Abmahnanwälte scharren nach EuGH-Urteil mit den Hufen
Einsatz von US-amerikanischen Anbietern
von Maximilian Mondel - 31.07.2020
Ist nun der Einsatz von allen US-amerikanischen Anbietern illegal?
Michael Kornfeld: Nein. Datenverarbeitungen für ausschließlich private Zwecke sind beispielsweise von der DSGVO ausgenommen. Private Urlaubsfotos kann man also ohne rechtliche Bedenken in eine amerikanische Cloud hochladen. Auch wenn gar keine personenbezogenen Daten gespeichert werden, ist die Datenübermittlung unbedenklich. Die Speicherung von Landschafts-Bildern oder einer Kostenaufstellung bei einem amerikanischen Anbieter ist also ebenfalls unproblematisch. Darüber hinaus gibt es weitere Möglichkeiten, um auch personenbezogene Daten übermitteln zu dürfen. Eine davon ist die Zustimmung durch den Betroffenen: Wenn der Betroffene also in die Übermittlung eingewilligt hat, ist sie auch legal möglich.
Ist eine Zustimmung durch die Betroffenen also ausreichend?
Michael Kornfeld: Grundsätzlich ja. Es müssen allerdings alle Betroffenen eine freiwillige, spezifische, informierte und eindeutige Einwilligung abgegeben haben. Sie müssen also nachweislich über die möglichen Risiken aufgeklärt worden sein.
Michael Kornfeld: Nein. Datenverarbeitungen für ausschließlich private Zwecke sind beispielsweise von der DSGVO ausgenommen. Private Urlaubsfotos kann man also ohne rechtliche Bedenken in eine amerikanische Cloud hochladen. Auch wenn gar keine personenbezogenen Daten gespeichert werden, ist die Datenübermittlung unbedenklich. Die Speicherung von Landschafts-Bildern oder einer Kostenaufstellung bei einem amerikanischen Anbieter ist also ebenfalls unproblematisch. Darüber hinaus gibt es weitere Möglichkeiten, um auch personenbezogene Daten übermitteln zu dürfen. Eine davon ist die Zustimmung durch den Betroffenen: Wenn der Betroffene also in die Übermittlung eingewilligt hat, ist sie auch legal möglich.
Ist eine Zustimmung durch die Betroffenen also ausreichend?
Michael Kornfeld: Grundsätzlich ja. Es müssen allerdings alle Betroffenen eine freiwillige, spezifische, informierte und eindeutige Einwilligung abgegeben haben. Sie müssen also nachweislich über die möglichen Risiken aufgeklärt worden sein.
Diese Einwilligung wird in der Praxis vermutlich nicht ganz einfach einzuholen sein. Außerdem gibt es einen großen Haken: Sie kann durch den Betroffenen jederzeit - ohne Angabe von Gründen - widerrufen werden. Nach einem Widerruf wäre die Übermittlung der Daten also nicht mehr zulässig.
Können Verbraucher weiterhin Dienstleistungen in den USA in Anspruch nehmen?
Michael Kornfeld: Ja. Denn jede Person darf wissentlich ihre eigenen personenbezogenen Daten direkt in ein Drittland senden, zum Beispiel bei der Nutzung einer amerikanischen Website. Es ist jedoch nicht möglich, Daten anderer Personen direkt mit einem US-Anbieter zu teilen, es sei denn, es wurde hierfür deren ausdrückliche Einwilligung eingeholt.
Und was ist mit den Standard Contractual Clauses (SCC)?
Michael Kornfeld: Es gibt die Möglichkeit, die Datenübermittlung durch die Verwendung von sogenannter Standard-Vertrags-Klauseln (SCC) zu legitimieren. Das sind im Grunde vertragliche Vereinbarungen auf Basis von akkordierten Vorlagen zwischen einem europäischen Unternehmen und einem amerikanischen Anbieter, in denen sich dieser europäischen Datenschutz-Standards unterwirft. Doch auch die SCC dürften für europäische Unternehmen keine ausreichende Grundlage bieten. Denn europäische Unternehmen dürfen die SCCs nicht einfach unterzeichnen, sondern müssen prüfen, ob diese in der Praxis von dem Anbieter überhaupt eingehalten werden können. Diese Prüfung wird wohl in der Praxis kaum durchführbar sein und die laufende Einhaltung der SCC zu kontrollieren wäre de facto unmöglich.
Betrifft das EuGH-Urteil nur den Datentransfer in die USA?
Michael Kornfeld: Ja und Nein. Das EuGH-Urteil bezog sich auf das Privacy Shield-Abkommen und dieses regelte ausschließlich den Datentransfer zwischen der EU und den USA. Doch die grundlegenden Überlegungen dazu gelten für alle Drittländer außerhalb der EU - wie zum Beispiel Russland oder China, deren Datenschutz-Niveau ebenfalls von jenem in der EU abweicht. Die Konsequenz des Urteils ist also: Unternehmen werden das tatsächliche Schutzniveau, das in Nicht-EU-Ländern herrscht, viel genauer als bisher überprüfen müssen. Denn jedes EU-Unternehmen muss prüfen, ob es in dem Drittland Gesetze gibt, die die europäischen Datenschutzbestimmungen außer Kraft setzen können. Falls ja, ist eine Übermittlung nicht ohne weiteres möglich.
Können Verbraucher weiterhin Dienstleistungen in den USA in Anspruch nehmen?
Michael Kornfeld: Ja. Denn jede Person darf wissentlich ihre eigenen personenbezogenen Daten direkt in ein Drittland senden, zum Beispiel bei der Nutzung einer amerikanischen Website. Es ist jedoch nicht möglich, Daten anderer Personen direkt mit einem US-Anbieter zu teilen, es sei denn, es wurde hierfür deren ausdrückliche Einwilligung eingeholt.
Und was ist mit den Standard Contractual Clauses (SCC)?
Michael Kornfeld: Es gibt die Möglichkeit, die Datenübermittlung durch die Verwendung von sogenannter Standard-Vertrags-Klauseln (SCC) zu legitimieren. Das sind im Grunde vertragliche Vereinbarungen auf Basis von akkordierten Vorlagen zwischen einem europäischen Unternehmen und einem amerikanischen Anbieter, in denen sich dieser europäischen Datenschutz-Standards unterwirft. Doch auch die SCC dürften für europäische Unternehmen keine ausreichende Grundlage bieten. Denn europäische Unternehmen dürfen die SCCs nicht einfach unterzeichnen, sondern müssen prüfen, ob diese in der Praxis von dem Anbieter überhaupt eingehalten werden können. Diese Prüfung wird wohl in der Praxis kaum durchführbar sein und die laufende Einhaltung der SCC zu kontrollieren wäre de facto unmöglich.
Betrifft das EuGH-Urteil nur den Datentransfer in die USA?
Michael Kornfeld: Ja und Nein. Das EuGH-Urteil bezog sich auf das Privacy Shield-Abkommen und dieses regelte ausschließlich den Datentransfer zwischen der EU und den USA. Doch die grundlegenden Überlegungen dazu gelten für alle Drittländer außerhalb der EU - wie zum Beispiel Russland oder China, deren Datenschutz-Niveau ebenfalls von jenem in der EU abweicht. Die Konsequenz des Urteils ist also: Unternehmen werden das tatsächliche Schutzniveau, das in Nicht-EU-Ländern herrscht, viel genauer als bisher überprüfen müssen. Denn jedes EU-Unternehmen muss prüfen, ob es in dem Drittland Gesetze gibt, die die europäischen Datenschutzbestimmungen außer Kraft setzen können. Falls ja, ist eine Übermittlung nicht ohne weiteres möglich.
