Überspringen zu Hauptinhalt
Privacy Shield US-Anbieter In Der Cloud

Privacy Shield und CRM in der US-Cloud

Wie sollten EU-Unternehmen auf das EuGH-Urteil zum Privacy Shield reagieren?

Der Europäische Gerichtshof (EuGH) hat das zwischen der Europäischen Union (EU) und den USA zum Datenschutz vereinbarte Privacy-Shield-Abkommen für ungültig erklärt:

EuGH, Urteil vom 16.07.2020, Rechtssache C-311-/18 Facebook Ireland und Schrems, vgl. ab Rn. 150.

Das Privacy-Shield stellte bislang das erforderliche Datenschutzniveau für eine Übertragung personenbezogener Daten aus der EU auf Servern in den USA sicher. Es war das Nachfolgeab kommen des früheren Safe-Harbor-Abkommens, welches der EuGH bereits 2015 für ungültig erklärt hatte. Das EuGH-Urteil führt dazu, dass die Nutzung von Software as a Service (SaaS), wie das bei US-Cloud-Anbietern wie etwa HubSpot der Fall ist – ohne Übergangs- oder Schon- fristen – ab sofort auf der Grundlage des Privacy Shields nicht mehr möglich ist. Die Frage ist, ob es rechtliche Alternativen gibt.

Hintergrundwissen: Das sind die Rechtsgrundlagen für Datentransfers in Drittländer

Wird die Marketing-Software eines US-Anbieters wie HubSpot eingesetzt, werden personenbezogene Daten wie Namen, Adressen oder E-Mail-Adressen in ein sog. Drittland transferiert. Drittländer sind alle Länder außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR), also alle EU-Staaten und Island, Norwegen und Liechtenstein. Das ist nach Art. 44 Datenschutzgrundverordnung (DSGVO) nur zulässig, wenn garantiert werden kann, dass in diesem Drittland ein angemessenes Datenschutzniveau existiert.

Das angemessene Schutzniveau kann auf diese Arten hergestellt werden:

1. Angemessenheitsbeschluss, Art. 45 DSGVO

Eine solche Garantie kann nach Art. 45 DSGVO mit einem Angemessenheitsbeschluss der EU-Kommission entstehen. Es gibt aktuell solche Angemessenheitsbeschlüsse in Bezug auf Andorra, Argentinien, Kanada (commercialorganisations), Faroe Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neu Seeland, Schweiz, Uruguay. Zu Südkorea läuft das Verfahren. Auch mit Großbritannien wird aktuell ein Abkommen erarbeitet:

https://ec.europa.eu/info/sites/default/files/draft_decision_on_the_adequate_protection_ of_personal_ data_by_the_united_kingdom_-_general_data_protection_regulation_19_feb_2020.pdf

2. Binding Corporate Rules, Art. 47 DSGVO

Bei den Binding Corporate Rrules (BCR) handelt es sich um interne Datenschutzvorschriften eines Unternehmens, die es sich in einem sehr aufwändigen Verfahren selbst gibt, um das erforderliche Datenschutzniveau zu gewährleisten. Sie werden als verbindliche Richtlinien quasi in einem Zertifizierungsverfahren mit der Aufsichtsbehörde zusammen aufgestellt und von dieser genehmigt. Das Verfahren ist mit einem hohen wirtschaftlichen und bürokratischen Aufwand verbunden und steht daher in der Regel nicht kurzfristig als Lösung zur Verfügung.

3. Standard Contractual Clauses, Art. 46 DSGVO

Bei den Standard Contractual Clauses (SCC) handelt es sich um von der Europäischen Kommission verabschiedete Vertragswerke. Unterzeichnet der Datenimporteur einen solchen Standardvertrag, verpflichtet er sich damit auf die Einhaltung europäischer Datenschutzstandards.

2010/87/: Beschluss der Kommission vom 5. Februar 2010 über Standardvertrags- klauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates

Die aktuellen SCC stammen von 2010, also aus der Zeit vor Inkrafttreten der DSGVO. Die Europäische Kommission hat daher am 12.11.2020 den Entwurf von neuen SCC veröffentlicht. Der Entwurf befindet sich in der Konsultationsphase und wird noch diskutiert, so dass es dauern kann, bis hier eine endgültige Version in Kraft tritt.

https://ec.europa.eu/germany/news/20201113-datentransfers_de

4. Einwilligung oder überwiegendes Interesse nach Art 49 DSGVO

Grundsätzlich besteht nach Art. 49 Abs. 1 Satz 1 lit a DSGVO auch die Möglichkeit, Datentransfer in Drittländer mit Einwilligung des Betroffenen vorzunehmen, wenn kein Angemessenheitsbeschluss oder sonstige geeignete Garantien gegeben sind. Allerdings gilt diese Ausnahme nur für einzelne Datenübertragungen und kommt daher als Alternative für dauerhafte Datentransfers nicht in Betracht. Gleiches gilt für die Ausnahme nach Art. 49 Abs. 2 DSGVO für das überwiegende berechtigte Interesse als Rechtsgrundlage, das gleichfalls nur für die einzelne Datenübermittlung vorgesehen ist.

Das Privacy Shield-Problem

Das Privacy Shield war ein bis zu dem genannten EuGH-Urteil gültiger Angemessenheitsbeschluss nach Art. 45 DSGVO. Das wesentliche Argument des EuGH gegen das Privacy Shield war die Tatsache, dass US-Gesetze wie FISA umfassende Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten auf Servern regeln, die von US-Firmen betrieben werden. Hinzu kommt, dass der Cloud Act diese Zugriffsmöglichkeiten auch auf Server ausweitet, die außerhalb der USA betrieben werden.

Das Urteil des EuGH zum Privacy-Shield kam nicht wirklich überraschend, denn das Gericht hatte bereits das Vorgängerabkommen “Safe Habor” mit derselben Begründung für ungültig erklärt.

Folge: Wird eine Datenübermittlung in die USA auf das Privacy Shield gestützt, ist dies ohne Übergangsfrist seit dem Urteil unzulässig mit allen Haftungsfolgen, die die DSGVO für solche Fälle vorsieht.

Entsprechend hat etwa das Bayerische Landesamt für Datenschutz die Nutzung der E-Mail- Marketing-Software “Mailchimp” in der aktuellen Form für unzulässig erklärt:

„Nach unserer Bewertung war der Einsatz von Mailchimp […] – und somit auch die Übermittlung Ihrer E-Mail-Adresse an Mailchimp […] – datenschutz- rechtlich unzulässig […] weil […; das Unternehmen] nicht geprüft hatte, ob für die Übermittlung an Mailchimp zusätzlich zu den (zum Einsatz gekommenen) EU-Standarddatenschutzklauseln noch ‚zusätzliche Maßnahmen‘ im Sinne der EuGH-Entscheidung ‚Schrems II‘ […] notwendig sind, um die Übermittlung datenschutzkonform zu gestalten, und vorliegend zumindest Anhaltspunkte dafür bestehen, dass Mailchimp grundsätzlich Datenzugriffen von US-Nachrichten- diensten […] unterfallen kann und somit die Übermittlung nur unter Ergreifung solcher zusätzlicher Maßnahmen (sofern geeignet) zulässig sein konnte […].“

https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV

Alternativen zum Privacy Shield

Werden Datentransfer in die USA bzw. auf von US-Unternehmen betriebenen Server vorgenommen, wird aktuell die Nutzung von SCC nach Art. 46 DSGVO als Alternative zum weggefallenen Privacy Shield diskutiert.

Tatsächlich weist z. BB. HubSpot selbst darauf hin, sich nicht nur auf das Privacy Shield verlassen zu haben, sondern von vornherein SCC zum Inhalt der Nutzungsverträge mit ihren Kunden gemacht zu haben.

https://www.hubspot.de/data-privacy/privacy-shield

Dieses Vorgehen dürfte nach unserer Einschätzung gleichwohl den Anforderungen des EuGH nicht genügen. Das Gericht wies in seiner Urteilsbegründung bereits darauf hin, dass auch bei der Nutzung von SCC das Problem des Zugriffs der US-Behörden auf die Daten weiterhin bestehe, wenn nicht zusätzliche Maßnahmen ergriffen würden. Das könnte etwa eine technische Maßnahme wie das Verschlüsseln der Daten sein, so dass ein US-Zugriff von vornherein ausgeschlossen werde (vgl. dazu das o. g. EuGH Urteil ab Rn. 90 ff).

Dementsprechend sieht der oben angesprochene Entwurf der neuen SCC der Europäischen Kommission bereits diese Maßnahmen vor:

  • Die Verpflichtung des EU-Unternehmens, die Drittlandsübermittlung zu prüfen (dabei sind konkrete Umstände der Übermittlung, das Recht des Drittstaates und etwaige zusätzlicher Garantien zu berücksichtigen);
  • Benachrichtigungspflichten des Datenimporteurs, z.B. bei einer rechtlich bindenden Anfrage einer Behörde zur Herausgabe der Daten und
  • Abwehrpflichten des Datenimporteurs.

Aktuelle Empfehlungen des Europäischen Datenschutzausschuss (EDSA)

Es gibt aktuelle Empfehlungen des EDSA vom 10.11.2020 zum schrittweisen Vorgehen bei Datentransfer in Drittländer außerhalb der EU und des EWR, wenn SCC genutzt werden sollen:

https://edpb.europa.eu/sites/default/files/consultation/edpb_recommenda- tions_202001_supplementarymeasurestransferstools_de.pdf

Schritt 1:

Erfassung aller Übermittlungen personenbezogener Daten in Drittländer und Dokumentation (im Verarbeitungsverzeichnis) des Unternehmens. Diese Anforderungen müssen EU-Unternehmen ohnehin nach Art. 30 DSGVO nachkommen.

Schritt 2:

Zu allen Datentransfer in Drittländer muss jeweils das zugehörige Übermittlungsinstrument überprüft werden: Gibt es entsprechende Angemessenheitsbeschlüsse oder Standardvertragsklauseln?

In Bezug auf CRM wie HubSpot bedeutet dies: Aufnahme des Tools in das Verarbeitungsverzeichnis einschließlich der Dokumentation des Vertrages mit den Standardvertragsklauseln.

Schritt 3:

Beurteilung der Rechtslage im Drittland: Gibt es Rechtsvorschriften, die das erforderliche Datenschutzniveau beeinträchtigen können?

Jedes Unternehmen muss zu allen Datentransfer in Drittländer rechtlich überprüfen, wie die Datenschutzrechtslage dort jeweils ist. In Bezug auf die USA steht angesichts des EuGH-Urteils hier bereits fest, dass das erforderliche Datenschutzniveau aufgrund der Zugriffsmöglichkeiten von US-Behörden auf die Daten nicht gegeben ist. Ein US-Unternehmen kann sich gegenüber EU-UNternehmen vertraglich nicht verpflichten, US- Bundesgesetze nicht einzuhalten.

Schritt 4:

Wenn unter 3 Beeinträchtigungen ermittelt wurden, sind zusätzliche Maßnahmen auszuwählen und anzuwenden, um das erforderliche Schutzniveau zu gewährleisten. Hier kommt insbesondere die technische Maßnahme der Verschlüsselung in Betracht. Das EU-Unternehmen muss also technisch dafür sorgen, dass erst gar keine unverschlüsselten Daten auf US-Server transferiert werden. Die Verschlüsselung muss so gestaltet sein, dass ausschließlich das EU-Unternehmen als Verantwortlicher auf die Daten zugreifen und diese entschlüsseln kann.

Die datenschutzrechtliche Zulässigkeit der Nutzung von US-CRM-System ist daher insbesondere davon abhängig, dass EU-Unternehmen selbständig diese Anforderungen technisch umsetzen und den Zugriff des US-Anbieters sicher ausschließen können.

Schritt 5:

Soll ein US-CRM genutzt werden, sind zuvor alle förmlichen Verfahrensschritte einzuleiten, die ggf. für die angesprochenen, zusätzlichen Maßnahmen erforderlich sind. Beispiele:

  • Prüfung der vertraglichen Vereinbarungen einschließlich der SCC: Werden die SCC der EU unverändert in den Vertrag übernommen, ist keine Genehmigung der Aufsichtsbehörde erforderlich. Werden die SCC verändert, muss vor Vertragsschluss die Genehmigung eingeholt werden;
  • Klärung und Umsetzung der technischen Anforderungen, damit der Zugriff des US-Anbieters auf die Daten sicher ausgeschlossen wird. Die Maßnahmen sind mit in den Vertrag aufzunehmen.

Schritt 6:

Während des laufenden Betriebs sind alle Schritte regelmäßig in angemessenen Abständen neu zu prüfen und zu bewerten.

In diesem Zusammenhang ist berücksichtigen, dass mit Inkrafttreten der neuen SCC der EU oder deren Änderung jeweils eine Vertragsanpassung mit dem Vertragspartner vorzunehmen ist.

Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit hat zum EuGH-Urteil eine eigene Grafik mit einem Prüfschema zur strukturierten Überprüfung beim Datentransfer in Drittländer veröffentlicht und weist darauf hin, dass das Ergebnis dieser Prüfung nachvollziehbar und überprüfbar dokumentiert werden muss, wie es Verantwortlichen etwa aus der Datenschutz- folgenabschätzung bekannt ist.

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/ Pr%C3%BCfschema-Schrems-II.pdf;jsessionid=CDB4F4DDF7EB2B6EE6631011

E5A03D8D.1_cid344? blob=publicationFile&v=1

Haftungsrisiken

EU-Unternehmen sind Verantwortliche nach Art. 5 Abs. 2 DSGVO und direkt für die Einhaltung der Datenschutzgrundsätze verantwortlich. Sie müssen die Einhaltung jederzeit nachweisen können („Rechenschaftspflicht“). Hier liegt ein großes Haftungspotential begründet, nicht nur für das Unternehmen an sich, sondern insbesondere auch für die Geschäftsführung als Entscheider (vgl. Art. 82 ff. DSGVO).

Zu bedenken ist in diesem Zusammenhang: Die Einführung einer Cloud-Software eines US-Anbieters auf der rechtlichen Grundlage von SCC erfordert Extra-Ressourcen, um die jederzeitige Rechtmäßigkeit zu gewährleisten, auch technische Maßnahmen ständig zu überprüfen und ggf. anzupassen.

Empfehlung

Fest steht, dass ein „weiter so“ beim Einsatz von CRM-Systemen in US-Clouds direkt in die Haftungsfalle führt. EU-Unternehmen sind verpflichtet, jetzt aktiv zu werden. Entweder müssen die Daten direkt zu alternativen Anbietern innerhalb der EU wechseln oder SCC als vertragsgrundlage gemacht werden, wobei es dann weitere Anforderungen zu erfüllen gilt.

Trotz Wegfalls des Privacy Shields ist die Zusammenarbeit mit US-Anbietern wie HubSpot zwar theoretisch rechtlich zulässig, allerdings nur unter der Voraussetzung, dass das EU-Unternehmen selbst einen erheblichen, zusätzlichen Aufwand betreibt, um technisch den Zugriff auf die Daten auf den US-Servern sicher zu unterbinden. EU-Unternehmen sind hier selbst in der Pflicht und dürfen sich nicht auf ihrn Vertragspartner in den USA verlassen. Zu prüfen ist in jedem Falle vor allem, dass das US-UNternehmen die eigenständige, erforderliche Verschlüsselung der Daten durch das EU-Unternehmen überhaupt ermöglicht.

Werden SCC genutzt, müssen diese außerdem überprüft und bei Abänderungen von der Aufsichtsbehörde genehmigt werden. Mit Geltung der neuen SCC, deren Entwurf bereits vorliegt, sind die Verträge erneut anzupassen.

Ohne die Einhaltung dieser Verpflichtungen bestehen erhebliche Haftungsrisiken für EU-Unternehmen und deren Entscheider. Erste Behördenentscheidungen, etwa zur Unzulässigkeit von Mailchimp, und die Ankündigung der Behörden, dass nun mit einer speziellen Taskforce die Nutzung von US-Clouddiensten durch deutsche Unternehmen ins Visier genommen werden soll, sollten das Thema im Unternehmen auf die Tagesordnung rufen.

Aus rechtlicher Sicht empfiehlt es sich daher alternativ, das Marketing von vornherein ausschließlich auf Software zu stützen, die von zertifizierten EU-Unternehmen auf Servern mit Standort innerhalb der EU betrieben wird. In dem Falle entfielen zusätzliche, technische Sicherungsmaßnahmen und Aufwände. Die gesamte rechtliche Problematik des Datentransfers in Drittländer könnte so zukunftssicher umgangen werden.

 

 

Bildnachweis für diesen Beitrag: © fotogestoeber – stock. adobe. com

 

 

An den Anfang scrollen