Das Ende des Privacy Shields

Am 16.Juli 2020 war es soweit: Das geltende „Privacy Shield“ wurde offiziell für tot erklärt. Die Tragweite dieser Entscheidung ist vielen Unternehmen nicht bewusst. Dabei handelt es sich hierbei um kein unwichtiges Thema – ein Thema, das alle Unternehmen betrifft, die in irgendeiner Art und Weise transatlantische Geschäfte tätigen.

In wenigen Worten: Das zwischen den USA und EU geltende Abkommen über Datenschutzbestimmungen wurde beendet und ist ab sofort nicht mehr gültig.

Welche Konsequenzen diese Änderung für deutsche Unternehmen wirklich bedeutet, darüber sind sich noch die wenigsten im Klaren. Doch eines steht nun fest: Die Datenschutzbestimmungen haben eine weitere scharfe Wende genommen.

Die Schrems-II-Entscheidung vom 16. Juli 2020 hat den EU-US-Datenschutzschild außer Kraft gesetzt, den Rahmen für den Datentransfer, auf den sich über 5.000 europäische und US-amerikanische Unternehmen verlassen, um kommerzielle Transaktionen im Wert von über 5,87 Billionen Euro durchzuführen. Diese Entscheidung trat ohne Übergangsfrist mit sofortiger Wirkung in Kraft - und deutete auch an, dass alternative Datenübertragungsmechanismen wie Standardvertragsklauseln (SCCs) und verbindliche Unternehmensregeln (BCRs) einer genaueren Prüfung unterzogen werden sollten, was viele Unternehmen verunsicherte, wie sie fortan Geschäfte mit transatlantischen Datentransfers abwickeln sollten. 

Über die Einführung des Privacy Shields

Im April 2016 trat die Allgemeine Datenschutzverordnung (GDPR - General Data Protection Regulation) in Kraft, die Beschränkungen für die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union vorsieht. Im Vorfeld der im Mai 2018 ablaufenden Frist für die Einhaltung der GDPR unternahmen Unternehmen in der EU, den Vereinigten Staaten und anderswo beispiellose Anstrengungen, um ihre Lieferanten-, Kunden- und andere Drittparteienverträge zu überprüfen und anzupassen, um den Anforderungen der GDPR zu entsprechen.

Einer der gebräuchlichsten Mechanismen zur Bewältigung von Datentransfers im Rahmen des GDPR war der Rückgriff auf den so genannten EU-US-Data Privacy Shield, der als Reaktion auf die 2015 erfolgte Ablehnung des damals angewandten „Safe Harbor-Framework“ entstand. Das „Privacy Shield“ wurde von der Europäischen Kommission im Juli 2016 als angemessen erachtet, um EU-US-Datentransfers nach EU-Recht zu ermöglichen.

Privacy Shield ist eine Form der Selbstzertifizierung, eine freiwillige Reihe von Standards, die von globalen Organisationen umgesetzt werden, um Daten aus der EU zu transferieren, wobei zugesichert wird, dass relevante Aktivitäten, die im Rahmen des Privacy Shield-Frameworks durchgeführt werden, im Einklang mit GDPR stehen.

Die Auswirkungen der Entscheidung

Mit dem Urteil des Gerichtshofs der Europäischen Union vom 16. Juli 2020 im so genannten Fall Schrems II wurde der EU-US-Datenschutzschild für ungültig erklärt. (Der Klarheit halber wurde das 2017 eingeführte Framework Schweiz-USA Privacy Shield von der Entscheidung nicht berührt). Die Entscheidung hing von der Feststellung des Gerichts ab, dass der Rahmen zwischen der EU und den USA die vom GDPR vorgeschriebenen Schutzmaßnahmen nicht gewährleistete, da er keine ausreichenden Garantien bot, um zu verhindern, dass EU-Daten an US-Strafverfolgungs- oder Regierungsbehörden weitergegeben werden. Wie bereits erwähnt, gibt es keine Übergangsfrist, und die Entscheidung tritt sofort in Kraft, was die Unternehmen natürlich dazu veranlassen wird, alternative Datenübertragungsmechanismen wie SCCs und BCRs zu implementieren und sich auf diese zu verlassen.

Während die Schrems-II-Entscheidung darauf hinweist, dass die von der Europäischen Kommission für die Übermittlung personenbezogener Daten in Länder außerhalb der EU erlassenen SCCs ihre Gültigkeit behalten, wird darin auch die Notwendigkeit formuliert, dass Unternehmen, die sich auf SCCs verlassen, prüfen müssen, ob sie angesichts der Umstände der Datenübermittlung und der Gesetze der Einfuhrländer ein "angemessenes Schutzniveau" für die personenbezogenen Daten aufrechterhalten können. Auf der Grundlage der vorstehenden Bewertung müssen Unternehmen möglicherweise "ergänzende Maßnahmen" für solche Übertragungen auferlegen, jedoch ohne klare Vorgaben, wie solche Maßnahmen vernünftigerweise aussehen sollten. 

Der Weg für ein Abkommen

Auch wenn es noch viele juristische Streitigkeiten gibt, erfordert Schrems II für viele Unternehmen eine Neubewertung und Überarbeitung der Vertragsbedingungen im Zusammenhang mit dem Datentransfer über eine große Anzahl von Verträgen. Beachten Sie, dass es sich dabei in vielen Fällen um dieselben zehn Millionen Verträge handelt, die erst 2018 für Datenschutzzwecke geändert wurden.

Wenn Unternehmen ihre Verträge überprüfen, können sie über den bloßen ausdrücklichen Verweis auf bestimmte Datentransfermechanismen im Klartext der Vereinbarungen hinausblicken. Vielmehr können sie die Verträge analysieren, um die Bandbreite der in den Bedingungen angesprochenen Datenschutz- und Sicherheitsverpflichtungen zu ermitteln. Diese Art einer umfassenden Analyse der Verträge ermöglicht es den Unternehmen, ihre Rechte und Pflichten vollständig zu beurteilen und die entsprechenden Risiken für die Einhaltung des Datenschutzes besser zu verstehen. Sie kann ihnen auch dabei helfen, zu entscheiden, ob sie ihre BCR- oder SCC-basierte Datenübertragungsstrategie durch zusätzliche Maßnahmen ergänzen sollten, zu denen Datenverschlüsselung oder andere Sicherheitsverpflichtungen, Benachrichtigung bei Verstößen und Kündigungsrechte gehören können.

Ab wann gilt die Entscheidung? Wen betrifft es? 

Die Entscheidung des EuGH ist ab sofort zu beachten. Daher sind sämtliche allein auf Privacy Shield gestützten Datenübermittlungen in die USA einzustellen. Bereits transferierte Daten sind – soweit möglich – unverzüglich „zurückzuholen“ oder möglichst zeitnah zu löschen. Eine Übergangs- oder Schonfrist besteht grundsätzlich nicht.

Status von ausgewählten Produkten / Diensten 

Die nachfolgende Übersicht zeigt beispielhaft Dienste von verbreiteten Anbietern und die jeweils eingesetzten rechtlichen Lösungen zum Drittstaatentransfer.

Es freut uns besonders, dass DocuSign zu den glorreichen 3 Anbietern gehört, die den neuen Bestimmungen und Anforderungen gerecht werden:

 * Ohne Gewähr / teilweise nur für einige Produkte / Dienste.

EuGH, Urteil vom 16. Juli 2020, Rs. Data Protection Commissioner / Maximillian Schrems und Facebook Ireland (C-311/18). Die Pressemitteilung ist hier verfügbar. Der Beitrag enthält Annahmen und Interpretationen. Für seine Inhalt wird keine Gewähr übernommen und er stellt keine rechtliche Beratung dar. 

EU-Standardvertragsklauseln: Wirksamkeit bestätigt, aber verschärfte Anforderung an Anwendung

Als pragmatische, kurzfristig umsetzbare Alternative kommt ein Rückgriff auf EU-Standardvertragsklauseln in Betracht. Als vertragliche Vereinbarung zwischen europäischem Datenexporteure und Empfänger im Drittland können Standardvertragsklauseln grundsätzlich schnell und unbürokratisch abgeschlossen werden. Ihr Einsatz bedarf  – anders als die Genehmigung von sogenannten Binding Corporate Rules oder Einzelgenehmigungen – nicht der Mitwirkung staatlicher Stellen. Zugleich sind sie in ihrer Reichweite nicht so beschränkt wie die Ausnahmen nach Art. 49 DSGVO (Einwilligung etc.).

Positiv ist daher, dass der EuGH die Wirksamkeit der EU-Standardvertragsklauseln grundsätzlich bestätigt hat. Diese seien grundsätzlich geeignet, ein mit der DSGVO gleichwertiges Schutzniveau sicherzustellen.

Allerdings betont der EuGH in der Entscheidung, dass nur der Abschluss von EU-Standardvertragsklauseln noch nicht ausreiche, um eine wirksame Rechtsgrundlage für den Datentransfer zu schaffen. Vielmehr müsse unter Berücksichtigung der Rechtsordnung des Drittlandes sichergestellt sein, dass in der Praxis tatsächlich ein gleichwertiges Schutzniveau eingehalten werde. Sei das nicht möglich, müsse die Übermittlung der Daten unterbleiben und von Datenschutzbehörden untersagt werden.

Was bedeutet das in der Praxis? 

• Nur die Unterschrift unter EU-Standardvertragsklauseln zu setzen genügt jedenfalls jetzt nicht (mehr).
• Datenexporteure und Empfänger im Drittland müssen vor und laufend während der Datenübermittlung prüfen, ob der Empfänger die EU-Standardvertragsklauseln nach der Rechtsordnung des Drittlandes überhaupt einhalten kann und tatsächlich einhält.
• Ist das nicht der Fall, muss die Datenübermittlung unterbleiben bzw. ausgesetzt werden.

Wie kann die DocuSign Agreement Cloud helfen?

Die DocuSign-Agreement-Cloud liefert einen Wert für die drei kritischen Elemente jeder Überprüfung und Überarbeitung von Datenschutzklauseln in Verträgen.

1. DocuSign Insight bietet eine leistungsstarke KI (künstliche Intelligenz) zur effizienten Analyse aller Verträge innerhalb eines Unternehmens, um zu bestimmen, ob und wie der Datenschutz behandelt wird - einschließlich des Vertrauens auf Privacy Shield oder einen alternativen Datenschutzrahmen.

2. DocuSign CLM ermöglicht es Unternehmen, schnell und einfach Änderungen und Ersatzbedingungen für Verträge zu erstellen, die ihren aktualisierten Ansatz zum Datenschutz in der Welt nach Privacy Shield widerspiegeln.

3. DocuSign eSignature, die weltweit vertrauenswürdigste Marke für elektronische Signaturen, bietet eine nahtlose Erfahrung für alle Parteien jeder Geschäftsvereinbarung, um eine überprüfbaren und durchsetzbaren Vertrag zu überarbeiteten Bedingungen, die Datenschutzstrategien widerspiegeln, zu gewährleisten.

Die digitale Welt entwickelt sich in einem beispiellosen Tempo weiter - und die DocuSign Agreement Cloud ist hier, um zu helfen. 

Nehmen Sie am 14. Oktober an unserem englisch-sprachigen Webinar zum Thema The End Of Privacy Shield - What's Next For Agreements? teil und erhalten Sie tiefe Einblicke in die Thematik.  Jetzt anmelden.