Schluss mit Schild: Datenübertragung in die USA auf wackeligem rechtlichen Fundament
Was das EuGH-Urteil für Versicherungsmakler und -vermittler bedeutet, fassen Rechtsanwalt Stephan Michaelis, LL.M. und Datenschutzexperte Harald Müller-Delius, Dipl.-Ing. (FH), MBA, zusammen.
Hintergrund: Als Nachfolger des „Safe-Harbour“-Abkommens wurde 2015 der „Privacy Shield“ zwischen EU und USA ins Leben gerufen – eine Vereinbarung zur Selbstverpflichtung amerikanischer Unternehmen, sich an europäische Datenschutzstandards zu halten.
Es gilt hier, den Ansatz aus Übersee „Alles erlaubt, was nicht verboten ist“ mit dem EU-DSGVO-Grundsatz „Verbot mit Erlaubnisvorbehalt“ in Einklang zu bringen, also einen Mindeststandard an Datenschutz zu garantieren und die notwendige rechtliche Grundlage der Verarbeitung für europäische Unternehmen zu schaffen.
Aktuell finden sich 5.386 Unternehmen auf der Teilnehmerliste, darunter Größen wie Amazon, Facebook und Google.
Nun wurde am 16. Juli 2020 vom Europäischen Gerichtshof (EuGH) die Datenverarbeitung nach dem „EU-U.S. Privacy Shield“ für ungültig erklärt, da – auch auf Grund des „Cloud Acts“ – in den USA ein Datenschutzniveau wie von der DSGVO gefordert nicht eingehalten werden kann. Mit dem „Cloud Act“ wird amerikanischen Behörden das Recht eingeräumt, geheimdienstlichen Zugriff auf personenbezogene Daten von Nicht-US-Bürgern zu erhalten, die von amerikanischen Unternehmen – auch im Ausland – verarbeitet werden.
Datenschützer feiern das Datum nun als Erfolg für die digitalen Grundrechte in Europa im Kampf gegen die zunehmende Abhörpraxis amerikanischer Behörden. Allen voran der österreichische Jurist und Aktivist Max Schrems, der in einer Privatfehde gegen Facebook Initiator des Verfahrens ist und auch schon das Vorgängerabkommen zu Fall gebracht hat. „Da die EU ihre Grundrechte nicht ändern wird, um die NSA zufriedenzustellen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen.“, so Schrem‘s erklärtes Ziel.
Was aber Datenschützer jubeln lässt, stellt Unternehmer sogleich vor ein Problem: den unmittelbaren Wegfall einer rechtlichen Grundlage der Datenverarbeitung nach DSGVO. Für die weitere zukünftige Verarbeitung, das heißt Übertragung, wäre nun eine andere rechtliche Grundlage notwendig. In Frage kämen hier beispielsweise die sogenannte „Standardvertragsklauseln“ nach Artikel 46 DSGVO.
„Problem bei Stützung der rechtlichen Grundlage auf die sogenannten „Standardvertragsklauseln“ ist, dass nun kein einheitliches genehmigtes Verfahren mehr vorhanden ist, sondern jeder Unternehmer die Verantwortung selbst übernimmt, ob das beschriebene Verfahren auch geeignete Garantien und durchsetzbare Rechte enthält“, so der Jurist Michaelis. „Zudem sind viele solcher alternativen Verträge noch gar nicht vorhanden.“
Doch der juristische Erfolg, den SPD-Europapolitiker Tiemo Wölken als „riesigen Sieg für die digitalen Grundrechte in der EU“ ansieht und der nach Aussage von Grünenpolitiker Jan Philipp für Druck auf die US-Gesetzgeber und -Behörden sorgt, sehen Wirtschaftsverbände wie der Digitalverband eco „fatale Folgen für die Internetwirtschaft und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks“ oder sehen wie beim Verband Bitkom „massive Rechtsunsicherheit“.
„Wir freuen uns natürlich, wenn die Rechtsprechung ihre Siege feiert. Allerdings muss für die Betroffenen auch immer zukünftig geklärt sein, wie sie sich nun zu verhalten haben und darf nicht zu Unsicherheit oder unnötigen bürokratischen oder betriebswirtschaftlichen Aufwänden führen.“, ergänzt Rechtsanwalt Michaelis die Situation. Auch aus der täglichen Praxis in den Vermittlerbetrieben kann Müller-Delius berichten: „Viele Maklerbetriebe wollen den Datenschutz bestmöglich umsetzen. Doch wenn Dinge, die vorher problemlos funktioniert haben, nicht mehr verwendet werden dürfen oder mit schlechteren Alternativen umgesetzt werden müssen, bleibt das Verständnis auf der Strecke.“ Zwar betont der EuGH, dass „… durch die Aufhebung kein Rechtsvakuum entstehe, da unbedingt notwendige Datenübermittlungen weiterhin stattfinden können“, allerdings mag nun vielfach klärungsbedürftig werden, was eine unbedingte Datenübermittlung sei.
Bis zur Klärung der praktischen Anwendung und Empfehlungen durch die zuständigen Landesdatenschutzbehörden haben die beiden Experten aber schon Tipps für die Vermittlerschaft parat:
- Erstellen einer Übersicht aller eingesetzten Dienste und Produkte von US-Unternehmen, an die personenbezogene Daten übermittelt werden. Hier hilft gegebenenfalls auch ein Blick auf https://www.privacyshield.gov/list
- Prüfen, ob die rechtliche Grundlage der Verarbeitung auf der „Privacy-Shield“-Vereinbarung beruht
- Prüfen einer alternativen Rechtsgrundlage wie individuelle Datenschutzvereinbarungen, erweitern der Datenschutzvereinbarung mit dem Kunden, genehmigte Standard-Vertragsklauseln
- Prüfen auf Notwendigkeit des eingesetzten Produktes beziehungsweise Dienstleistung oder Suchen nach adäquatem Ersatz
- Verfolgen von Nachrichten und Meldungen zum Thema
Und etwas Sorge nehmen kann der Inhaber der Kanzlei Michaelis auch:
„Unser Dauerberatungsmandanten werden selbstverständlich vollumfänglich von unseren Anwälten über den Prozess der Evaluierung und Umstellung, die das EuGH-Urteil für den Maklerbetrieb mit sich bringt, rechtlich begleitet.“
Bilder: (1) © Maksim Kabakou – stock.adobe.com (2) © Kanzlei Michaelis Rechtsanwälte (3) © HM[D]ATA Ing.-Büro für Daten- und Medientechnik
