Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im Datenschutzrecht. Ab sofort ist im Zweifelsfall anzunehmen, dass die Übertragung personenbezogener Daten in die USA sowie in viele andere außereuropäische Länder rechtswidrig ist. Die potenziell enormen gesamtwirtschaftlichen Folgen des Urteils sind den Wenigsten bewusst. Erfahren Sie, was das Urteil für die Anwaltschaft bedeutet.
Datenschutz: Eine digitale Mauer im Atlantik?
„Das tritt nach meiner Kenntnis … ist das sofort, unverzüglich“: Diese legendären Worte Günter Schabowskis zur neuen Reiseregelung leiteten am 9. November 1989 den Fall der Berliner Mauer ein. So unverzüglich entfaltet auch das EuGH-Urteil im Fall Schrems II seine Wirkung: Plötzlich ist das Privacy Shield, die wichtigste Grundlage für die Übermittlung personenbezogener Daten aus der EU in die USA, obsolet. Können wir also annehmen, dass der Datenschutz in Zukunft eine digitale Mauer für die transatlantische Kommunikation sein wird?
Grundsätzlich verlangt die europäische Datenschutz-Grundverordnung (DS-GVO), dass personenbezogene Daten auch in Drittländern außerhalb von EU und EWR (Europäischer Wirtschaftsraum) einen angemessenen Schutz genießen. Verschiedene länderspezifische Instrumente sollen diesen Schutz garantieren. Im Falle der USA stützte sich die Datenübermittlung auf eine informelle Übereinkunft namens „Privacy Shield“.
Der österreichische Jurist und Aktivist Max Schrems ging nun schon zum zweiten Mal gegen ein derartiges Abkommen vor. Nachdem der EuGH auf seine Klage hin 2015 das Vorgängerabkommen „Safe Harbor“ für ungültig erklärte, erhielt Schrems auch dieses Mal durch die obersten europäischen Richter am 16. Juli 2020 Recht: Das Datenschutzniveau in den USA kann demnach nicht ohne Weiteres als angemessen betrachtet werden.
USA gewährleisten keinen gleichwertigen Datenschutz
Als eigentlicher Hintergrund des Schrems-II-Urteils sind klar die Geheimdienstaktivitäten in den USA zu benennen, wie sie in ihrem ganzen Ausmaß durch den Whistleblower Edward Snowden aufgedeckt wurden. Gesetze, wie der „Foreign Intelligence Surveillance Act“ (FISA) oder die präsidentielle „Executive Order 12333“ schaffen die Grundlage dafür, dass die meisten ausländischen Daten, die über das Internet in die USA gelangen, dort auch durch Geheimdienste verarbeitet werden können.
Das EuGH-Urteil bedeutet in letzter Konsequenz nicht nur das Aus für den „Privacy Shield“. Es geht um ein grundsätzlicheres Problem: Mit Schrems II steht streng betrachtet jede Datenübertragung in die USA und viele andere Drittländer auf wackligen Beinen, auch wenn kurzfristig alternative Instrumente wie Standartvertragsklauseln (SCC) oder Binding Corporate Rules (BCR) verwendet werden können.
Kommt die Euro-Cloud?
Mit etwas Weitblick lässt sich erkennen, dass Schrems II gravierende Folgen für die globale Wirtschaft haben könnte. Das Urteil bezieht sich zunächst nur auf die USA, doch selbstverständlich sollten wir uns auch über das Datenschutzniveau in Ländern wie China und Russland keine Illusionen machen. Auch Datenübertragungen nach Australien, Kanada oder ins kürzlich aus der EU ausgeschiedene Vereinigte Königreich werden nun in Frage gestellt.
Rechtspolitisch zu Ende gedacht bedeutet das Urteil also: Im Idealfall sollten personenbezogene Daten die EU und den EWR gar nicht mehr verlassen. Nun könnten Großkonzerne wie Microsoft und Facebook sich darauf einlassen, ebendies in juristisch wasserdichten Verträgen zu versichern. Ob die Konzerne dazu bereit und in der Lage sind, bleibt abzuwarten. Bis dahin brauchen wir dringend europäische Alternativen. Teils sind diese vorhanden (siehe Kasten unten), teils erfordert die Euro-Cloud aber noch eine immense Entwicklungsarbeit: Das Schrems-II-Urteil könnte sich dabei als Initialzündung erweisen.
Anwältinnen und Anwälte als Datenschutzvorreiter
Anwältinnen und Anwälte können selbstverständlich nicht Datenschutz predigen und Datenkraken nutzen. Soll heißen: Spätestens seit Inkrafttreten dieses Urteil müssen datenschutzkonforme Tools Einzug in Kanzleien halten.
Ungeachtet der DS-GVO ist Datenschutz für Anwältinnen und Anwälte enorm wichtig, weil sie – allein schon aus berufsrechtlichen Gründen – zur Verschwiegenheit verpflichtet sind. Wenn Anwältinnen und Anwälte gegen das Schrems-II-Urteil verstoßen, ist das für den Berufsstand insgesamt nicht gut. Zudem drohen Bußgelder in Höhe von vier Prozent des weltweiten Jahresumsatzes – bei einer Großkanzlei kann hier schnell ein Millionenbetrag zustande kommen.
Lassen Sie sich von einem Datenschutzbeauftragtem beraten!
Im Idealfall sollten Sie und Ihre Kanzlei also keine Tools mehr aus den USA nutzen. Was aber ist mit Kanzleien, die eine Niederlassung in den USA haben? Die oben angedeuteten Instrumente der BCR oder SCC bieten sich jetzt als Grundlage für Datenübermittlungen an. Allerdings gilt: Auch diese sind kein „Freifahrtschein“. Erkundigen Sie sich ganz genau darüber, welche Daten wie und wann in den USA durch die Geheimdienste verarbeitet werden. Lassen Sie sich zusätzlich auch von einem kompetenten Datenschutzbeauftragten beraten, denn technische und organisatorische Maßnahmen werden dabei eine größere Rolle spielen.
Grundsätzlich gilt: Auch jede noch so trivial erscheinende E-Mail in die USA ist eine Datenübermittlung, die einen Rechtfertigungsgrund aus den Art. 44 ff. DS-GVO benötigt. Ausnahmefälle definiert Art. 49 DS-GVO, doch Vorsicht: Alle diese Ausnahmen sind, wie die Datenschutzbehörden jüngst wieder klargestellt haben, sehr eng auszulegen.
Fazit und Ausblick: Schnelles Handeln statt Panik
Um den Alarmismus etwas zu entkräften: Für die meisten Unternehmen, die mit den USA zu tun haben und Facebook oder Microsoft nutzen, wird es nicht von heute auf morgen Bußgelder hageln. Sich darauf auszuruhen, ist dennoch unangebracht. Wie wir gesehen haben, gibt es schon europäische Alternativen zu vielen Softwarelösungen aus den USA. Hier sind Anwaltskanzleien in der Pflicht, Vorreiter bei der Umsetzung des Datenschutzes zu sein. Wo es noch keine gleichwertigen Alternativen gibt, etwa im Marketing, müssen diese entwickelt werden. Und es besteht durchaus Anlass zur Hoffnung: Im besten Fall wird Europa gestärkt aus dem Schrems-II-Urteil hervorgehen!
Tippkasten: Alternativen zu Software und Diensten aus den USA
Disclaimer:
Bei der Auswahl der Tools sollten neben den Business-Kriterien immer auch (datenschutz-)rechtliche Kriterien berücksichtigt werden. Dies ergibt sich aus Art. 24 und 25 DS-GVO. Bei den datenschutzrechtlichen Kriterien spielen die Datenströme und Auslandsbezüge eine wesentliche Rolle. Die nachfolgende Liste enthält lediglich Hinweise auf mögliche Alternativen, die aber nicht final als Empfehlung, sondern lediglich als Anregung dienen. Eine abschließende Prüfung ist nur unter Heranziehung des konkreten AVV (Auftragsverarbeitungsvertrages) und der TOM (technischen und organisatorischen Maßnahmen) sowie der konkreten Gegebenheiten/Einstellungen möglich.
Überlegen und prüfen Sie, ob nicht Alternativen zu US-Anbietern in Betracht kommen. Es gibt vermehrt gute (und datenschutzfreundliche) Alternativen in allen datenintensiven Online-Bereichen.
Videokonferenzen:
- Jitsi (on premise)
- sichere-videokonferenz.de (SAAS)
- tixeo.com (SAAS)
Newsletter Marketing:
- CleverReach
- Newsletter2go
- Klick-Tipp
- Rapidmail
Einkauf Bürobedarf:
- memo.de
- office-discount.de
- Otto Office
- Viking
- Schäfer Shop
Online-Umfragen:
- onlineumfragen.com
- QuestionPro
Instant Messaging: (Wichtig: Im anwaltlichen Bereich ist bei WhatsApp allerhöchste Vorsicht zu beachten und keinesfalls empfehlenswert!)
- Rocket.Chat
- Threema
- Wire
Foto: Adobe.Stock/©Florian Bauer
Bevor Dr. Niels Beisinghoff Legal Counsel bei DataGuard wurde, arbeitete er jeweils fünf Jahre als Unternehmensberater und als Startup-Unternehmer. Obwohl der Volljurist erst bei DataGuard tiefer in den Datenschutz eintauchte, liefern seine Studienjahre erste Hinweise auf seinen späteren Berufsweg: „Datenschutz ist für mich ein Menschenrecht, das nun endlich mithilfe der DSGVO durchsetzbar wurde. Ich habe meine Doktorarbeit über die Durchsetzung von Menschenrechten gegenüber Firmen geschrieben.“ Autorenprofil auf dataguard.de
