Was müssen Webseitenbetreiber und Nutzer von sonstigen Cloud-Diensten US-amerikanischer Anbieter nun tun, nachdem der EUGH das US-Privacy Shield (im Urteil vom 16.07.2020 in der Rechtssache Max Schrems gegen Facebook) für ungültig erklärt hat?
Geschäftliche Nutzer von Clouddiensten z.B. Webseitenbetreiber von WordPress-Webseiten oder Unternehmen, die Cloud-Dienste US-amerikanischer Anbieter einsetzen, sollten nun prüfen, ob hinsichtlich der Übermittlung personenbezogener Kunden- und Mitarbeiter- oder auch nur Nutzerdaten von Nutzern der Webseite, Data Privacy Agreements oder „Data Privacy Addendum“ vorliegen, die sie mit den Anbietern abgeschlossen haben sollten und ob diese inhaltlich die Vorgaben der EU-Kommission zur Verwendung von EU-Standardvertragsklauseln (Data Controller to processor EU-Data Standard Model Clauses) nach Art. 45 DSGVO beinhalten. Denn diese Standardvertragsklauseln hat der EUGH ausdrücklich als gültig bestätigt.
Grund: Der EUGH hat mit Urteil von heute 16.07.2020 in der Rechtssache Max Schrems gegen Facebook verkündet, dass das US-Privacy Shield unwirksam ist und kein angemessenes Datenschutzniveau im Sinne von Art. 46 DSGVO gewährleistet. Im wesentlichen hat er das – zu Recht – damit begründet, dass die USA dieses Abkommen nicht einhalten, insbesondere EU-Bürger keinen wirksamen Rechtsschutz in den USA zur Wahrung ihrer Datenschutzrechte nach der DSGVO haben, vor allem ist der nach dem US-Privacy Shield Abkommen zugesicherte Ombudsmann tatsächlich nicht wirklich arbeitsfähig und erreichbar für EU Bürger. Das Urteil ist nicht überraschend, weil schon lange u.a. auch vom EU-Parlament diese Missstände angeprangert und moniert wurden.
Das bedeutet, wer Clouddienste U.S.-amerikanischer Anbieter nutzt und darin Nutzer IDs, IP-Adressen, und ähnliche personenbezogene Daten von den Cloud Diensten verarbeiten lässt, benötigt Verträge zum Datenschutz, die die EU-Standardvertragsklauseln (EU-Data Processing Model Clauses Controller to Processor) bei Auftragsverarbeitungen im Sinne von Art. 28 DSGVO oder Processor to Processor Model Clauses bei sog. Gemeinsamen Verantwortlichen nach Art. 26 DSGVO verwendet.
Den Abschluss der entsprechenden Verträge, die nach der DSGVO auch elektronisch erfolgen können, etwa über AGB, müssen Sie z.B. als Webseitenbetreiber oder Arbeitgeber zuverlässig als verantwortliche Stelle nach Art. 5 DSGVO nachweisen können. Die US-Anbieter ordnen Sie nämlich nicht unbedingt als EU-Kunde ein, wenn Sie die entsprechenden Zusatzvereinbarungen nicht abgeschlossen haben, weil es darauf ankommt, wessen personenbezogene Daten Sie nach Ihrem Geschäftsmodell zu welchen Zwecken verarbeiten. Da die USA weitestgehend und Südamerika sowieso keine angemessenen Datenschutzgesetzte hat (außer Kalifornien und Canada) wird von vielen US-Anbietern ohne dokumentiertem Abschluss der entsprechenden Zusatzvereinbarungen diese auch nicht aktiviert.
Praxistipp: Sie sollten nun zur Vermeidung von Abmahnungen oder hohen Bussgeldern wegen Verstößen gegen die Vorschriften des Datenschutzrechtes für die Internetseite und sonstige Prozesse, bei denen US-Clouddienste in Ihrem Unternehmen zum Einsatz kommen, die Liste Ihrer verwendeten US-Anbieter z.B. anhand Ihrer Datenschutzhinweise und Verarbeitungsverzeichnisse durchgehen und prüfen lassen, ob für die Dienste vom Anbieter die entsprechenden Data Privacy Addendums oder sonstige entsprechende Data Processing Terms vorliegen, die die Voraussetzungen der EU-Kommission zu den o.g. Angemessenheitsbeschlüssen erfüllen, die – soweit noch nicht geschehen – abschließen und das dokumentieren. Ferner sollten Sie Ihre Verarbeitungsverzeichnisse sowie Datenschutzhinweise gemäß DSGVO anpassen und die entsprechenden Passagen, die auf das nicht mehr gültige EU-Privacy Shield nach Art. 46 DSGVO z.B. in Ihren Datenschutzhinweisen rekurrieren, abändern. Viele US-Anbieter wie z.B. Automattic Inc. mit Sitz in den USA – WordPress.com stellen entsprechende Data Privacy Addendums bereits zur Verfügung, weil diese Entscheidung des EUGH absehbar war.
Standardvertragsklauseln können aber laut EUGH Urteil vom 16.07.2020 – Schrems II nur dann eingesetzt werden, wenn sie nach den konkreten Umständen auch von den Vertragsparteien eingehalten werden können. Das könnten etwa besondere Verschlüsselungen sein, die gewährleisten, daß die US-Behörden und der US-Anbieter faktisch nicht auf die zu schützenden Inhalts- und Metadaten zugreifen können und wenn der Anbieter garantiert, dass die Server in der EU sich befinden in gesicherten Rechenzentren. Dann können ggfs. EU-Standardvertragsklauseln auch mit US-Anbietern geschlossen werden. Klar dazu hat sich der EUGH allerdings nicht geäussert. Falls der US-Cloud Anbieter keine rechtmäßigen Vertragsklauseln der beschriebenen Art anbietet, ist zu prüfen, ob ggfs. Ausnahmetatbestände anwendbar sind. Das ist nach Art. 49 Abs. 1 a DSGVO zum einen eine Einwilligung des Betroffenen, die ausdrücklich gegeben wird, nachdem der Betroffene auf die besonderen Risiken hingewiesen wurde. Das ist derzeit z.B. bei Cookie Consent Managern für Webseiten (Also die Banner, die bei Aufruf von Webseiten zunächst für die Cookies fragen, ob diese zugelassen werden oder abgelehnt werden) – ein Anwendungsfall, wenn nicht erforderliche Cookies von Anbietern wie Google, Facebook, Adobe usw. aus Drittländern eingesetzt werden sollen und hierfür eine Einwilligung zu deren Aktivierung benötigt wird. Ferner zählt Art. 49 noch eine Reihe weiterer Ausnahmetatbestände auf wie etwa, wenn die Drittlandübermittlung z.B. zum Schutze lebenswichtiger Interessen der betroffenen Person erforderlich ist. Art. 49 DSGVO Die Prüfung und Anpassung der Prozesse, ggfs. Wechsel von Anbietern oder zumindest Änderungen von deren Verträgen und Einbindungen sowie der Datenschutzhinweise erfordern nun Aufwand. Dieser ist aber wohl unvermeidlich, denn weder der EUGH noch die Aufsichtsbehörden billigen nach ihren Reaktionen auf das Urteil relevante Umsetzungsfristen zu. Zwar wird eine Umsetzungfrist dann in der Praxis für eine kurze Übergangszeit aus Verhältnismäßigkeitsgründen den Unternehmen eingeräumt werden. Wegen der Unklarheit, wie lange diese eingeräumt wird, ist es aber nur eine Frage der Zeit, dass einzelne “schärfere” Aufsichtsbehörden aufgrund von Beschwerden oder wiederholender Datenpannen tätig werden und Bussgeldverfahren einleiten werden. Amtliche Bussgelder aufgrund von DSGVO-Verstössen – soweit teilweise amtlich bestätigt oder veröffentlicht – können teilweise hier nachgelesen werden (ohne Anspruch auf Vollständigkeit): https://www.enforcementtracker.com/ oder hier https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php Die Stellungnahme der Datenschutzkonferenz der deutschen Datenschutzaufsichtsbehörden vom 28.07.2020: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf verweist auf die Stellungnahme des EDSA (Europäischer Datenschutzausschuss bei der EU): https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de Dieser antwortet recht streng auf die Frage, ob es eine Umsetzungsfrist gibt: “No, the Court has invalidated the Privacy Shield Decision without maintaining its effects, because the U.S.law assessed by the Court does not provide an essentially equivalent level of protection tothe EU. This assessment has to be taken into account for any transfer to the U.S. …” FAZIT: Vor diesem Hintergrund antworten derzeit die deutschen Aufsichtsbehörden auf die Frage nur vage und zähneknirschend mit: “zeitnah” – was auch immer das nun dann in den Augen der Gerichte, die später bei Streitfällen zu entscheiden haben werden, sein wird. Dort, wo es möglich und zumutbar ist, sollten Unternehmen daher unbedingt unverzüglich auf EU-Anbieter umstellen oder die o.g. angesprochenen Änderungen und Anpassungen vornehmen.