die lange Reise von “Safe Harbor” zum “Privacy Shield” – und wie weiter?
Eine weitere Runde im Rechtsstreit, den Max Schrems urspünglich gegen facebook angetreten ist, ist entschieden. Seit gestern, 16. Juli 2020, ist es klar: Das Privacy-Shield-Abkommen, das die EU-Kommission mit dem Handelsministerium der USA abgeschlossen hat und das personenbezogene Daten von EU-Bürger*innen auch in den USA schützen hätte sollen, bietet keinen ausreichenden Schutz. Das liegt daran, dass in den USA die Daten von EU-Bürger*innen von Geheimdiensten abgesaugt werden können, für Werbezwecke auch ohne Zustimmung genutzt werden können und daran, dass EU-Bürger*innen eine Verletzung ihres Rechts auf Datenschutz nicht vor einem US-amerikanischen Gericht einklagen können. Das Abkommen ist somit ungültig.
ein Urteil mit Vorgeschichte
Ausdauernd hat der Jurist Max Schrems schon lange vor der Gründung seiner Datenschutz-NGO noyb Kritik an facebook und dessen Datennutzung verfolgt. Erste Klagen wurden von ihm 2011 eingereicht. Nach einer Beschwerde vor der österreichischen Datenschutzkommission, einer Klage vor der irischen Datenschutzbehörde 2014, dem Urteil des EuGH gegen das “alte” Safe-Harbor-Abkommen zwischen den USA und der EU 2015, einer Sammelklage vor dem Landesgericht Wien 2015, die in Folge vor dem europäischen Gerichtshof landete, gibt es nun erneut ein Urteil des Europäischen Gerichtshofes in der Sache “Schrems und facebook Ireland ltd.” (Es ist noch nicht einmal zwei Monate her als das Landesgericht Wien am 1. Juli 2020 in einem anderen von Max Schrem angestrengten Verfahren urteilte, dass facebook Max Schrems zwar vollständige Auskunft erteilen müsse, ansonsten aber keinerlei Rechtsverletzungen festgestellt hat.)
das “Privacy-Shield”-Abkommen diente dem Datentransfer zwischen USA und EU
Das Abkommen namens “Privacy Shield” wurde 2015 zwischen den USA und der EU-Kommission ausverhandelt, nachdem das Vorgänger-Modell für den Datentransfer zwischen den USA und EU-Staaten, das “Safe Harbor”-Abkommen, vom EuGH für ungültig erklärt worden war. Unternehmen, die sich dem Privacy-Shield unterwarfen, also dessen Vorgaben einhielten, konnten mit Europäischen Firmen Daten übermitteln, als ob sie in der EU ansässig gewesen wären. Es wurde angenommen, dass diese Unternehmen das selbe Datenschutzniveau erreichen würden, wie es in der EU durch die DSGVO gegeben ist. Max Schrems, der den Stein ins Rollen gebracht hatte, der seinerzeit Safe-Harbor schließlich zu Fall brachte, war schon bei der Einführung des Privacy-Shield-Abkommens kritisch.
Da [im Privacy-Shield-Abkommen] steht genauso [wie im Safe-Harbor-Abkommen] drin, US-Recht hat Vorrang, wenn US-Recht sagt, die Daten dürfen abgefangen werden, dann dürfen die abgefangen werden.
Quelle: Deutschlandfung 2016
Kritik am Privacy Shield Abkommen kam auch von Seiten der Gewerkschaft GPA-djp. Das Urteil des Europäischen Gerichtshofes stimmt insofern positiv, weil es klarstellt, dass die Europäischen Datenschutz-Schutzstandards einzuhalten sind. Punkt.
In dem Urteil geht es um Nutzer*innen-Daten, die nicht notwendiger Weise und ohne Zustimmung der Betroffenen in die USA transferiert werden. Das können Profile von Nutzer*innen sein, die Vorlieben oder häufig besuchte Orten beinhalten. Die Zusammenstellung derartiger Profile stellt ein lukratives Geschäftsmodell für einige Unternehmen dar.
Von dem Urteil betroffen sind demnach über 5000 US-Unternehmen, die Daten zwischen den USA und der EU übertragen, etwa aus den Bereichen des Marketings, Cloud-Services und Datenhosting-Dienste.
schreibt Der Standard vom 16.7.2020
US-Behörden dürfen keinen Zugriff auf Daten von EU-Bürger*innen haben
Das Privacy-Shield-Abkommen wurde gestern vom EuGH für ungültig erklärt. Max Schrems erhob Klage weil es in den USA weder Regelungen gibt, die Grundrechtseingriffe der Behörden begrenzen würden, noch wirksamer Rechtsschutz gegen solche Eingriffe bestehe. In den USA könnten personenebzogene Daten von Nutzer*innen aus der EU jederzeit z.B. von US-Geheimdiensten ausgewertet werden, was sowohl der Charta der Grundrechte der EU als auch der Datenschutzgrundverordnung widerspreche. Dass hier ein Verstoß gegen Grundrechte vorliegt, bestätigt der EUGH; er hebt in seiner Urteilsbegründung hervor, dass eine Einschränkung der Datenschutz-Rechte nur dann stattfinden darf, wenn es verhältnismäßig und erforderlich ist:
Insoweit ist ferner darauf hinzuweisen, dass (…) personenbezogene Daten nur „für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage“ verarbeitet werden dürfen. (…) Einschränkungen dieser Rechte und Freiheiten (dürfen) unter Wahrung des Grundsatzes der Verhältnismäßigkeit nur vorgenommen werden, wenn sie erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.
Zitat: EUGH 3-311/18 am 16.7.202; Rz 173 + 174 (eigene Hervorhebungen)
Jedenfalls bedeutet das Urteil, dass die Prinzipien der Europäischen Datenschutzgrundverordnung auch bei Abkommen mit Staaten außerhalb der EU eingehalten werden müssen.
was das für Datentransfer in einem internationalen Konzerns bedeuten kann
Es bestehen mehrere Möglichkeiten, wie Datenverarbeitungen legal in den USA stattfinden können. Dass sich ein Unternehmen dem Privacy Shield unterwirft, war eine davon. Nun gibt es noch die Möglichkeit:
- Standardvertragsklauseln abzuschließen;
- es können von der Datenschutzbehörde genehmigte Verhaltensregeln (Bindung Corporate Rules) für eine gesamte Branche oder einen Firmenverband (gemäß Artikel 40 DSGVO) vorliegen oder
- ein Unternhemnen kann sich zertifizieren (gemäß Artikel 42 DSGVO) lassen.
Handlungsoptionen im Betriebsrat
Bestehende Betriebsvereinbarungen und Auftragsverarbeiterverträge zum Thema Datenverarbeitung in den USA sollten nun überprüft werden. Falls das Privacy Shield die Rechtsgrundlage für den Datentransfer in die USA darstellt, sollte der Datentransfer (zumindest vorübergehend) ausgesetzt werden und wegen geänderter Voraussetzungen etwas anderes ausverhandelt werden.
die österreichische Datenschutzbehörde muss Standardvertragsklauseln prüfen
Falls Zweifel an der Rechtsgrundlage für Datenübermittlungen in die USA bestehen, sollte der Betriebsrat darauf bestehen, dass diese rechtlichen Grundlagen für Datenübermittlungen in die USA, die Standardvertragsklauseln (gemäß Artikel 93 Abs 2 DSGVO), von der Österreichischen Datenschutzbehörde geprüft wird.
Keinesfalls sollten nun “aus gegebenem Anlass” Zustimmungs- und Einverständniserklärungen – weder kollektiv noch individuell – unterschrieben werden.
Jetzt wäre die Gelegenheit günstig, eine Betriebsvereinbarung zu betrieblichen Datenverarbeitungen zu fordern.
sagt Claudia Kral-Bast, aus der Abteilung Arbeit & Technik, die Betriebsrät*innen zu dem Thema berät
Generell ist es erstrebenswert gemeinsam mit den Beschäftigten und der GPA-djp der Geschäftsleitung zu vermitteln, dass betrieblicher Datenschutz einen wichtigen Aspekt der betrieblichen Sozialpartnerschaft darstellt. Nur mit dem Betriebsrat und der Belegschaft gemeinsam kann Datenmissbrauch hintangehalten werden.