Als Nachfolger des „Safe-Harbour“-Abkommens wurde 2015 der „Privacy Shield“ zwischen der Europäischen Union (EU) und den USA ins Leben gerufen – eine Vereinbarung zur Selbstverpflichtung amerikanischer Unternehmen, sich an europäische Datenschutzstandards zu halten.
Es gilt hier, den Ansatz aus Übersee „Es ist alles erlaubt, was nicht verboten ist“ mit dem EU-DSGVO-Grundsatz „Verbot mit Erlaubnisvorbehalt“ in Einklang zu bringen – also einen Mindeststandard an Datenschutz zu garantieren und die notwendige rechtliche Grundlage der Verarbeitung für europäische Unternehmen zu schaffen. Aktuell finden sich 5.386 Unternehmen auf der Teilnehmerliste, darunter Größen wie Amazon, Facebook und Google.
Nun hat der Europäische Gerichtshof (EuGH) am 16. Juli 2020 die Datenverarbeitung nach dem EU-US-„Privacy Shield“ für ungültig erklärt, da – auch aufgrund des „Cloud Acts“ – in den USA ein Datenschutzniveau wie von der DSGVO gefordert nicht eingehalten werden kann. Mit dem „Cloud Act“ wird amerikanischen Behörden das Recht eingeräumt, geheimdienstlichen Zugriff auf personenbezogene Daten von Nicht-US-Bürgern zu erhalten, die von amerikanischen Unternehmen – auch im Ausland – verarbeitet werden.
Datenschützer feiern das Datum nun als Erfolg für die digitalen Grundrechte in Europa im Kampf gegen die zunehmende Abhörpraxis amerikanischer Behörden. Allen voran der österreichische Jurist und Aktivist, Max Schrems, der in einer Privatfehde gegen Facebook Initiator des Verfahrens ist und auch schon das Vorgängerabkommen zu Fall gebracht hat. „Da die EU ihre Grundrechte nicht ändern wird, um die NSA zufriedenzustellen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen.“, so Schrems‘ erklärtes Ziel.
Was aber Datenschützer jubeln lässt, stellt Unternehmer sogleich vor ein Problem: den unmittelbaren Wegfall einer rechtlichen Grundlage der Datenverarbeitung nach DSGVO. Für die weitere zukünftige Verarbeitung, also Übertragung, wäre nun eine andere rechtliche Grundlage notwendig. Infrage kämen hier beispielsweise die sogenannten Standardvertragsklauseln nach Artikel 46 DSGVO.
„Problem bei Stützung der rechtlichen Grundlage auf die sogenannten Standardvertragsklauseln ist, dass nun kein einheitliches genehmigtes Verfahren mehr vorhanden ist, sondern jeder Unternehmer die Verantwortung selbst übernimmt, ob das beschriebene Verfahren auch geeignete Garantien und durchsetzbare Rechte enthält“, sagt Rechtsanwalt Stephan Michaelis. „Zudem sind viele solcher alternativen Verträge noch gar nicht vorhanden.“
Auch der Datenschützer, Harald Müller-Delius, sieht hier die Versicherungsmakler und -vermittler allein gelassen. „In vielen Makler- und Vermittlerbetrieben sind weder Verständnis, Zeit, noch Know-How vorhanden, um die neue rechtliche Grundlage der Verarbeitung anhand von Standard-Vertragsklauseln zu prüfen oder Alternativen einzusetzen, wie die Stützung der Verarbeitung auf freiwillige Einverständniserklärung aller betroffenen Kunden.“
Hier bleibt nun eine rechtliche Lücke offen, die theoretisch seit Urteilsverkündung eine Verhängung von Bußgeldern nach sich ziehen könnte. „Vielen Unternehmen ist teilweise auch gar nicht bewusst, dass sie Datenübertragung an US-Unternehmen durchführen. Gerne werden Online-Portale, Software-Produkte oder Plug-ins auf der eigenen Homepage eingesetzt, die personenbezogene Daten auf Servern von US-Unternehmen verarbeiten“, erklärt Müller-Delius.
Doch der juristische Erfolg, den SPD-Europapolitiker, Tiemo Wölken, als „riesigen Sieg für die digitalen Grundrechte in der EU“ ansieht, und der nach Aussage von Grünenpolitiker, Jan Philipp, für Druck auf die US-Gesetzgeber und -Behörden sorgt, könnte laut Wirtschaftsverbänden wie dem Digitalverband Eco „fatale Folgen für die Internetwirtschaft und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks“ haben oder eine „massive Rechtsunsicherheit“ bedeuten, wie es der Digitalverband Bitkom ausdrückt.
„Wir freuen uns natürlich, wenn die Rechtsprechung ihre Siege feiert. Allerdings muss für die Betroffenen auch immer zukünftig geklärt sein, wie sie sich nun zu verhalten haben und darf nicht zu Unsicherheit oder unnötigen bürokratischen oder betriebswirtschaftlichen Aufwänden führen“, fordert Rechtsanwalt Michaelis.
Aus der täglichen Praxis in den Vermittlerbetrieben kann Müller-Delius berichten: „Viele Maklerbetriebe wollen den Datenschutz bestmöglich umsetzen. Doch wenn Dinge, die vorher problemlos funktioniert haben, nicht mehr verwendet werden dürfen oder mit schlechteren Alternativen umgesetzt werden müssen, bleibt das Verständnis auf der Strecke.“
Zwar betont der EuGH, dass „… durch die Aufhebung kein Rechtsvakuum entstehe, da unbedingt notwendige Datenübermittlungen weiterhin stattfinden können“, allerdings mag nun vielfach klärungsbedürftig werden, was eine „unbedingte Datenübermittlung“ denn ist.
Bis zur Klärung der praktischen Anwendung und Empfehlungen durch die zuständigen Landesdatenschutzbehörden haben die beiden Experten aber schon Tipps für die Vermittlerschaft parat:
Stephan Michaelis ist Fachanwalt für Versicherungsrecht sowie für Handels- und Gesellschaftsrecht, und Inhaber der Hamburger Kanzlei Michaelis.
Harald Müller-Delius ist Datenschutzbeauftragter (IHK) und Berater für Neue Medien und externer Datenschutzbeauftragter der Kanzlei Michaelis.