicht an gängiges Recht halten, sollen stärker sanktioniert und im Bedarfsfall von dieser Liste gestrichen werden
+ Der Zugriff auf personenbezogene Daten im Interesse der nationalen Sicherheit, soll stärker reguliert und damit eingeschränkt werden
+ Es wird ein Ombudsmann im amerikanischen Außenministerium etabliert, an den sich alle europäischen Unternehmen im Beschwerdefall wenden können. Alle dazugehörigen Beschlüsse werden im US-Bundesregister veröffentlicht
+ Bei einer Beschwerde besteht ein Anspruch auf Klärung innerhalb von 45 Tagen
+ Es wird ein engerer Austausch zwischen nationalen Datenschutzbehörden und der Federal Trade Kommission vereinbart
Von Beginn an wurde das Privacy Shield heftig kritisiert.
Die drei Hauptpunkte der Kritik:
+ Es handelt sich nicht um ein verbindliches Abkommen oder einen Vertrag, sondern nur um eine lose Vereinbarung, da neue verbindliche Elemente fehlten
+ Die Zusicherungen der US-Regierung, zumal kurz vor dem Wechsel zu einer neuen Administration (US-Wahl im November 2016), stellen keine zufriedenstellenden Garantien dar
+ Alle am Safe Harbour Abkommen monierten Kritikpunkte, sind weiterhin aktiv. Bspw. der Zugriff der Bundesbehörden auf personenbezogene Daten, ist weiterhin gegeben. Zudem kann eine betroffene Person, ihr Recht auf selbstbestimmten Nutzen der Daten nicht ausüben, da sie erst gar nicht von der Nutzung ihrer Daten erfährt. Die Ombudsstelle ist nicht ausreichend vom Außenministerium abgespalten, was Parteilichkeit nahelegt. Die Stelle ist zudem nicht ausreichend finanziert, was sich in einem extrem kleinen Personalschlüssel zeigt… etc…
Bereits kurz darauf forderte das Europäische Parlament die EU-Kommission auf, die eklatanten Schwächen des Abkommens zu beseitigen. Ein erwartbarer Schritt. Allein schon, da die Fehler des Safe Harbour Abkommens nicht aufgearbeitet wurden. Es war also von vornherein klar, dass das Privacy Shield nur über eine sehr kurze Halbwertszeit verfügen würde. Genau wie bei Safe Harbour auch, blieben somit nur die Standardvertragsklauseln als einigermaßen, rechtssicheres Instrument für den Datentransfer in Drittländer übrig.
2018 - Cloud-Act
Der Cloud Act, Cloud steht hier übrigens nicht für IT-Infrastruktur, sondern meint „Clarifying Lawful Overseas Use of Data Act", ermächtigt amerikanische Behörden, auf sich im Ausland befindliche / gespeicherte Daten zuzugreifen. Und dies ohne Gerichtsbeschluss! Die bestehenden Befugnisse werden erheblich erweitert. Das Gesetz gilt sogar rückwirkend. Durch den Cloud-Act ist es komplett egal, wo sich Daten befinden. Ob die Daten inner- oder außerhalb Amerikas liegen, auf Festplatten oder in der Cloud, spielt seitdem rechtlich keine Rolle mehr. US-Unternehmen müssen, selbst bei alternierenden Gesetzgebungen in anderen Ländern, die im Sinne des Persönlichkeitsrechts Zugriff auf personenbezogene Daten verbieten, den amerikanischen Behörden Zugriff gewähren.
Dem Gesetz ging ein Rechtsstreit der amerikanischen Regierung mit Microsoft voraus. Die US- Regierung forderte Microsoft zur Herausgabe von Daten heraus. Microsoft verweigerte die Herausgabe mit Verweis auf den Serverstandort in Irland und dem entsprechenden lokalem Recht.
Durch die erweiterten Zugriffsrechte konnte Microsoft sich nicht länger auf geltendes EU-Recht berufen und musste seine Daten herausgeben. Übrigens, Sie ahnen es bereits, abermals konträr zu EU-Datenschutzrecht, insbesondere der DSGVO, zu der wir jetzt kommen.
2018 – DSGVO
Im selben Jahr wurde die europäische Datenschutzgrundverordnung, als Ersatz für die 95 / 46 EG-Richtlinie, verabschiedet. Sie beinhaltet die Definition für die EU-weite Verarbeitung von personenbezogenen Daten, die in großen Teilen auf der 95 / 46 EG-Richtlinie basieren.
Die wesentlichsten Neuerungen der DSGVO sind:
+ Ein einheitliches, EU-weites Datenschutzrecht
+ Stärkung der eigenen Nutzerrechte insbesondere im Hinblick auf:
+ Datensparsamkeit
+ Zweckbindung der Daten
+ Richtigkeit / Vollständigkeit der Daten
+ Datensicherheit
+ Recht auf Löschung
+ Recht auf Mitnahme / Übertragbarkeit der Daten
+ höhere Bußgelder bei Fehlverhalten (Wie die DSGVO-Bußgeldstruktur aussieht, erfahren Sie in Kapitel 4)
+ Die Nutzung der Daten MUSS dem Verbraucher kenntlich gemacht werden
Die EU-Kommission veröffentlichte zudem eine Liste von sicheren Drittländern, die dem Datenschutzniveau der DSGVO entsprechen.
Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und Japan.
2020 – EuGH annulliert Privacy Shield
Der Europäische Gerichtshof erklärte, wenig überraschend, das Privacy Shield Abkommen zwischen der EU und den USA für ungültig, da das laut DSGVO geforderte Datenschutzniveau in den USA nicht gewährleistet werden kann. (Der Wortlaut ist fast identisch zu der Erklärung zum gescheiterten Safe Harbour Abkommen) Zwei Hauptfaktoren hierfür sind laut EuGH, dass zum einen die Vereinigten Staaten die Interessen der nationalen Sicherheit und die Einhaltung gängigen amerikanischen Rechts, Vorrang vor Datenschutzbelangen einräumen. Zum anderen werden die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt.
+ Es gibt keine Garantien / Nachverfolgung für erfasste Personen, die keine amerikanischen Staatsbürger sind, was mit Ihren Daten passiert
+ Es gibt keine gerichtliche Handhabe um gegen mögliche staatliche Eingriffe vorzugehen
+ Auch der Ombudsmechanismus eröffnet den betroffenen Personen keinen sicheren Rechtsweg, mit dem man die Gleichwertigkeit des Datenschutzes zu den europäischen Vorschriften durchsetzen kann
Laut EuGH gelten fortan die Vorschriften für Drittländer im Datenaustausch mit den USA. Davon betroffen sind grundsätzlich alle Datenbewegungen auf amerikanische Server, sowie alle Unternehmen die diese Daten bewegen. Dazu zählen auch alle Entitäten außerhalb der USA, wie bspw. eine sich in Europa befindliche Tochtergesellschaft eines Unternehmens.
Das einzig verbliebende Instrument, die Standardvertragsklausel wurde zudem als „alleine nicht mehr ausreichend“ deklariert
“Die Klauseln binden – da als bloße Verträge ausgestaltet – nur die Parteien, haben aber auf das allgemeine Datenschutzniveau in einem Drittstaat, insbesondere auf Zugriffsbefugnisse von Sicherheitsbehörden keine Auswirkung und bedürfen daher Ergänzungen.“
Der EuGH ging hier allerdings nicht ins Detail, was Unternehmen weltweit den Alltag erschwert. Denn in seiner komplexen Entscheidung hat der Gerichtshof offengelassen, in welcher Form die Übertragung personenbezogener Daten auf der Grundlage der EU-Standardvertragsklauseln überhaupt noch möglich sein kann.
Denn die Standardvertragsklauseln fußen darauf, dass es auch im Ausland einen angemessenen Schutz für die Daten von EU-Bürgern gibt (was durch dasselbe Gericht für die USA negiert wurde)
“Folglich obliegt es vor allem diesem Verantwortlichen (…), in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.”
Nach aktuellstem Stand, Februar 2021, übernehmen also die Unternehmen die alleinige Verantwortung, ob bei ihren Datentransfers ein ausreichender Schutz der persönlichen Daten besteht und auf Empfängerseite alle Standards eingehalten werden. (Der Prozess ist zudem sehr zeit- und damit kostenintensiv) Oder in anderen Worten: Das EuGH vermeidet mit dieser Formulierung das Aufzeigen jeglicher Lösungsperspektive und schiebt die Verantwortung den Unternehmen zu.
2020 - Frankreich verklagt Google und Amazon
Die französische Datenschutzaufsicht „Commission Nationale de l’Informatique et des Libertés (CNIL)“ verklagte die Konzerne Google (Alphabet) und Amazon auf Bußgelder in Höhe von 100 bzw. 35 Millionen EUR. Als Rechtsgrundlage diente nicht die DSGVO, sondern die französischen E-Privacy-Gesetze, da die laut DSGVO zuständigen Staaten, also Irland und Luxemburg nicht aktiv wurden.
In beiden Fällen stellte die Regulierungsbehörde fest, dass die Unternehmen auf ihren französischen Websites Werbe-Cookies zur Identifikation entgegen der rechtlichen Vorgaben gespeichert hatten. Die beiden Digitalkonzerne hätten es außerdem versäumt, die Verbraucher klar und allgemein verständlich über die geplante Nutzung zu informieren. Außerdem fehle ein Hinweis, wie Besucher sämtliche Cookies unterbinden können.
Aber wie konnte Frankreich die Bußgelder an der DSGVO vorbei verhängen?
Denn eigentlich gilt in Europa nach DSGVO der Grundsatz, dass nur eine Datenschutzbehörde für die Unternehmen zuständig ist. Im Fall von Google wäre das Irland – doch die dortige Aufsichtsbehörde wird seit Jahren von europäischen Datenschützern wegen auffallender Untätigkeit scharf kritisiert. Wie konnte die CNIL ihre Bußgelder trotzdem aussprechen? Sie berief sich auf eine gesonderte Rechtsgrundlage: Auf die europäische E-Privacy-Richtlinie. Diese wurde bereits vor der DSGVO in französisches Recht umgesetzt. Eine neue vereintlichte E-Privacy-Verordnung scheiterte bisher immer wieder an der Uneinigkeit europäischer Regierungen, sodass die alten Vorschriften weiterhin gelten. Diese nutzte Frankreich um an der EU vorbei auf eigene Faust Google und Amazon zu verklagen.
Spannenderweise verwies Google selbst auf die unsichere Rechtslage und will sich um weitere Gespräche mit der Datenaufsicht bemühen.
5. DSGVO und Bußgelder
Die DSGVO sieht für Verstöße gegen die Regeln von internationalem Datentransfer grundsätzlich Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes vor.
Wie werden diese DSGVO-Bußgelder ermittelt?
Die Unternehmensbußgelder werden nach dem neuen Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:
1. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
3. Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
4. Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
5. Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.
6. 2021 / Auf der Suche nach Datensouveränität
Die Ausgangslange im Februar 2021 liest sich wie folgt:
Es gibt keine rechtssichere Grundlage für den Datentransfer in die USA
+ Viele Cloud-basierte SaaS-Dienste, mit Fokus auf E-Mail, CRM oder ERP sind bei US-Firmen angesiedelt und allein die Nutzung dieser Dienste gilt bereits als Datentransfer
+ Generell steht der Transfer von Daten an unsichere Drittländer (und das sind fast alle Länder der Welt, s. oben) mittels Standardvertragsklauseln oder unternehmensinternen Datenschutzerklärungen auf mehr als wackeligen Beinen, wenn überhaupt…
+ Standardvertragsklauseln als Basis für Datentransfer in die USA, insbesondere bezogen auf Cloud-Dienste, Businessanwendungen wie Microsoft Office oder auch Videokonferenztools wie Zoom, in denen enorme Mengen an personenbezogenen Daten transferiert werden, sind illegal, wenn die Datenempfänger den US-Überwachungsgesetzen unterliegen (Was sie zu 99% tun)
+ Nicht DSGVO-konformer Datentransfer verstößt gegen EU-Richtlinien und muss nach EU-Recht mit Bußgeld geahndet werden
+ Zusätzlich zu Bußgeldern drohen Unternehmen Klagen auf Schadensersatz, von Privatpersonen und externen Datenschützern wegen Datenmissbrauch
+ Es gibt keine verbindlichen Handlungsalternativen seitens der EU-Kommission oder des EuGH um rechtssicher Daten zu exportieren
+ Bestehende Alternativen, wie unternehmensinterne Datenschutzregelungen (BRC) verstoßen unter den gegebenen Bedingungen genauso gegen die DSGVO
+ Eine von der EU-Kommission empfohlene Datenverschlüsselung, als technische Zusatzmaßnahmen um das Sicherheitsniveau des Datentransfers zu erhöhen, ist in der Praxis schwierig umzusetzen, da der Empfänger häufig nicht mit verschlüsselten oder anonymen Daten arbeiten kann
Es gibt keine validen Daten über die Verhaltensweisen von Unternehmen nach dem EuGH Urteil. Die Verunsicherung ist groß, soviel ist sicher. Es scheint vielfach jedoch nichts zu geschehen. Ob aus Desinteresse, Unwissenheit, oder aus dem Glauben heraus, es wird schon nichts passieren… Viele Unternehmen versuchen sich scheinbar auch auf Ausnahmeregelungen im Datentransfer zu berufen oder verlassen sich notgedrungen auf Standardvertragsklauseln.
Die Anforderungen an wirksame Standardvertragsklauseln sind enorm hoch. Bspw. müssen bereits bestehende Klauseln innerhalb eines Jahres auf den neuen Standard angehoben werden; parallel zu den zusätzlichen Anforderungen durch das Schrems II-Urteil. Insbesondere sind hier die höheren Informations- und Dokumentationspflichten zu nennen. Allerdings entsteht der Aufwand nicht nur für den Absender. Auch die Empfängerseite sieht sich mit anspruchsvolleren Versicherungen konfrontiert. In deutlich höherem Umfang werden Informationen von dem Empfänger der Daten abgefragt, was stärkere Abhängigkeit von der Gegenseite bedeutet. Zudem muss eine gemeinsame Standardvertragsklausel sehr genau mit dem Vertragspartner ausgearbeitet und abgestimmt werden, um den Anforderungen aus Luxemburg zu entsprechen. Und selbst dann ist nicht klar, ob der Vertrag rechtssicher ist. Allerdings wurden nicht alle Forderungen des europäischen Datenschutzausschuss‘ umgesetzt. Eine Forderung lautete bspw., dass sich Vertragspartner bei der Ausübung von Vertragsrechten im Drittland zu unterstützen hätten…
Die europäische Kommission ermutigt Datenexporteure die Standardvertragsklauseln um Vorschläge des Datenschutzausschuss‘ zu ergänzen, gibt aber keine genaue Liste an Ergänzungen heraus. Ein weiteres Fragezeichen unter vielen…
Laut des Schrems II Urteils ist es bspw. mehr als fraglich, ob die datenempfangene Seite überhaupt die Standardvertragsklausel unterzeichnen darf, wenn sie den US-Überwachungsgesetzen unterliegt, da im Falle einer Unterschrift, zugesichert wird, eben diesen Gesetzen nicht zu unterliegen… Es gibt hier laut Urteil die Möglichkeit, die bestehenden Schutzlücken durch technische Maßnahmen zu schließen. Allerdings stellt sich auch hier die Frage nach der Rechtssicherheit und der Machbarkeit in der Umsetzung.
Die hohen Anforderungen des EuGH stellen die Wirtschaft vor immense Herausforderungen. Die Prüfung der Rechtslage im Drittland sowie die Einholung aller relevanten Informationen sind zeit- und kostenintensiv. Zudem ist die Entscheidung welche Zusatzmaßnahmen notwendig und auch wirksam sind, enorm schwierig. Selbst wenn alles nach bestem Gewissen erstellt wird, ist damit nicht ausgeschlossen, dass eine Aufsichtsbehörde nicht zufrieden ist und eine Strafzahlung veranlasst. Der zum jetzigen Zeitpunkt einzige Fakt ist:
Jeder Datentransfer an Unternehmen, die von US-Behörden reguliert werden, ist nicht DSGVO-konform und damit Bußgeld-gefährdet
Die offensichtliche Frage lautet also: Was soll bitte die Lösung sein? Wie soll ein europäisches Unternehmen Daten in unsichere Drittländer und / oder die USA exportieren? Die Antwort die der EuGH mit den sehr hohen Anforderungen an die Datensicherheit indirekt gibt lautet unerfreulicherweise: am besten gar nicht. Das hohe Anforderungsniveau limitiert die Möglichkeiten von Behörden Alternativen zu erarbeiten auf ein Minimum.
Eine große Hoffnung der Wirtschaftsverbände ruht auf der Politik. Aber auch hier muss realistisch betrachtet die weiße Flagge gehisst werden. Es sei denn Sie glauben daran, dass entweder die EU-Kommission bzw. der EuGH die DSGVO entschärft, oder die US-Regierung ihrerseits Gesetze wie den Patriot-Act, zugunsten von mehr Datenschutz abschwächt… (Selbst unter der Obamalegislatur wurden die US-Sicherheitsgesetze nicht verändert…)
Zwar hat Kalifornien mittlerweile, eine für amerikanische Verhältnisse ambitionierte Datenschutzgesetzgebung verabschiedet und auf Bundesebene wurden erste Gespräche für ein landesweit geltendes Datenschutzgesetz angestoßen. Aber mehr als kleine Hoffnungsschimmer sind nicht in Sicht. Zumal die US-Regierung im September Bezug auf das EuGH-Urteil nahm und in einem White Paper die DSGVO kritisierte. Die US-Geheimdienste hätten an der überwiegenden Mehrheit der Daten kein Interesse… Sie sehen selbst…
Auch ein drittes Abkommen, in der Tradition von Safe Harbour und Privacy Shield, wäre nicht sinnvoll, da sich alle Beteiligten mittlerweile nach verbindlicher Sicherheit, Transparenz und einer langfristigen Perspektive für den internationalen Datenaustausch sehnen. Wem wäre also mit einer weiteren halbgaren „Lösung“ geholfen?
7. Realistische Lösungen. Irgendwer?
Die einzig realistische Option ist daher, zu europäischen Anbietern zu wechseln, da selbst US-Tochtergesellschaften innerhalb der EU dem Einfluss der amerikanischen Gesetzgebung unterliegen (Siehe Cloud-Act). Im Optimalfall pflegen die Anbieter ein hohes Sicherheitsniveau. (Regelmäßige Datenschutzaudits, hoher Verschlüsselungsstandard, Transparente Serverstruktur, innereuropäischer Serverstandort…)
Komplexer, aber unter Umständen möglich ist der von Drittanbietern betriebene Serverstandort eines US-Tochterunternehmens. Auf diese Weise hat das US-Unternehmen selber keinen Zugriff auf die Daten. Zu hinterfragen ist hier allerdings wiederum der administrative Aufwand auf beiden Vertragsseiten und ob US-Geheimdienste wirklich nicht an die Daten gelangen können.
Einen interessanten Ansatz verfolgt Microsoft. Im November kündigte die Firma an, jegliche Anfragen von offiziellen, staatlichen Organen nach Kundendaten kategorisch anzufechten zu wollen und seine Kunden über die Behördenabfrage in Kenntnis zu setzen. Allerdings mit der elementaren Einschränkung: wenn dies rechtlich möglich sei… Falls etwaige Behörden trotzdem auf Kundendaten zugreifen, bietet Microsoft eine Entschädigung an. Allerdings muss klar gesagt werden, dass es trotzdem zu Zugriff auf Kundendaten kommt und sowohl der Datenabsender als auch Microsoft damit gegen die DSGVO verstoßen. Es stellt sich zudem die Frage, ob Sie darauf vertrauen möchten, ob ein eventuelles Bußgeld wirklich von Microsoft in voller Höhe übernommen werden würde. (Ein kräftezehrendes Bußgeldverfahren, mit ungewissem Ausgang komplett außen vor gelassen) Aber die Tendenz geht immerhin in die richtige Richtung.
Um nicht komplett negativ abzuschließen: 2019 wurde eine europäische Cloud-Alternative namens Gaia – X gegründet. Unter der Leitung von Frankreich, Deutschland und weiteren europäischen Partnern soll eine europäische Dateninfrastruktur entstehen, die langfristig den US-Anbietern Konkurrenz machen soll. 2021 soll ein erster anwendbarer Prototyp fertiggestellt werden.
Eine wettbewerbsfähige, europäische alternative Cloudinfrastruktur. Vor 2087. Das wäre doch was…