Dem EuGH wurden vom Irischen High Court elf Fragen vorgelegt. Es stand dem EuGH frei, die Vorlagefragen neu zu formulieren und nur einige davon zu behandeln. Diese FAQs geben einen einfachen Überblick über das Urteil und die darin beantworteten Vorlagefragen. Sie befassen sich mit den wichtigsten Fragen, die Personen und Unternehmen zum Urteil des EuGH haben könnten.
(I) Umfang des Falles
Welche EU-US- Datenübermittlungen sind von diesem Fall nicht betroffen?
In einfachen Worten: „Notwendige“ Übermittlungen personenbezogener Daten sind nicht betroffen.
In diesem Fall geht es hauptsächlich um die freiwillige „Auslagerung“ der Verarbeitung personenbezogener Daten in die Vereinigten Staaten.
Der Fall betrifft nicht: (1) Daten, bei denen es sich nicht um personenbezogene Daten handelt; (2) „notwendige“ Datenübermittlungen in die Vereinigten Staaten (z.B. E-Mails in die USA, Buchungen in den USA usw.); in den meisten Fällen sind derartige Übermittlungen aufgrund einer „Ausnahmeregelung“ gemäß Artikel 49 DSGVO zulässig.
Daher hat dieser Fall nicht die Folge, dass man keine E-Mails oder Nachrichten von der EU in die USA schicken darf. Jede Behauptung, die dies nahelegt, ist schlicht und einfach falsch.
Trotzdem werden viele Unternehmen in der EU ihre Auslagerung-Praktiken überprüfen müssen, wenn sie personenbezogene Daten von US-Anbietern verarbeiten lassen. Empfänger dieser Daten in den USA werden ebenfalls eine ähnliche Überprüfung durchführen müssen, wenn sie Verpflichtungen im Rahmen einschlägiger US-Überwachungsgesetze wie FISA 702 unterliegen.
Was ist der Unterschied zwischen der „Auslagerung“ der Verarbeitung und absolut „notwendigen“ Datenübermittlungen in die USA, wie dem Versand von E-Mails, Hotelbuchungen oder geschäftlichen Transaktionen?
„Notwendige" Datenübermittlungen“: In den meisten Fällen, in denen Daten in die USA übermittelt werden müssen (z.B. Hotelbuchung, Versenden einer E-Mail an jemanden in den USA, Standardgeschäfte zwischen der EU und den USA usw.), gelten die „Ausnahmeregelungen“ in Artikel 49 DSGVO. Die Zulässigkeit derartiger Datenübermittlungen ist unabhängig von der Gültigkeit anderer Rechtsinstrumente, die für Datenübermittlungen verwendet werden können, wie z.B. Standardvertragsklauseln (Standard Contractual Clauses – SCCs), Privacy Shield oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCRs).
Auslagerung: Auslagerung bedeutet, dass personenbezogene Daten in den USA gespeichert werden. Dies geschieht, weil es einfacher, billiger oder praktischer ist, sie bei einem US-Dienstleister zu speichern als in Europa, auch wenn die Daten technisch gesehen innerhalb der EU/des EWR gespeichert werden könnten. Es gibt es in der Regel keine generelle „Ausnahmeregelung“ gemäß Artikel 49 DSGVO für die Übermittlung von Daten in die USA. Stattdessen muss ein Rechtsinstrument wie die SCCs, Privacy Shield oder BCRs verwendet werden. Diese Instrumente können vom EuGH in bestimmten Situationen für ungültig oder nicht abwendbar erklärt werden. Heute hat der EuGH Privacy Shield für ungültig erklärt. Zudem können sich Facebook und andere US-Unternehmen, die US-Überwachungsgesetzen unterliegen, nicht auf die SSCs stützen.
Betrifft dieser Fall Datenübermittlungen in andere Länder als die USA?
Der Fall betrifft derartige Übermittlungen nicht direkt.
Der Fall hat jedoch indirekte Folgen. Die Unternehmen werden das tatsächliche Schutzniveau, das in Nicht-EU/EWR-Ländern gewährt wird, viel genauer als bisher überprüfen müssen. Im Hinblick auf die SCCs ist beispielsweise ein Konflikt mit Überwachungsgesetzen in Ländern wie China oder Russland von gleicher Relevanz.
(II) Konsequenzen für Verbraucher
Können EU/EWR-Verbraucher weiterhin direkt Dienstleistungen in den USA (oder anderen Drittländern) in Anspruch nehmen?
Praktisch gesehen steht es den Benutzern frei, wissentlich ihre eigenen personenbezogenen Daten direkt in ein Drittland zu senden, zum Beispiel bei der Nutzung einer chinesischen Website.
Es ist jedoch nicht möglich, Daten anderer Personen (z.B. Freunde, Kollegen) direkt mit einem US-Anbieter zu teilen, es sei denn, Sie haben hierfür deren freiwillige, spezifische, informierte und eindeutige Einwilligung eingeholt.
Können EU/EWR-Verbraucher weiterhin indirekt (über eine EU-Niederlassung) Dienstleistungen aus den USA (oder einem anderen Drittland) in Anspruch nehmen?
In vielen Fällen haben EU/EWR-Nutzer einen Vertrag mit einer EU-Tochtergesellschaft eines US-Unternehmens. Beispiele hierfür sind Google Irland, Facebook Irland, Microsoft Luxemburg oder Amazon Luxemburg.
In diesen Fällen müssen die EU-Unternehmen sicherstellen, dass „konzerninterne“ Ströme personenbezogener Daten in die USA DSGVO-konform sind. Unternehmen müssen solche Datenübermittlungen nun genau unter die Lupe nehmen und prüfen, ob sie die Daten in Europa oder in einem anderen Land, das einen besseren Schutz der Privatsphäre bietet, hosten müssen, anstatt sie in die USA an ein Unternehmen zu übermitteln, das unter US-Überwachung steht.
(III) Konsequenzen für Unternehmen
Können EU/EWR-Unternehmen weiterhin „notwendige“ Datenübermittlungen personenbezogener Daten in die USA durchführen?
In den meisten Fällen: Ja.
Artikel 49 DSGVO enthält eine Liste von „Ausnahmeregelungen“, die solche Datenübermittlungen erlauben. Dazu gehören in der Regel Bestellungen von Unternehmen in den USA, Buchungen bei US-Hotels, das Versenden von E-Mails in die USA und generell alle Dienstleistungen, die logischerweise eine EU-US-Datenübermittlung erfordern. Solche Übermittlungen sind nicht Gegenstand des Falles und werden von dem Urteil nicht berührt.
Können EU/EWR-Unternehmen weiterhin die Verarbeitung personenbezogener Daten in die USA „auslagern“?
In den meisten Fällen: Wahrscheinlich nicht.
Die am häufigsten verwendeten US-Datenverarbeiter fallen auch unter US-Überwachungsgesetze wie FISA 702, die sie dazu verpflichten, personenbezogene Daten ohne angemessenen Schutz an die US-Regierung weiterzugeben. Die Übermittlung von Daten an Datenverarbeiter, die solchen Verpflichtungen unterliegen, verstößt gegen die DSGVO, wie der EuGH festgehalten hat.
Können EU/EWR-Unternehmen weiterhin die Verarbeitung personenbezogener Daten in andere Länder als die USA auslagern?
Ja, wenn es in diesem Land keine dem entgegenstehenden Gesetze gibt.
Der Fall ändert nicht die DSGVO-Regeln für Datenübermittlungen. Wie bisher muss jedes EU-Unternehmen prüfen, ob es in einem Drittland Gesetze gibt, die die EU-Datenschutzbestimmungen außer Kraft setzen können. In solchen Fällen kann die Verarbeitung personenbezogener Daten nicht in dieses Drittland ausgelagert werden.
Wenn beispielsweise die Verarbeitung personenbezogener Daten in Land A ausgelagert wird, muss der für der Verantwortliche in der EU sicherstellen, dass der Empfänger die erforderlichen Vorkehrungen getroffen hat, aber auch, dass es in Land A kein widersprechendes Gesetz gibt, das diese Vorkehrungen außer Kraft setzt.
Sind jetzt alle Datenübermittlungen von der EU/EWR in die USA verboten?
Nein, ganz und gar nicht – aus zwei Gründen:
- Die meisten Datenübermittlungen betreffen keine „personenbezogenen Daten“, sondern andere Formen von Daten. Solche Datenübermittlungen sind nicht einmal von der DSGVO erfasst.
- Die meisten „notwendigen“ Übermittlungen personenbezogener Daten (z.B. beim Versenden einer E-Mail, einer Nachricht oder einer Hotelbuchung) fallen nach wie vor unter eine Ausnahmeregelung in Artikel 49 DSGVO. Diese Übermittlungen können nach dem Urteil fortgesetzt werden und sind von diesem nicht betroffen.
Betrifft der Fall alle US-Empfänger von EU-Daten?
Nein. Sie ist nur für Unternehmen relevant, die den US-Überwachungsgesetzen unterliegen, oder für Unternehmen, die Datenverarbeiter einsetzen, die unter diese US-Überwachungsgesetze fallen.
Zum Beispiel gilt FISA 702 nur für „Anbieter elektronischer Kommunikationsdienste“. Bei Branchen wie Banken, Fluggesellschaften, Hotels, Reedereien, Verkauf von Waren und dergleichen ist in der Regel nicht davon auszugehen, dass sie unter diese Gesetze fallen. Es besteht jedoch eine gewisse Unklarheit über diesen Begriff und das US-Recht. Eine Klärung durch die US-Regierung erscheint notwendig.
In der Praxis kann eine Bank (die nicht unter FISA fällt) jedoch selbst einen „Anbieter elektronischer Kommunikationsdienste“ (der unter FISA fällt) einsetzen. Das bedeutet, dass über den „Anbieter elektronischer Kommunikationsdienste“ auf die Daten der Bank zugegriffen werden kann. Oder die Bank kann Daten übermitteln, die unzureichend verschlüsselt sind, was es beispielsweise ermöglichen würde, die Daten „abzugreifen“, während sie über Unterwasserkabel gesendet werden (wie nach EO 12.333 erlaubt). Folglich muss der gesamte Datenfluss bewertet werden.
Wie kann eine Entscheidung des EuGH in der Praxis durchgesetzt werden?
Nach dem Urteil müssen die Unternehmen individuell prüfen, ob sie ihre Praktiken ändern müssen. Sie sind verpflichtet, illegale Datenübermittlungen zu unterbinden. Das ist insofern nichts Neues. Bereits nach dem „Safe Harbor“-Urteil sind viele EU-Unternehmen von US-Anbietern abgewichen.
Unternehmen, die weiterhin unrechtmäßig Daten an US-Empfänger übermitteln, werden gut daran tun, alle derartigen Übermittlungen so schnell wie möglich zu stoppen, um Geldstrafen von bis zu 20 Millionen Euro oder 4% ihres weltweiten Umsatzes nach der DSGVO zu vermeiden. Die nationalen Datenschutzbehörden (DPAs) sind für die Durchsetzung dieser Strafen verantwortlich.
Nutzer von EU-Unternehmen können verlangen, dass diese Unternehmen die Übermittlung ihrer personenbezogenen Daten in die USA einstellen. Wenn die Unternehmen diesen Aufforderungen nicht nachkommen, können die Benutzer bei einer Datenschutzbehörde Beschwerde einreichen oder eine Klage bei ihrem örtlichen Gericht einbringen. Dies kann zu einstweiligen Verfügungen und/oder Schadenersatz wegen immaterieller Schäden führen. In vielen EU-Ländern können auch Verbrauchergruppen, Betriebsräte und andere Gremien Sammel- oder Gruppenklagen einreichen, wenn ein Unternehmen weiterhin personenbezogene Daten ohne rechtliche Grundlage übermittelt.
Was können EU/EWR-Unternehmen tun?
Unternehmen müssen prüfen, ob ihre Verarbeitung personenbezogener Daten an US-Verarbeiter ausgelagert werden muss. Wenn dies der Fall ist, müssen sie die Rechtsgrundlage für die Datenübermittlung ermitteln (z.B. Ausnahmeregelungen in Artikel 49 DSGVO, SCCs, Privacy Shield oder BCRs).
Die meisten US-Anbieter von Cloud-Diensten sind als „Anbieter elektronischer Kommunikationsdienste“ zu qualifizieren und fallen daher unter die einschlägigen US-Überwachungsgesetze wie FISA 702.
Während die meisten anderen Industriesektoren nicht unter diese Gesetze fallen, können sie „Anbieter elektronischer Kommunikationsdienste“ nutzen, beiden denen dies der Fall ist, was in der Tat einen indirekten Zugang zu den Daten ermöglicht. Andere Überwachungsinstrumente wie z.B. EO 12.333 müssen ebenfalls in Betracht gezogen werden. EO 12 333 erlaubt eine „Überwachung im Transit“, wie z.B. den Zugriff auf Daten, die nicht ordnungsgemäß verschlüsselt sind, während sie über transatlantische Kabel geleitet werden.
Wenn sie keines der Rechtsinstrumente nutzen können, die eine Übermittlung gemäß Artikel 44-50 DSGVO erlauben, müssen Unternehmen alle relevanten personenbezogenen Daten zurück in die EU/EWR übermitteln und einen Datenverarbeiter innerhalb der EU/des EWR oder in einem anderen Land, in welchem ein angemessener Schutz personenbezogener Daten gewährleistet ist, finden.
Was können US-Unternehmen tun?
US-Unternehmen müssen überprüfen, ob sie oder ihr(e) Sub-Datenverarbeiter den einschlägigen US-Überwachungsgesetzen unterliegen und ob ihre Datenübermittlungen so verschlüsselt sind, dass ein „Abgreifen“ während der Übermittlung nicht möglich ist. Nach einer solchen Überprüfung müssen sie ihren EU/EWR-Kunden mitteilen, ob die Verarbeitung von deren personenbezogener Daten von dem Urteil betroffen ist.
Langfristig könnte es ratsam sein, bestimmte Verarbeitungen aus den USA heraus zu verlagern oder mit politischen Repräsentanten über die Auswirkungen der amerikanischen Überwachungsgesetze auf Geschäfte von US-Unternehmen mit ausländischen Kunden zu sprechen. Wir hoffen auch, dass US-Unternehmen mit dem US-Gesetzgeber über den mangelnden Schutz ihrer internationalen Kunden sprechen werden.
(IV) POLITISCHE KONSEQUENZEN
Wie kann der Konflikt zwischen den US-amerikanischen Überwachungsgesetzen und den Datenschutzbestimmungen der EU langfristig gelöst werden?
Wenn die USA ihre Position als wichtigster Anbieter von IT-Dienstleistungen in der Welt behalten wollen, müssen die US-amerikanischen Überwachungsgesetze dringend reformiert werden. Die USA werden einen grundlegenden Schutz der Privatsphäre einführen müssen, der mindestens demjenigen entspricht, der US-Bürgern bereits gewährt werden. Andernfalls ist es sehr unwahrscheinlich, dass ausländische Kunden weiterhin US-Dienstleister in Anspruch nehmen werden.
Sobald die US-amerikanischen Überwachungsgesetze auf diese Weise reformiert werden, können EU-Unternehmen die Datenübermittlung zwischen der EU und den USA wieder aufnehmen, und die Europäische Kommission wird neue stabile Instrumente erlassen können, um dies zu ermöglichen.
Wie könnten EU-US- Datenübermittlungen auch in Zukunft weitergehen?
Im Kern stehen wir vor einem Konflikt zwischen den Datenschutzbestimmungen der EU und den Überwachungsgesetzen der USA: Die EU-Bestimmungen erfordern den Schutz personenbezogener Daten, während die US-Gesetze eine Überwachung anordnen.
Das Recht auf Privatsphäre und Datenschutz sind Grundrechte in Europa, die etwa in Artikel 7 und 8 der EU-Grundrechtecharta verankert sind. Alle 27 Mitgliedstaaten müssten jede Änderung dieser Grundrechte einstimmig beschließen. Die Europäische Kommission hat versucht, Angemessenheitsbeschlüsse wie „Safe Harbor“ und „Privacy Shield“ zu verabschieden. Ohne die notwendige Reform der US-amerikanischen Überwachungsgesetze werden diese Angemessenheitsbeschlüsse den EU-Grundrechten jedoch wiederum nicht gerecht. Das Ergebnis sind Entscheidungen wie die heutige, die derartige Angemessenheitsbeschlüsse ungültig machen.
Die USA führten 2008 weit reichende Überwachungsgesetze für Nicht-US-Personen ein. Wenn die USA diese Überwachungsgesetze rückgängig machen oder Nicht-US-Personen den gleichen Schutz garantieren würden, wie er für US-Personen besteht, ist es durchaus möglich, dass die USA als ein Land angesehen werden, das nach EU-Recht einen „angemessenen Schutz“ für personenbezogene Daten gewährleistet, sofern auch gute Rechtsschutzmöglichkeiten bestehen.
Kann die EU einfach eine weitere Entscheidung treffen, wenn Privacy Shield außer Kraft gesetzt wird?
Theoretisch könnte die Europäische Kommission (wissentlich) eine weitere ungültige Entscheidung erlassen, wenn der EuGH „Privacy Shield“ für ungültig erklärt. Da das Problem im US-Recht liegt, würde dies höchstwahrscheinlich zu einer rechtlichen Anfechtung führen, die dazu führen würde, dass die neue Entscheidung ebenfalls durch den EuGH für ungültig erklärt wird. Es ist sehr unwahrscheinlich, dass dies politisch akzeptabel wäre. Die Unternehmen brauchen zudem eine rechtlich stabile Lösung.
Dieses Urteil und das vorhergehende in Bezug auf „Safe Harbor“ basieren beide auf der EU-Grundrechtecharta. Eine einstimmige Übereinkunft zwischen allen 27 EU-Mitgliedstaaten wäre erforderlich, um die EU-Verträge so zu ändern, dass die Europäische Kommission einen rechtlich einwandfreien Datenübermittlungs-Beschluß für EU-US- Übermittlungen erlassen kann.
Die Lösung liegt daher in den Händen des US-Gesetzgebers, der die geltenden US-Überwachungsgesetze anpassen oder zurücknehmen muss.
Ist das nicht einfach Protektionismus durch die EU?
Nein. Dieser Fall ist eigentlich gegen die Europäische Kommission gerichtet. Das EU-Recht lässt viele Optionen für internationale Datenübermittlungen zu – solange die grundlegenden Datenschutzbestimmungen eingehalten werden.
In Wirklichkeit unterstützt der politische Arm der EU (die Europäische Kommission und die Mitgliedstaaten) Datenübermittlungen zwischen der EU und den USA. Der EuGH hat – angesichts der potenziellen Verletzung der EU-Grundrechte – jedoch schon seit längerem Zweifel an der Rechtmäßigkeit dieser Vereinbarungen mit den USA geäußert. Ebenso hat das Europäische Parlament Zweifel an diesen Vereinbarungen geäußert.
Vergleicht man „Privacy Shield“, wie er für US-Unternehmen gilt, mit derEU-internen DSGVO, so wird deutlich, dass US-Unternehmen Zugang zum großen Markt der EU haben, wobei sie viel schwächeren Regeln unterliegen, als sie EU-Unternehmen befolgen müssen. Dies verschafft US-amerikanischen Unternehmen einen Wettbewerbsvorteil.
V01
