EUGH Urteil vom 16. Juli 2020
Was bedeutet das jüngste Urteil zum Datentransfer C-311/18 des EU Gerichtshof vom 16. Juli 2020?
Mit diesem Urteil erklärt der europäische Gerichtshof den Beschluss 2016/1250 der EU-Kommission zum Privacy Schild für ungültig.
Dazu gibt es bereits jede Menge Schriften im Internet und gerne können Sie sich auch bei diesen Quellen weiterführend belesen. Ich versuche im Nachfolgenden die Gründe und auch die Folgen vereinfacht darzustellen, da die Urteile selbst in einem Juristen-Deutsch verfasst wurden und für Laien oft wenig bis gar nicht verständlich erscheinen.
Im Großen und Ganzen geht es darum, dass laut FISA 702 die NSA dazu berechtigt ist, jeglichen Datenaustausch von und zu den USA zu überwachen. Die Umgehung dieser Regelung ist oftmals schwierig aber durchaus möglich. Viele amerikanische Anbieter schützen sich und Ihre Kunden aber nicht ausdrücklich vor dieser Überwachung oder stimmen dieser sogar ausdrücklich zu.
Dazu gehören zum jetzigen Zeitpunkt (Diese Liste* wird unter Vorbehalt geführt und kann sich jederzeit ändern.) :
- AT&T
- Amazon (AWS)
- Apple
- Cloudflare
- Dropbox
- Google (und damit auch alle Analytics-Programme von google)
- Microsoft
- Verizon Media (ehemals Kath & Yahoo)
- Verizon
*Quelle: noyb.de Stand: 04.09.2020
Das Gericht sieht dieses Vorgehen als nicht rechtens an, da für nicht US-Bürger keine Möglichkeit besteht, gegen dieses Vorgehen rechtliche Schritte einzuleiten.
Daher sieht es das Gericht als notwendig an, dass Firmen und Anbieter in der EU Ihre Kunden davor schützen müssen!
Was müssen Sie jetzt konkret tun?
Dies kann auf unterschiedliche Art und Weise geschehen. Die effektivste aber auch schmerzlichste Form, ist die Einstellung jeglicher Beziehungen und/oder Nutzung amerikanischer Anbieter. Dies ist allerdings oftmals gar nicht umsetzbar.
Eine weitere Möglichkeit wäre die Abfrage des jeweiligen Anbieters bzw. Partners. Noyb hat dafür Musterfragebögen entwickelt, die Sie noch editieren können. Damit können Sie sich insofern absichern, als das Sie nachweisen können (im Falle eines Rechtsstreits), dass Sie die notwendigen Schritte unternommen haben. Versichert Ihnen Ihr Anbieter/Partner, dass er über den nötigen Schutz vor der Spionage verfügt, dann können Sie Ihre Beziehungen wie gewohnt fortfahren. Sollte sich im Nachgang herausstellen, dass dies nicht der Fall war, so trägt allein der Anbieter/Partner aus den USA die volle Verantwortung und Sie könnten ihn sogar noch wegen Betrugs bzw. arglistiger Täuschung verklagen.
Ebenfalls möglich ist ein Hinweis für Ihre Nutzer/Kunden. Dieser muss genau wie der Cookie Pop-up direkt beim betreten Ihrer Internetseite erscheinen. Dabei müssen Ihre Nutzer darauf hingewiesen werden, dass ihre Daten in die USA übermittelt werden undSie müssen außerdem auf die damit verbundenen Risiken (mögliche Spionage) hinweisen! Der Nutzer/Kunde muss dem ausdrücklich und aktiv zustimmen. Eine Voreinstellung ist hierbei nicht rechtens.
Was kann im schlimmsten Fall auf Sie zukommen, wenn Sie nichts unternehmen?
Dazu hat der EuGH beschlossen (Randnummer 134 des Urteils), dass beim Nicht-Handeln der Verantwortlichen die Datenschutzbehörden des jeweiligen Landes einzugreifen haben und die Datenübermittlung aussetzen oder verbieten sollen, außer es liegt ein gültiges Rechtsinstrument vor. Im Klartext bedeutet dies auch, dass es quasi keine Schonfrist gibt.
Die DSGVO sieht dafür folgende Strafen vor ( Artikel 83 Absatz 5 Buchstabe c DSGVO): die Höchststrafe beläuft sich auf 20 Mio. Euro bzw. 4% des weltweiten Umsatzes des jeweiligen Unternehmens.
Es ist allerdings davon auszugehen, dass die Datenschutzbehörde von solch hohen Strafen absieht, wenn Sie nachweisen können, dass Ihre Firma die nötigen Schritte zur Umsetzung in die Wege geleitet hat.
Fazit
Die Sicherheit für personenbezogene Daten soll erhöht werden bzw. muss sichergestellt werden, dass unsere hohen Sicherheitsmaßnahmen und -regelungen auch in Drittländern gewahrt werden. Dies gilt vor allem für Länder außerhalb der EU (für diese gelten sowieso EU Standardrichtlinien).
Dabei genügen eben nicht die bisherigen Standardvertragsklauseln, sondern das Drittland und somit auch der Anbieter aus Deutschland müssen nachweisen, dass diesen hohen Sicherheitsstandards auch in den Drittländern folge geleistet werden kann. Ist dies nicht möglich, da in den jeweiligen Drittländern andere Sicherheits- und Datenverarbeitungsgesetze gelten, dann muss eine personenbezogene Datenweitergabe von EU-Bürgern in das Drittland untersagt bzw. eingestellt werden.