Handreichung zur aktuelle Datenschutzsituation nach dem EuGH Urteil C-311/18 „Schrems II“

Auszüge aus den FAQ der Website noyb.eu mit Anmerkungen des Verfassers. Zur Information: Die Organisation NOYB ist ein NGO zu dem auch der Anwalt Max Schrems gehört, der dieses Urteil vor dem EuGH erstritten hat

(https://noyb.eu/de/naechste-schritte-fuer-nutzer-faqs)

Warum war der EuGH der Ansicht, dass es Probleme mit EU-US-Datenübermittlungen gab?

Das europäische Recht gewährt jedermann ein Recht auf Privatsphäre, Datenschutz und Rechtsschutz vor Gericht. Der EuGH hat diese Rechte in Bezug auf Datenübermittlungen in die USA in seinem Urteil über das "Privacy Shield" und die SCCs bestätigt. Das Gericht befand, dass wegen der Massenüberwachung und dem fehlenden Rechtsschutz in den USA es für EU-Unternehmen oft (aber nicht immer) illegal ist, Ihre Daten weiter in die USA zu senden.

Welche Datentransfers sind noch legal?

Gemäß Artikel 49 DSGVO sind einige "notwendige" Transfers unter allen Umständen legal (z.B. wenn du ein Hotel in den USA buchst und die Buchung an das US-Hotel geschickt wird). Es ist nach wie vor legal, Daten zu übertragen, wenn sie über die US-Gesetze informiert wurden und sie ausdrücklich und freiwillig zugestimmt haben. SIE müssten hier aber in der Lage sein, diese Einwilligung jederzeit ohne negative Folgen zu widerrufen.

Sie können auch jederzeit Ihre eigenen Daten in die USA senden (wenn Sie direkt einen US-Anbieter nutzen möchten, der nur in den USA ansässig ist).

Welche Datentransfers sind illegal?

Transfers an US-Unternehmen, die unter ein US-Gesetz zur "Massenüberwachung" wie FISA 702 (auch 50 USC §1881a genannt) fallen, sind in der Regel illegal. Die betroffenen Unternehmen sind sogenannte "Electronic Communication Service Provider". Dies ist ein weit gefasster Begriff im US-Recht und umfasst die meisten IT- und Cloud-Anbieter.

Beispiele für diese Anbieter sind A&T, Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft, Verizon-Medien (bekannt als Oath & Yahoo) oder Verizon. Diese Anbieter haben Seiten verlinkt, aus denen ersichtlich ist wie oft die US-Behörden auf die Daten dieser Anbieter zugreift. Das bedeutet, dass typische "Outsourcing"-Situationen (also wenn ein EU-Unternehmen Ihre Daten an ein US-Unternehmen weiterleitet, das wiederum Ihre Daten verarbeitet) in den meisten Fällen illegal sind.

Bedenke dabei, dass EU-Kunden häufig einen Vertrag mit einer EU-Tochtergesellschaft dieser US-Unternehmen haben (z.B. haben Facebook-Nutzer einen Vertrag mit Facebook Irland). Wenn diese EU-Tochtergesellschaften die Verarbeitung Ihrer Daten ganz oder teilweise an die US-Muttergesellschaft auslagern, ist die Übertragung ebenfalls illegal.

Was ist "Privacy Shield" und was sind "Standardvertragsklauseln" oder "SCCs"?

Unter der DSGVO dürfen personenbezogene Daten die EU generell nicht verlassen. Als Ausnahme von dieser Regel können Unternehmen bestimmte rechtliche Instrumente nutzen, um die Übermittlung zulässig zu machen. Zwei der gebräuchlichsten Instrumente, auf die Unternehmen zurückgreifen, um Ihre Daten aus der EU in die USA zu übermitteln, sind "Standardvertragsklauseln" (oder "SCCs") und das "Privacy Shield".

Das Privacy Shield wurde vom Gerichtshof für ungültig erklärt, so dass es nicht mehr existiert. Seit dem 16. Juli 2020 können Daten im Rahmen des Privacy Shield nicht mehr in die USA übermittelt werden

Fast dasselbe Verbot gilt für die Verwendung von SCC: Alle Unternehmen, die unter ein US-Gesetz zur "Massenüberwachung" fallen, können die SCC nicht mehr verwenden. Dies liegt daran, dass die SCCs das US-Recht nicht außer Kraft setzen können und dieses die SCCs daher überlagert.

..."

Fazit des Verfassers:

Derzeit stellt sich die Situation so dar, dass bei konsequenter Anwendung der DSGVO die meisten Softwareprodukte amerikanischer Hersteller (z.B. Windows ab 8.1, Windows Server ab 2016, Microsoft 365/Office 365, iCloud, Azure, Amazon AWS, Google Docs, WebEx, GoToMeeting, Teams, Skype usw.) nach dem Urteil illegal sind.

Der Nutzer hat keine Sicherheit und Verfügungsgewalt über seine Daten, meist nicht einmal einen vollständigen Überblick, welche Daten sein System bzw. die EU wann wohin verlassen. Dies ist nach DSGVO verboten.

Bisher sind keine Schritte der großen Anbieter bekannt, die dieser Situation Abhilfe schaffen könnten, da eine Einschränkung der unerlaubten Datensammlung die jeweiligen Geschäftsmodelle erheblich stören könnte. Und in den USA gilt: Business as usual.

Mögliche Folgen für die Nutzer solcher Systeme anhand von Beispielen:

Wer eine Videokonferenz über Teams, Skype, Zoom, WebEX, GoToMeeting usw. organisiert, handelt aller Wahrscheinlichkeit nach strafbar. Am besten auf sichere Lösungen ausweichen wie Jitsi, Nextcloud Talk, BigBlueButton usw.

Wer sensible Daten auf einem Windows Computer ab Version 8.1 bzw. einem Windows Server ab Version 2016 speichert und verarbeitet und diese nicht vollständig so abgeschottet hat, dass er nachweislich keine verschlüsselten oder unverschlüsselten Daten in Drittländer überträgt, kann mit erheblichen Strafen belegt werden. Hier empfehlen wir den Umstieg auf alternative Betriebsysteme und Server wie Ubuntu, Debian oder als Server Univention Core Server. Als Alternative für Office empfehlen wir Freeoffice oder Libre Office.

Der EuGH hat ausdrücklich betont, dass es keine Schonfrist gibt und die DSGVO stellt fest:

„Die Bußgelder müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein“

Diese belaufen sich je nach Leistungsfähigkeit des Beklagten für

· jeden erheblichen Verstoß (Art. 83 Abs. 5 DSGVO) auf bis zu 20 Millionen Euro oder bei Unternehmen auf bis zu 4% des jährlichen weltweiten Gesamtumsatzes.

· jeden weniger erheblichen Verstoß (Art. 83 Abs. 4 DSGVO) auf bis zu 10 Millionen Euro oder bei Unternehmen auf bis zu 2% des jährlichen weltweiten Gesamtumsatzes.