Nächste Schritte für EU-Unternehmen & FAQs

20 Jul 2020

Wir sind uns voll und ganz bewusst, dass viele Verantwortliche mit dem jüngsten Urteil C-311/18 des EuGHs zum Datentransfer zwischen der EU und den USA, insbesondere mit Blick auf das Fehlen einer Schonfrist, überfordert sind. Nachfolgend haben wir die häufigsten Fragen und Antworten zusammengefasst. Wir stellen auch zwei Mustertexte für Anfragen zur Verfügung, die Sie an jeden US-Partner oder jeden EU-Partner mit US-Bezug senden können. Rasches Handeln könnte durchaus von Relevanz sein, sollte eine Aufsichtsbehörde nun Geldbußen für die Nichteinhaltung der Entscheidung des EuGHs erwägen. Wir werden diese FAQs in den kommenden Tagen aktualisieren und spezielle FAQs und Mustertexte für Benutzer ("betroffene Personen") veröffentlichen. Anregungen sind erwünscht!

 

Schritte für europäische Unternehmen:

In Übereinstimmung mit den EDPB FAQs zum "Schrems II"-Urteil ist unsere vorläufige Empfehlung, dass die für die Verarbeitung Verantwortlichen die folgenden Schritte möglichst zeitnah umsetzt:

  1. Überprüfen Sie alle Ihre externen Datenflüsse (auch an EU-Unternehmen, die ihrerseits Daten an eine Nicht-EU-Unternehmen übermitteln könnten) auf Datenflüsse in Drittländer
  2. Bestimmen Sie die relevante Rechtsgrundlage (z. B. Angemessenheit, Artikel 49 DSGVO, Privacy Shield, SCCs usw.)
  3. In Bezug auf 50 USC § 1881a (= FISA 702) und EO 12.333 identifizieren Sie insbesondere alle "Electronic Communication Service Provider" in den USA und jeden Datenfluss in die USA, der nicht gegen Abhören durch die NSA gesichert ist (siehe Musteranfragen unten)
  4. Stoppen Sie Ihre Datenübertragungen, wenn:
  • Sie oder einer ihrere Partner weiterhin das Privacy Shield verwenden,
  • ein relevantes US-Unternehmen ein "Electronic Communication Service Provider" ist, oder
  • Sie Ihre Datenübermittlung nicht vor Abhörung durch die NSA schützen können.
  • Benachrichtigen Sie die Datenschutzbehörde, wenn Sie trotz einer negativen Beurteilung weiterhin SCCs, BCRs oder andere Instrumente verwenden.

 

Musterfragebögen für US-Anbieter oder Anbieter mit US-Bezug

Sie können diese Musterfrageböge für die gängigsten Arten von EU-US-Datenübermittlungen verwenden, die vom Urteil des EuGHs betroffen sein könnten:

Wir werden demnächst Mustertexte für andere Situationen veröffentlichen.

 

FAQs für EU-Unternehmen

  • Was passiert, wenn ich nicht tätig werde?

Der EuGH hat hervorgehoben, dass wenn Verantwortliche nicht tätig werden, die Datenschutzbehörden die Pflicht haben, einzugreifen, um Datenübermittlungen auszusetzen oder zu verbieten (Randnummer 134 des Urteils), sollte ein gültiges Rechtsinstrument für eine Übermittlung fehlen. Das bedeutet, dass es keine „Schonfrist“ gibt.

Die DSGVO sieht eine Höchststrafe von € 20 Mio. oder 4% des weltweiten Umsatzes vor, sollten weiterhin Daten ohne ein gültiges Rechtsinstrument übermittelt werden (Artikel 83 Absatz 5 Buchstabe c) DSGVO). Gemeinnützige Organisationen, Betriebsräte und auch Nutzer können Beschwerden oder Klagen einreichen, auch wegen immaterieller Schäden.

Vermutlich wird eine Datenschutzbehörde keine Geldbuße gegen einen Verantwortlichen verhängen sofern dieser nachweisen kann, dass sämtliche Maßnahmen zur Umsetzung des EuGH-Urteils so schnell wie möglich ergriffen wurden. Diese Seite soll helfen, dass Verantwortliche, solche Schritte nachweisen können.

  • Prüfen Sie, ob Sie geschäftlich Daten ins Ausland übermitteln müssen!

In vielen Fällen wurden externe Nicht-EU/EWR-Anbieter gewählt, ohne die Auswirkungen wirklich zu berücksichtigen. In vielen Fällen können Sie daher vermutlich relativ einfach zu einem EU/EWR-Anbieter (oder einem Anbieter aus einem „adäquaten“ Land wie der Schweiz) wechseln und dadurch jegliche Probleme im Zusammenhang mit Datentransfers gänzlich vermeiden

Auch wenn die Inanspruchnahme eines EU/EWR-Anbieters zunächst teurer erscheinen mag, ist das oft nicht mehr der Fall, wenn man die Zeit mit berücksichtigt, die benötigt wird, um Datenübermittlungen rechtskonform in einen Nicht-EU/EWR-Staat zu übermitteln.

  • Was müssen Sie tun, wenn Sie sich weiterhin auf die Standarddatenschutzklauseln für Übermittlungen an einen Nicht-EU/EWR-Anbieter stützen wollen?

Der Verantwortliche und der Anbieter müssen eine „Einzelfallanalyse“ durchführen (Absatz 134 des Urteils), um zu prüfen, ob der Anbieter irgendwelche nationale Gesetze unterliegt, die gegen der DSGVO und der Charta der Grundrechte der Europäischen Union verstoßen.

Im Allgemeinen sind Gesetze, die den „normalen“ Strafverfolgungsbehörden einen individuellen Zugriff auf Daten vorbehaltlich der Zustimmung eines Richters gestatten, mit dem EU-Recht vereinbar. Formen eines weniger demokratischen, weitreichenden Zugriffs („Massenverarbeitung“) oder eines Zugriffs ohne gerichtliche Überprüfung sind mit dem EU-Recht unvereinbar.

  • Was muss ich tun, wenn ich die Standarddatenschutzklauseln speziell für Übertragungen an einen US-Anbieter verwende?

Die meisten US-Cloud-Anbieter fallen unter FISA 702. Solche Anbieter werden Sie nicht mehr nutzen können. Die Definition in 50 USC § 1881(b)(4) für einen sog. „electronic communication service provider“ umfasst wie folgt:

  • Providers of remote computing services,
  • Provider of electronic communication services,
  • Telecommunications carriers,
  • Any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored, and
  • any officer, employee, or agent of any such entity.

Wegen der Wichtigkeit dieser Definitionen haben wir sie nicht übersetzt.

Wenn Sie sich nicht sicher sind, ob Ihr Anbieter in den Anwendungsbereich von FISA 702 fällt, können Sie diesen einfach fragen und/oder auch ob der Anbieter angemessenen Schutz gegen die Überwachung durch Dritte während der Übermittlung („im Transit“) bietet (unter FISA 702 und/oder EO 12.333). Da jede Situation anders ist, haben wir vorläufige Musterfragen vorbereitet, die Sie kostenlos verwenden können, um mehr darüber zu erfahren, ob Ihre US-Verarbeitungslösung mit dem Urteil übereinstimmt:

Download: Beispielfragen für den Einsatz der Standarddatenschutzklauseln bei einem US-Anbieter

  • Was muss ich tun, wenn ich einen Anbieter nutze, der Daten innerhalb der EU/EWR verarbeitet, aber mit einem US-Unternehmen verbunden ist (oder selbst wiederum ein US-Unternehmen nutzt)?

FISA 702 und EO 12.333 haben keine territoriale Beschränkung. Sie gelten auch für Server in der EU, die von einem „electronic communication service provider“ in den USA betrieben werden oder bei denen bestimmte Prozesse an einen US-Anbieter ausgelagert werden. Der Standort für das Hosting ist daher irrelevant.

In einigen Fällen können Anbieter den tatsächlichen Zugang („possession, custody or control“) von US-Einrichtungen ausreichend eingeschränkt haben, so dass ein EU/EWR-Server faktisch außerhalb der Reichweite der US-Regierung liegt. Dies kann beispielsweise der Fall sein, wenn eine EU-Einheit durch die DSGVO verpflichtet ist, der US-Muttergesellschaft keine Daten zur Verfügung zu stellen und die US-Muttergesellschaft faktisch keinen Zugriff hat

Da jede Situation anders ist, haben wir vorläufige Musterfragebögen vorbereitet, die Sie gerne kostenlos verwenden können. Mit den Fragebögen können Sie mehr darüber erfahren, ob die europäischen Anbieter, die Sie verwenden, weiterhin nach dem dem Urteil verwendet werden können.

Download: Beispielfragen für Hosting innerhalb der EU aber ggf. mit einer Verbindung zu den USA

  • Wie sieht es mit der Überwachung während der Übermittlung („im Transit“) aus?

In Randnummer 183 des Urteils stellte der EuGH auch fest, dass die US-Überwachung „im Transit“ (wie in dem „Upstream“ Programm oder das Anzapfen der Unterwasserinternetkabel) gegen die Grundrechte der EU verstößt.

Mit Blick auf die DSGVO nehmen wir vorläufig den Standpunkt ein, dass eine solche externe Manipulation von personenbezogenen Daten hauptsächlich ein Fall von Artikel 32 DSGVO („Sicherheit der Verarbeitung“) ist. Der Datenexporteur und der Datenimporteur müssen daher geeignete technische und organisatorische Maßnahmen ergreifen, um die übermittelten Daten vor dem Abhören durch die NSA/FBI zu schützen

Da die US-Regierung über weitreichende Fähigkeiten verfügt, um Verschlüsselung zu brechen, ist es hauptsächlich eine einzelfallbezogene technische Frage, ob und wie eine technische Lösung möglich ist. Die US-Regierung behauptet, vornehmlich „Selektoren“ (wie E-Mail-Adressen, IP-Adressen oder Telefonnummern) für Programme wie Upstream zu verwenden. Daher muss sichergestellt werden, dass solche Selektoren unterhalb der Ende-zu-Ende-Verschlüsselungsschicht liegen. Bei vielen Formen der direkten Kommunikation (wie bei einer PGP-verschlüsselten E-Mail) sind die „Selektoren“ selbst nicht verschlüsselt.

Sie können die Musterfragebögen oben verwenden, um Ihren Provider entsprechend zu befragen.

  • Gibt es eine Liste von US-Anbietern, die unter diese Überwachungsgesetze fallen?

Es gibt keine vollständige Liste aller US-Anbieter, die unter 702 FISA (50 USC § 1881a) fallen, da alle „electronic communication service providers“ darunter fallen. Die Definition eines „electronic communication service provider“ ist in 50 USC § 1881(b)(4) USC zu finden.

Gleichzeitig haben eine Reihe von Unternehmen allerdings so genannte „Transparenzberichte“ veröffentlicht, die die Zugriffe der US-Regierung unter FISA auflisten. Dadurch wissen wir, dass diese Unternehmen definitiv unter einem FISA-Auftrag stehen

Einige Beispiele finden Sie hier (viele andere Unternehmen veröffentlch solche Informationen einfach nicht, obwohl sie unter FISA 702 fallen):

AT&T

Amazon (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (ehemals Oath & Yahoo)

Verizon

  • Wer haftet für die Kosten der Umsetzung der Konsequenzen aus C-311/18?

Wenn Sie zuvor für Ihre Übermittlungen die Standarddatenschutzklauseln verwendet haben, hat sich das Gesetz nicht geändert. Jeder Nicht-EU/EWR-Anbieter hatte die Pflicht, Sie über Gesetze wie FISA 702 und EO 12.333 zu informieren. Wenn diese das nicht getan haben, haften sie für alle Kosten, die sich aus der Aufhebung der Standarddatenschutzklauseln und der Rückübertragung von Daten in die EU/EWR gemäß Klausel II des Anhangs des Beschlusses 2004/915/EG oder Klausel 5(b) des Anhangs des Beschlusses 2010/87 ergeben.

Die Entscheidung zum Privacy Shield war eine falsche Exekutiventscheidung der Europäischen Kommission. Theoretisch können nach Artikel 340 AEUV Schadenersatzansprüche gegen die EU geltend gemacht werden.

  • Kann ich mich einfach auf Artikel 49 DSGVO für alle US-Übermittlungen verlassen?

Der EDSA hat die Position eingenommen, dass Artikel 49 nur für „gelegentliche und nicht wiederholte Überstellungen“ verwendet werden darf. Damit wird Artikel 49 auf einzelne Situationen beschränkt, in denen die Nutzer ausdrücklich ihre Zustimmung gegeben haben oder wenn die Übermittlung unbedingt erforderlich ist, um einen Vertrag abzuschließen (z.B. eine Hotelbuchung im Ausland).

Im Gegensatz zu manchen Aussagen, die man findet, ist eine Auslagerung von Verarbeitungsvorgängen nicht unbedingt für die Erfüllung eines Vertrags „erforderlich“, wenn man theoretisch auch einen EU/EWR-Anbieter nutzen oder Daten intern verarbeiten könnte. Verantwortliche sollten auch bedenken, dass die betroffenen Personen ihre Einwilligung jederzeit zurückziehen können.

Während Artikel 49 es erlaubt, eine „Grund“-Kommunikationen mit jedem Land der Welt (von der Schweiz bis Nordkorea) zu unterhalten, handelt es sich nur um eine Ausnahmeregelung für unbedingt notwendige Übermittlungen.

Link: Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679

  • Wie kann ich beurteilen, ob das Recht des Drittlandes mit den EU-Grundrechten vereinbar ist?

Nach dem Schrems-I-Urteil hat die Artikel-29-Datenschutzgruppe (jetzt EDPB) schon im Jahr 2016 klare Vorgaben gemacht, wann und wie ein datenschutzrechtlicher Eingriff in die Grundrechte in einer demokratischen Gesellschaft (Artikel 7 und 8 der Charta) gerechtfertigt sein kann – und wann nicht. Es wurden vier wesentliche europäische Garantien festgelegt, die das Drittland vorweisen muss:

A. Die Verarbeitung sollte auf klare, präzise und zugängliche Regeln basieren.

B. Notwendigkeit und Verhältnismäßigkeit im Hinblick auf die verfolgten legitimen Ziele müssen nachgewiesen werden.

C. Es sollte ein unabhängiger Überwachungsmechanismus bestehen.

D. Dem Einzelnen müssen wirksame Rechtsmittel zur Verfügung stehen.

Der EuGH hat sich auf mindestens zwei dieser Punkte gestützt, um Privacy Shield ungültig zu erklären. Daher empfiehlt sich ein Blick in dieses Arbeitsdokument.

Link: Arbeitspapier 237 der Artikel-29-Arbeitsgruppe