Von Datenschutz-Experte David Heimburger
Das Privacy Shield-Urteil des EuGH
Praktische Handlungsempfehlung mit Checkliste
Jede Unternehmerin und jeder Unternehmer hat mittlerweile vom Urteil des EuGH zum EU-US Privacy Shield („Schrems II“) gehört. Wie man aber mit diesem Urteil des Europäischen Gerichtshofs (EuGH) in der Praxis umgehen soll, ist den wenigsten von uns klar. Dieser Beitrag will die Eckpfeiler vorstellen, um die es bei dem Thema geht. Neben Verständnis für die Probleme im Hintergrund soll er vor allem die Handlungsoptionen zeigen, die jetzt zur Verfügung stehen.
Die Vorgeschichte des Urteils wird ausgeklammert, ebenso wie eine detaillierte Erläuterung der Rechtsfragen im Hintergrund. Leider wird auch eine alle Sorgen beseitigende Antwort fehlen – da es Perfektion bei dem Thema nicht gibt und wahrscheinlich auch nie geben wird.
Dieser Artikel bietet Erklärungen, wo genau aktuell das große Problem liegt. Dazu kurz ein eher ganzheitlicher Blick auf das Thema.
Gastautor: David Heimburger
Rechtsanwalt und Datenschutzbeauftragter
Das Privacy Shield-Whitepaper mit Praxistipps und Checkliste zum Download!
Welche Folgen hat das Urteil des EuGH zum EU-US Privacy Shield für Ihr Unternehmen? Welche Fragen müssen Sie sich stellen und worauf gilt es jetzt bei der Nutzung von SaaS-Plattformen dringend zu achten?
Das billwerk-Whitepaper von Datenschutz-Experte David Heimburger enthält:
- allgemeine Auswirkungen des EuGH-Urteils
- konkrete Handlungsempfehlungen für Ihr Unternehmen
- praktische Checkliste zum Selbsttest
EU-US Privacy Shield Urteil des EuGH – Die Grundlagen
Um das Thema Datenschutz bei internationalen Datenübertragungen richtig zu verstehen, sollte man in Säulen denken:
- Interner Datenschutz
- Datenaustausch mit Tracking- und Werbenetzwerken
- Staatliche Überwachung
- Abwehrrechte gegen die Nutzung meiner Daten
Interner Datenschutz
Der interne Datenschutz bezieht sich auf das Innere des Geschäftsbetriebs, also Kundendatenbank, Rechnungen, Warenlieferungen, Betrieb der eigenen Website, IT-Infrastruktur und auch Personaldaten.
Datenaustausch mit Tracking- und Werbenetzwerken
Datenaustausch mit Tracking- und Werbenetzwerken betrifft die Weitergabe von Daten – zum Beispiel über Cookies der eigenen Website – an Datensammler, die daraus Zielgruppenprofile bilden, die wiederum Grundlage für zielgerichtete Marketingmaßnahmen von Dritten oder dem eigenem Unternehmen sind. Hier reden wir von Facebook (inkl. Instagram und WhatsApp), Google (inkl. YouTube), TikTok, Twitter, LinkedIn und in Teilen auch von Amazon, Microsoft und Apple.
Staatliche Überwachung
Staatliche Überwachung betrifft zum einen zielgerichtete Ermittlungen, aber vor allem im Rahmen der Terrorismusabwehr auch die anlasslose umfassende Auswertung digitaler Kommunikation. Hier reden wir vor allem über die Programme der NSA, wie sie durch Edward Snowdens Enthüllungen öffentlich geworden sind.
Abwehrrechte
Die Abwehrrechte sind die Rechtsmittel, die Bürgern einzelner Rechtsordnungen zur Verfügung stehen, um ein Übermaß an Datensammlung oder -auswertung stoppen zu können. Für Bürger der Europäischen Union sind ein Großteil der Abwehrrechte in der Datenschutzgrundverordnung (DSGVO) festgelegt. Daneben bestehen klassische Abwehrrechte zum Beispiel in Deutschland über die Strafprozessordnung und das Verwaltungsrecht, aber auch aus dem Wettbewerbsrecht.
Datenschutz bei internationalen Datenübertragungen im Zusammenhang mit dem Urteil zum Privacy Shield
Wie ruht nun Schrems II auf diesen Säulen? Der Kläger Max Schrems hat sich formal mit Facebook gestritten. Man könnte also denken, es wäre ihm um die Profilbildung gegangen, die Facebook über ihn als Nutzer der Social-Media-Plattform betreibt. Es ging ihm aber um die Übertragung der Daten an Rechenzentren in den USA – und den damit einhergehenden Zugriff der US-Behörden auf seine Daten. Weil Schrems sich als Österreicher nicht gegen das Handeln der NSA zur Wehr setzen kann, hat er sich das Unternehmen Facebook als Gegner ausgesucht. Das US-Recht, dem das Handeln der NSA unterfällt, stellt Europäern keine der DSGVO vergleichbaren Abwehrrechte zur Verfügung.
Vergleichbares Datenschutzniveau
Die DSGVO – und auch schon die ihr vorausgehende EU-Datenschutzrichtlinie – stellt aber in ihren Artikeln 44 bis 50 die Pflicht auf, dass Daten von EU-Bürgern nur nach außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden dürfen, wenn dort ein vergleichbares Datenschutzniveau besteht. Sprich: Nach der Mechanik der DSGVO dürfen Daten nur in Länder übertragen werden, in denen EU-Bürger in ähnlicher Weise wie in Europa eine gerichtliche Überprüfung der Datenverarbeitung verlangen können. Und die gerichtliche Überprüfung muss dabei den Grundregeln der DSGVO vergleichbare Maßstäbe anlegen.
Und darin liegt die ganze Crux: Kein Unternehmen kann dafür sorgen, dass es in einem Land Gesetze, Behörden und Gerichte gibt, die im Bereich Datenschutz einen EU-Standard herstellen. Konkret für die USA sieht es – aufgrund anderer Schwerpunkte im Verfassungsrecht und den Grundrechten der Amerikaner – auch nach einem eventuell anstehendem Regierungswechsel nicht nach einem Ende der starken staatlichen Überwachung aus.
Die gesamten Werkzeuge, die Artikel 44 bis 48 DSGVO für internationale Datentransfers zur Verfügung stellen, sind nicht anwendbar, wenn der Gesetzgeber des Empfängerlands keine entsprechenden Rechtsstrukturen schafft. Artikel 49 DSGVO lässt Transfers auch in Staaten ohne Rechtsmittel zu – aber immer nur für Einzelfälle wie eine gelegentliche Dienstreise.
In deutlich diplomatischeren Worten hat der EuGH im Schrems II-Urteil zum Privacy Shield– wie auch schon in Schrems I – die Europäische Kommission daran erinnert, was seit Bestehen der EU-Datenschutzrichtlinie geltendes Recht in Europa ist. Akademisch sind die Schrems-Urteile nicht besonders anspruchsvoll. Anspruchsvoll ist der Widerspruch von Theorie und Praxis.
Die gesamte moderne Wirtschaft hat sich – gerade im Rahmen der zu recht geforderten Digitalisierung – an Prozesse und Dienstleister gewöhnt, deren Nutzung schwer mit dem Credo vom allein selig machenden EU-Datenschutzstandard vereinbar ist. Auch hinsichtlich europäischer Nachrichtendienste steht der Verdacht im Raum, dass sie sich für die Abwehr terroristischer Anschläge auf europäischem Boden gerne von den USA mit Informationen versorgen lassen, die sie selbst nicht rechtmäßig anlasslos erheben könnten. Theorie und Wirklichkeit laufen hier eklatant auseinander, auch wenn die Ziele des theoretischen Modells außerordentlich begrüßenswerte sind.
Die US-Regierung und die EU-Kommission haben übrigens schon den Start der Verhandlungen für ein Nachfolgeabkommen zum Privacy Shield bekanntgegeben. Formal könnte das wie das abgeschmetterte Abkommen vieles einfacher machen – aber Schrems III und ein erneutes Scheitern eines solches Abkommens ist eigentlich schon vorprogrammiert.
Über David Heimburger
Der Rechtsanwalt hat sich auf die Arbeit als Datenschutzbeauftragter spezialisiert und berät seine Kunden umfassend zu dem Thema. Der Hamburger prüft Geschäftsmodelle und unterstützt bei der Bereitstellung der erforderlichen Datenschutzdokumente. Seine Kunden sind kleine und mittlere Unternehmen, aber auch Vereine. Seine Schwerpunkte sind zum einen die Grundsatzberatung von Start-ups und zum anderen medizinische Einrichtungen wie Rettungsdienst und Arztpraxen. Mehr Informationen unter: https://www.davidheimburger.de/.
Erfahren Sie mehr über billwerk & automatisieren Sie sicher Ihr Wachstum
Mit billwerk Subscription Management & Recurring Billing Ihr Subscription Business-Modell DSGVO-konform monetarisieren.
