Privacy Shield gekippt, was nun?

„Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.“ Mit dieser Erklärung des Europäischen Gerichtshofs (EuGH) an die Öffentlichkeit platzt Mitte Juli 2020 mit großem Knall die besser als „Privacy Shield“ bekannte Datenschutz-Regelung. Worum geht es? Und was bedeutet das EuGH-Urteil für Marketers?

Datenschutz? Völlig niveaulos

Zwischen der Europäischen Union und den USA gab seit 2015 mit Privacy Shield eine informelle Absprache. Das Ziel: eine datenschutzrechtlich wirksame Rechtsgrundlage für Datenübermittlungen von der EU in die USA zu schaffen. Vorausgegangen war bis Oktober 2015 das Safe Harbor-Abkommen – manche werden sich vielleicht erinnern. Nachdem bereits dieses Abkommen gescheitert ist, stellen die Europäischen Richter in ihrem aktuellen Urteil auch zum Nachfolger klar: Privacy Shield bietet kein angemessenes Datenschutzniveau und ist deshalb unwirksam. Faktisch gibt es damit nur noch wenige rechtlich zulässige Wege, um personenbezogene Daten aus dem „Datenschutz-Schlaraffenland“ in das – datenschutzrechtlich gesehen – Drittweltland USA zu liefern. In deutlichen Worten: Übermittlung und Speicherung von Daten in den USA auf Grundlage des Abkommens sind nicht mehr rechtskonform.

Max Schrems gegen Facebook Ireland – Schrems II

Hintergrund ist der Einsatz des österreichischen Datenschützers und Juristen Max Schrems, der bei der irischen Datenschutzbehörde schon Ende der 10er Jahre Beschwerde gegen Facebook eingelegt hatte. Der Europasitz von Facebook ist in Irland, daher ist die irische Aufsicht zuständig. Schrems hatte beanstandet, dass Facebook personenbezogene Daten von EU-Bürgern an die Konzernmutter in den USA übermittele und diese Daten so auch US-Behörden wie FBI, CIA oder NSA zugänglich mache oder machen müsse. Auch stünden Betroffenen keine wirksamen Rechtmittel zur Verfügung, um Eingriffen in Persönlichkeitsrechte entgegen zu wirken. In zwei Urteilen klärte der EuGH die Beschwerden Schrems, das aktuelle Urteil in der Sache „Schrems / Facebook Ireland“ hat daher auch die Kurzform Schrems II.

No Privacy Shield, no Data Traffic?

Viele Unternehmen stehen damit seit Juli 2020 vor der Herausforderung, ihren Datenfluss ohne Rückgriff auf Privacy Shield sicher gestalten zu müssen. Und natürlich ist Data Driven Marketing besonders betroffen, denn personalisierte Kommunikation ist der zentrale Zweck. Nutzen Unternehmen hierzu technische Infrastruktur oder Software von US-Anbietern, sollten sie klären, wo die Daten gespeichert und verarbeitet werden. Denn mit dem Urteil kann die Übertragung und Speicherung personenbezogener Daten in den USA ab sofort rechtswidrig sein. Illegal ist der Datentransfer mit den USA auf jeden Fall dann, wenn sich der Anbieter nur auf Privacy Shield beruft.

Standardvertragsklauseln und ihre Tücken

Anders sieht es aus, wenn die Datenübermittlung in die USA ausdrücklich unter Binding Corporate Rules (BCR), also einer EU-datenschutzkonformen Selbstverpflichtung des Anbieters plus fallbezogener Genehmigung durch die zuständige Datenschutzbehörde, erfolgt. Der häufigste Weg für die legale Datenübertragung aber dürften die sogenannten Standardvertragsklauseln (SCC) werden. Diese Klauseln hatte die Europäische Kommission bereits vor Schrems II erlassen, um im Datenverkehr mit Drittländern ein angemessenes Datenschutzniveau zu definieren. Mit Annahme der Klauseln akzeptiert der US-basierte Datenverarbeiter explizit die Datenschutzregeln der EU – zum Beispiel personenbezogene Daten nicht ohne ausdrückliche Zustimmung weiterzugeben.
Das klingt nach einer pragmatischen Lösung, wenn beispielweise der Hessische Datenschutzbeauftragte optimistisch vermerkt: „Die Verwendung von Standarddatenschutzklauseln stellt gerade für kleinere und mittlere Unternehmen ein einfach handhabbares Instrument zur rechtmäßigen Übermittlung personenbezogener Daten in Drittländer dar.“
Ob das Vorgehen aber tatsächlich so einfach ist, wird mancher Unternehmer bezweifeln. Schließlich ist er als Auftraggeber der Datenverarbeitung selbst verpflichtet, die Einhaltung der Klauseln beim verarbeitenden Vertragspartner sicher zu stellen. Das dürfte in vielen Fällen schwierig sein: Wie sollen Verantwortliche das Datenschutzniveau in USA oder anderen Drittländern bewerten und bei Nichtangemessenheit die Übermittlung gegebenenfalls auszusetzen?

Was sollten Sie tun, um unnötige Rechtsrisiken auszuschließen?

Was tun? (Что делать?) So lautet nicht nur der Titel eines russischen Klassikers, sondern auch eine der brennendsten Fragen im Marketing. Marketers, die unnötige Rechts- und damit auch Geschäftsrisiken ausschließen wollen, stehen vor beachtlichen Herausforderungen. Zunächst gilt es natürlich herauszufinden, ob man überhaupt Daten in die USA überträgt. Wer das nicht tut (wie übrigens alle Schober-Projekte), ist nicht betroffen und fein raus.
Angesichts der Dominanz amerikanischer Anbieter dürften allerdings die wenigsten so einfach mit dem Urteil umgehen können. Dann gibt es zunächst die Option, sich so neu aufzustellen, dass in Zukunft keine Datenübermittlung mehr in unsichere Drittstaaten erfolgt. Hierzu hört man im Markt aktuell häufig: Software prüfen, nötigenfalls austauschen und Daten in die EU migrieren.

Zwischenverarbeitung statt Software-Austausch, aber Vorsicht beim Brexit

Soweit und konsequent muss man nicht gleich gehen. Denn ein anderer Weg wäre die Datennutzung durch US-Unternehmen ausschließlich über zwischengeschaltete Auftragsverarbeiter innerhalb der EU. Aber Vorsicht bei Angeboten aus dem Vereinigen Königreich: Nach dem Vollzug des Brexits zum Jahresende sind Verarbeiter in UK voller Unsicherheiten. Last but not least gibt es selbstverständlich auch die Option, Dienstleistungen durch US-Unternehmen (etwa Google-Analytics, Facebook Connect, Adobe Cloud, Mailchimp, Hubspot und viele andere) technisch so zu konfigurieren, dass die Übermittlung personenbezogener Daten unterbleibt.

Unter dem Strich: So geht Data Driven Marketing ohne Risiken

Unter dem Strich bleibt die Datenübermittlung in die USA, ob im Rahmen einer Auftragsverarbeitung oder durch einen anderen Verantwortlichen, rechtlich immer risikobehaftet. Risikofrei ist Data Driven Marketing nur dann, wenn Sie sich im rechtlichen und vor allem im europäischen Rahmen bewegen.
Auch wenn Politik die weitere Zukunft des internationalen Datenaustauschs neugestalten muss, gibt es bereits heute gute und rechtsfeste Lösungen. Wie sind Ihre Erfahrungen mit Privacy Shield, Schrems II und Standardvertragsklauseln? Haben Sie schon eine Lösung oder fragen Sie noch, was tun? Wir freuen uns über den Kontakt zu Ihnen. Bei Fragen stehen wir Ihnen unter service@schober.de jederzeit gerne zur Verfügung. Viel Erfolg! Es lebe der nächste Lead!