Der Fall
Eine kurze Abfolge der Ereignisse: Der Anwalt Max Schrems beschwert sich bei der irischen Datenschutzbehörde (zuständig für Facebook in Europa) über die Datentransfer-Praxis von Facebook (Export von Nutzerdaten in die USA und Weiterverarbeitung zu Werbezwecken). Die Behörde wendet sich an das zuständige irische Gericht. Das Gericht wendet sich wiederum an den EuGH. Der soll entscheiden, ob der EU-US-Datenschutzschild („Privacy Shield“, Nachfolger von Safe Harbor, wogegen Schrems auch schon erfolgreich geklagt hatte) und die Standardvertragsklauseln (die Facebook als Rechtsgrundlage für den Daten-Export nutzt) mit dem europäischen Datenschutzrecht vereinbar sind. In seinem Urteil musste der EuGH somit nicht nur den „Facebook-Fall“ prüfen, sondern ganz allgemein die bisher gängigen Rechtsgrundlagen, nach denen Daten von Europa in die USA transferiert werden.
Das Urteil
Der EuGH hat den „Privacy Shield“ als nicht konform zu den EU-Datenschutzbestimmungen bewertet. Das hatten Experten bereits im Vorfeld prognostiziert. Aber auch die Standardvertragsklauseln stellt der EuGH in Frage: Sie sind nur dann wirksam, wenn die hohen Anforderungen in jedem Einzelfall beachtet und geprüft werden. Das Datenschutzniveau – so der EuGH – muss grundsätzlich auch bei internationalen Datentransfers der Sache nach den Europäischen Bestimmungen entsprechen. Nicht nur die Facebook-Praxis, sondern alle Übermittlungen personenbezogener Daten in ein Drittland (die u.a. sehr häufig bei der Nutzung von Cloud-Diensten durch Unternehmen anzutreffen sind) müssen somit kritisch hinterfragt werden. Aufsichtsbehörden sind verpflichtet, Übermittlungen auszusetzen oder zu untersagen, wenn die europäischen Standardschutzklauseln nicht eingehalten werden können.
Standardvertragsklauseln als Option?
Welche Möglichkeiten haben in Europa aktive Unternehmen, internationale Datentransfers rechtssicher abzuwickeln? In der Theorie stehen die Standardvertragsklauseln zur Verfügung, die der EuGH – im Gegensatz zum Privacy Shield – weiterhin für zulässig hält. Hintergrund ist hier, dass die Schutzmechanismen der Standardvertragsklauseln erweiterbar und damit an das EU-Schutzniveau anpassbar sind. Allerdings: Verantwortliche und Auftragsverarbeiter müssen über die Standardvertragsklauseln nicht nur garantieren, dass das erforderliche Schutzniveau eingehalten wird (so wie Facebook bisher), sie müssen diese auch nachweislich implementieren. Auch sind Aufsichtsbehörden bei Bedenken zur Einhaltung der Schutzmaßnahmen zu informieren und der Datenexport muss ausgesetzt werden.
In den USA sind Unternehmen per Gesetz verpflichtet, den Sicherheitsbehörden unter bestimmten Umständen Zugriff auf Kundendaten zu gewähren. Daher ist schwer vorstellbar, wie die Option der Standardvertragsklauseln für in Europa aktive US-amerikanische Unternehmen (die z.B. Cloud-Software-Lösungen anbieten) umsetzbar ist.
Datenschutz ernst nehmen
Viele Datentransfers, insbesondere zwischen den USA und Europa, die in der Zeit vor dem EuGH-Urteil rechtlich unbedenklich waren, sind es heute nicht mehr. Unternehmen, die personenbezogene Daten in ein Drittland transferieren, müssen das Schutzniveau für jeden Einzelfall prüfen und dokumentieren. Stellt sich bei der Überprüfung heraus, dass das Privacy Shield-Abkommen als Rechtsgrundlage für einen Transfer verwendet wurde, muss das Unternehmen handeln. Ist eine Anwendung von Standardvertragsklauseln nicht möglich, kann es eigentlich nur die Option geben, den Drittstaaten-Transfer zu unterlassen und beispielweise einen Cloud-Standort nach Europa zu verlagern. Nur so kann die Verarbeitung personenbezogener Daten nach geltender Rechtsprechung als sicher betrachtet werden.
otris Cloud-Standorte: Deutschland und Schweiz
Alle Lösungen der otris können sowohl On-Premises als auch in der Cloud betrieben werden. Zwei Cloud-Standorte stehen otris-Kunden zur Auswahl: die Schweiz und Deutschland. Für den Cloud-Betrieb arbeitet otris ausschließlich mit Partnern zusammen, deren Unternehmenssitz in Europa liegt. Zwei Dinge sind dadurch für otris-Kunden sichergestellt: Zum einen werden Kundendaten, konform zu dem EuGH-Urteil, nicht in ein Drittland transferiert, in dem das europäische Datenschutzniveau nicht garantiert werden kann. Zum anderen muss otris keine Umstellungen durch Schrems II vornehmen, die negative Auswirkungen für unsere Kunden haben könnten.