Der Europäische Gerichtshof hat das Datenschutzabkommen “Privacy Shield” für ungültig erklärt. Mit dem Urteil ist die Nutzung von US-Tools wie Mailchimp, Hubspot, Active Campaign und Co. ab sofort mit noch größeren Risiken behaftet.
Datenschutzrechtlich ist die Nutzung der US-Tools bereits seit der DSGVO problematisch – mit dem Aus des Privacy Shield wird es jetzt noch komplizierter.
Rechtsanwalt Dr. Thomas Schwenke erläutert, was die Entscheidung für die Praxis bedeutet und welche Optionen betroffene Unternehmen jetzt haben:
Für die Praxis bedeutet die Entscheidung erneut ein Rechtsvakuum, in dem Unternehmen politisch alleine gelassen werden:
1.) Bei US-Anbietern auf EU-Server ausweichen – Viele Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden (auch hier bestehen Rechtsunsicherheiten, aber angesichts derzeitiger Lage ist diese Lösung eine hinreichend sichere Option).
2.) Keine US-Dienstleister einsetzen: Keine Dienstleister einsetzen, die Daten in den USA verarbeiten (d. h. bei US-Unternehmen nach US-Servern fragen). Zumindest sollten Sie Evaluationsprozesse anstoßen, um im Fall der Fälle zumindest nachweisen zu können, dass Sie sich um Alternativen bemüht haben (mache Anbieter, wie z. B. der Versanddienstleister Mailchimp, boten auch bisher zusätzlich zum Privacy Shield Standardschutzklauseln an).
3.) Keine Dienstleister mit US-Subunternehmern einsetzen: Keine Dienstleister einsetzen, deren Subunternehmer die Daten in den USA verarbeiten.
4.) Verträge und Datenschutzhinweise anpassen: Verträge und Datenschutzerklärungen anpassen und Hinweise auf das Privacy-Shield entfernen.
Dr. Thomas Schwenke
Alternativ können Sie, wenn auch mit einem Risiko, erst einmal abwarten, wie die EU-Kommission und die Datenschutzbehörden reagieren werden.
Dr. Schwenke führt weiter aus, dass der Abschluss von Standardvertragsklauseln keineswegs sicher ist:
Im Ergebnis ist die Lösung über Standardvertragsklauseln weder perfekt noch sicher. Dennoch ist es rechtlich sicherer, wenn die Standardvertragsklauseln abgeschlossen wurden und aufgehoben werden können, als wenn gar keine Standardvertragsklauseln vorliegen (frei nach dem Motto, “in der Not frisst der Teufel Fliegen”).
Dr. Thomas Schwenke
Mehr dazu im Blog von Dr. Thomas Schwenke: EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen
Sicherlich werden die Rechts- und PR-Abteilungen der US-Technologieanbieter zeitnah Lösungen für das Problem kommunizieren. Ob damit die Nutzung der Tools tatsächlich datenschutzkonform ermöglicht wird, darf allerdings bezweifelt werden. Kern des Konflikts sind die US-Überwachungsprogramme, deren Reform mit Blick auf das politische Klima in den USA derzeit äußerst unwahrscheinlich ist.
Update (20.07.2020): In einer Stellungnahme erklärt Mailchimp, dass die Plattform des Marketing-Technologieanbieters (wenig überraschend) weiterhin “in Übereinstimmung mit dem EU-Recht” genutzt werden könne:
First, we want to reassure our customers that they can continue using Mailchimp lawfully and don’t need to take any action. We have long provided our customers with two layers of protection for data transfers from the EU to the US in our Data Processing Addendum: compliance with the EU-US Privacy Shield Framework and Standard Contractual Clauses (SCCs).
While the ruling from the CJEU invalidated the Privacy Shield Framework, it doesn’t affect the SCCs, which remain a valid data export mechanism. Our agreements are structured in a way that the SCCs automatically take effect, so nothing will change for our customers.
Entgegen der Darstellung von Mailchimp schaffen die Standardvertragsklauseln (Standard Contractual Clauses) allerdings laut der Einschätzung von Dr. Thomas Schwenke keine wirkliche Sicherheit (“Im Ergebnis ist die Lösung über Standardvertragsklauseln weder perfekt noch sicher.”). Zu einer ähnlichen Einschätzung kommt Nikolaus Bertermann, Fachanwalt für IT-Recht in einem Gastbeitrag auf Markt und Mittelstand:
Unternehmen, die sich ausschließlich auf das EU-US-Privacy-Shield-Abkommen verlassen haben, haben nun ein Problem. Sie müssen mit ihrem Vertragspartner auf eine andere Rechtsgrundlage für den Drittlandstransfer, zum Beispiel auf die EU-Standardvertragsklauseln, umstellen oder die Datenverarbeitung anpassen. Das bedeutet beispielsweise, den Anbieter zu wechseln oder die Daten zu verschlüsseln oder zu anonymisieren.
Viele US-Unternehmen bieten auch den Abschluss von EU-Standardvertragsklauseln an. Diese hat der EuGH nicht für ungültig erklärt. Er sagt aber, dass beim Einsatz von EU-Standardvertragsklauseln nun zusätzlich geprüft werden muss, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Wenn das nicht der Fall ist, dürfen – und müssen – die zuständigen Aufsichtsbehörden entsprechende Datenübermittlungen aussetzen oder verbieten. Die Aufsichtsbehörden können Datentransfers deshalb trotz abgeschlossener EU-Standardvertragsklauseln ab sofort für unzulässig erklären und untersagen. Für die meisten Datenaustausche mit den USA werden EU-Standardvertragsklausel daher nicht mehr ausreichend sein.
Nikolaus Bertermann
Letztendlich gilt bei dem Einsatz der US-Tools also: Entweder die Risiken von möglichen Bußgeldern in Kauf nehmen oder, wie Dr. Schwenke oben ausführt, eine Alternative zum bislang genutzten Tool evaluieren (siehe hierzu auch: 3 Mailchimp-Alternativen aus Deutschland und E‑Mail-Marketing Software auswählen: 7 wichtige Fragen für die Evaluierung).