E-Commerce nach dem EuGH Urteil zum Privacy Shield

E-Commerce nach dem EuGH Urteil zum Privacy Shield

Der Europäische Gerichtshof (EuGH) hat entschieden, dass der EU-US Privacy Shield nicht mit der DSGVO vereinbar ist. Damit ist die Übermittlung personenbezogener Daten an Auftragsverarbeiter in den USA von europäischer Seite höchstrichterlich für unzulässig erklärt worden. Shopbetreiber mit Sitz in der Europäischen Union müssen nun sehr genau prüfen, ob sie in der Zusammenarbeit mit Dienstleistern unter dem vermeintlichen Schutz des Privacy Shield gegen europäisches Datenschutzrecht verstoßen und was sie dagegen unternehmen können. Wir erklären, was das konkret bedeutet.

Das „Schrems-II-Urteil“ des EuGH

Mit dem bilateral ausgehandelten Privacy Shield haben EU und USA 2016 eine informelle Absprache als datenschutzrechtliche Grundlage für den transatlantischen Datentransfer vorgelegt. Zuvor hatte der österreichische Jurist und Datenschutzaktivist Maximilian Schrems die Vorgängerregelung “Safe-Harbor” gerichtlich zu Fall gebracht. Wegen des Urteils “Schrems-I” (C-362/14) des EuGH 2015 zu seinen Gunsten war die Neuregelung nötig, deren Ergebnis der Privacy Shield war.

Doch Schrems, der die neue Regelung wie die alte für unzulässig hielt, klagte auch gegen den Privacy Shield. Am 16. Juli 2020 gab ihm der EuGH im Urteil “Schrems-II” (C-311/18) erneut recht und erklärte den Privacy Shield für unzulässig. Für die gegnerische Partei, zu der unter anderem die Vereinigten Staaten von Amerika und Facebook gehörten, war das eine herbe Niederlage. Die Richter hegten angesichts der weitreichenden Befugnisse für die Auswertung von Daten in den USA durch Geheimdienste erhebliche Zweifel an der Sicherheit personenbezogener Daten von EU-Bürgern in den USA. Jeder Transfer personenbezogener Daten in die USA, für den die im Privacy Shield vereinbarten Regelungen als Grundlage herangezogen werden, verstößt gegen europäisches Datenschutzrecht, namentlich gegen die im Mai 2018 rechtlich bindend in Kraft getretene Datenschutzgrundverordnung DSGVO der Europäischen Union.

Endlich Klarheit – und doch viele Fragen

Das mit Spannung erwartete Urteil wurde wie bei Entscheidungen des EuGH zu datenschutzrechtlichen Streitfällen (etwa 2018 zu Facebook Fanpages und 2019 zu Facebook Like-Buttons) international rege diskutiert. Eine Überraschung war das jüngste Urteil allerdings nicht, da es letztlich vor allem die Argumentation desselben Gerichts aus dem Jahr 2015 noch einmal unterstrich. Viele zeigten sich erleichtert darüber, dass das Urteil Schrems-II nun endlich für Klarheit in einer für sehr viele Akteure im Internet ausgesprochen wichtige Frage sorgt. Immerhin wurde die Tragfähigkeit des Privacy Shield von Beginn an von vielen Stimmen angezweifelt.

Und doch ist angesichts des Richterspruchs festzuhalten: Die wenigsten können sich nun einfach zurücklehnen und zur Tagesordnung übergehen. Jeder Betreiber eines Shops oder einer Website muss nun noch einmal nachsehen, wie es um die eigene Rechtssicherheit bestellt ist. Aber was ist dafür zu tun?

Was tun? Offizielle Quelle bleiben vage

Wer sich zu diesem Thema informieren wollte, wurde durch das Medienecho zunächst geradezu erschlagen. Neben der umfangreichen Presseberichterstattung zu diesem Thema folgen inzwischen jedoch immer mehr offizielle Verlautbarungen. Vor wenigen Tagen hat der Europäische Datenschutzausschuss einen FAQ zum EuGH-Urteil gegen den EU-US Privacy Shield veröffentlicht. Das Dokument wird jedoch ausdrücklich als Work-in-progress bezeichnet und liegt bislang ausschließlich in Englisch vor. Wirklich brauchbare Handlungsempfehlungen suchen vom juristischen Scheitern des Privacy Shield potenziell Betroffene darin ebenso wie in der vorgestern herausgegebenen Pressemitteilung der Datenschutzkonferenz von Bund und Ländern zu diesem Thema.

Die Zeit drängt

Wer im Zeichen der DSGVO mit Dienstleistern in den USA Verträge zur Auftragsverarbeitung geschlossen hat, kann jedoch nicht länger warten. Für die Feststellungen aus dem Urteil gibt es keine Übergangsfrist; sie gelten unverzüglich. Wer Daten zur Auftragsverarbeitung in die USA übermittelt, muss daher so schnell wie möglich den Handlungsbedarf sondieren, Auskünfte einholen und dann gegebenenfalls entschlossen geeignete Maßnahmen ergreifen, um Rechtssicherheit herzustellen.

Zwei Wochen nach dem Urteil möchten wir in diesem Beitrag nun nicht noch einmal die bereits oft nachgezeichneten juristischen Standpunkte der Parteien in diesem Rechtsstreit und die vieldiskutierte Urteilsbegründung des EuGH zusammenfassen, sondern erklären, was das Urteil für Onlinehändler in der Praxis bedeutet und konkrete Handlungsempfehlungen geben.

Konkrete Auswirkungen des Urteils

Wer einen Onlineshop mit Sitz in der EU betreibt, überträgt üblicherweise auch Daten an externe Dienstleister. Sofern es sich dabei – auch – um personenbezogene Daten wie etwa Namen oder E-Mail-Adressen handelt, muss ein Vertrag zur Auftragsverarbeitung mit dem jeweiligen Dienstleister geschlossen werden. Das gilt für den Hosting-Provider, für einen SaaS-Newsletter-Anbieter, für die Nutzung von Google Analytics und vieles mehr. Im sogenannten AV-Vertrag wird festgelegt, wo und wie genau die Daten sicher gespeichert und verarbeitet werden. Bislang schien es ausreichend, wenn ein Dienstleister mit Sitz in den USA im Vertrag zur Auftragsverarbeitung auf den EU-US Privacy Shield als rechtliche Grundlage verwies. Und genau hier setzt das EuGH-Urteil an: Solche Verträge sind nicht zulässig.

Grundsatz und Ausnahme

Das legt den Schluss nahe, dass die Übertragung personenbezogener Daten an Dienste mit Sitz in den USA nun ohne Ausnahme gegen europäisches Datenschutzrecht verstößt. So einfach ist es jedoch nicht. Unter bestimmten Voraussetzungen sind AV-Verträge mit entsprechenden Dienstleistern nach wie vor zulässig. Aber wer solche Verträge geschlossen hat, muss nun im Einzelfall sehr genau prüfen, ob diese Voraussetzungen erfüllt sind.

Was der EuGH in seinem Urteil auch ausdrücklich betont: Sowohl die Verwendung sogenannter Standardvertragsklauseln (Standard Contractual Clauses, SCC) als auch der Rückgriff auf verbindliche interne Datenschutzvorschriften („binding corporate rules“, BCR) in einem Auftragsverarbeitungsvertrag sind zwar weiterhin zulässig, um die unzureichenden Bestimmungen aus dem EU-US Privacy Shield ergänzend zu flankieren. Aber weder vertraglich vereinbarte SCC noch BCR reichen aus, um Rechtssicherheit herzustellen.

[Update Dezember 2020] Aufgrund der großen Bedeutung, die der internationale Handel für kleine und mittelständische Unternehmen und damit auch die grenzüberschreitende Übertragung von Daten gerade für Onlinehändler zukommt, hat der Bundesverband E-Commerce und Versandhandel (bevh) ein Positionspapier zur Auslegung des Schrems-II-Urteils veröffentlicht.

Die Auftragnehmer, also die US-Unternehmen, die im Auftrag von EU-Auftraggebern Daten speichern und verarbeiten, müssen dafür Rechnung tragen, dass diese Daten so geschützt werden, wie es die DSGVO vorsieht. Der EuGH hat klargestellt, dass er dafür in den USA keine Möglichkeit sieht, solang dort Behörden anlasslos Maßnahmen zur Massenüberwachung durchführen können. Solange an dieser politischen Praxis festgehalten wird, ist die einzige Möglichkeit für die rechtssichere Auftragsverarbeitung von personenbezogenen Daten von EU-Bürgern durch ein US-Unternehmen ein Entgegenkommen des Auftragnehmers – und zwar buchstäblich. Nur US-Unternehmen mit einem aus EU-Sicht sicheren Serverstandort kommen für die Auftragsverarbeitung in Frage.

Was Shopbetreiber nun tun müssen

Wer in der EU einen Onlineshop betreibt, muss sich zunächst einen genauen Überblick über bereits bestehende Verträge zur Auftragsverarbeitung verschaffen und dann jeden einzelnen genau prüfen:

  • Liegen die Firmensitze der Auftragnehmer und etwaiger Subunternehmer in den USA?
    Wenn ja, besteht weiterer Handlungsbedarf.
  • Wenn ein Auftragnehmer oder Subunternehmer in den USA sitzt: Sichert er zu, dass die Daten ausschließlich auf einem Server in der EU oder einem sicheren Drittland (beispielsweise in der Schweiz) für die Ausspähung durch US-Behörden unzugänglich gespeichert und verarbeitet werden?
    Wenn nicht, besteht weiterer Handlungsbedarf.

Wenn mit US-Dienstanbietern Verträge zur Auftragsverarbeitung geschlossen worden sind, in denen der Schutz personenbezogener Daten von EU-Bürgern nicht durch einen sicheren Serverstandort mit entsprechender technischer Infrastruktur gewährleistet werden kann, gibt es drei Handlungsoptionen:

  • Händler haben die Möglichkeit, ihre Auftragnehmer aufzufordern, eine sichere Alternative zu Serverstandorten in den USA einzurichten und ihnen eine Frist für Rückmeldung und Realisierung zu setzen.
  • Alternativ lässt sich gegebenenfalls von einem aufgrund des EuGH-Urteils eingeräumten Sonderkündigungsrecht Gebrauch machen und der gekündigte Dienst aus dem Shop entfernen. Soll die Dienstleistung weiterhin in Anspruch genommen werden, müssen Shopbetreiber sich dafür nach alternativen Anbietern innerhalb von Deutschland oder in Europa umsehen.

Zusätzlich muss die Datenschutzerklärung des Shops auf Einträge mit Bezug zur Übermittlung von Daten auf der Grundlage des Privacy Shields überprüft werden. Sollten sich darin solche nunmehr problematischen Einträge finden, besteht auch hier Handlungsbedarf:

  • Einträge zu US-Dienstleistern, die sicherstellen, dass die Daten ausschließlich auf einem Server in der EU oder einem sicheren Drittland gespeichert und verarbeitet werden, müssen entsprechend nachgeschärft werden, so dass der Privacy Shield nicht mehr als Rechtsgrundlage angeführt wird.
  • Einträge zu nicht mehr verwendeten Diensten müssen entfernt werden. Zusätzliche Einträge zu alternativen EU-Anbietern, mit denen Verträge zur Auftragsverarbeitung geschlossen worden sind, müssen dagegen neu hinzugefügt werden.

Brauchen Sie Unterstützung?

Wenn Sie als Shopbetreiber unsicher sind, welche Maßnahmen nun für welche bestehenden AV-Verträge mit US-Anbietern zu ergreifen sind, wenden Sie sich an uns. Wir haben in den vergangenen Jahren viele Betreiber von Onlineshops und Websites bei der Umsetzung der Bestimmungen der DSGVO begleitet. Und als Full-Service E-Commerce-Agentur beraten wir sie gern zu möglichen Maßnahmen sowie alternativen Dienstanbietern und stehen ihnen auch bei der technischen Umsetzung kompetent zur Seite.

Jetzt Kontakt aufnehmen!

Zum Thema:
Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.

      Carsten Stech

      Carsten Stech

      0431 3947 9900

      DSGVO konform

      Wir erfüllen die EU-Datenschutz-Grundverordnung (DSGVO) und garantieren Serverstandorte in Deutschland mit ISO 27001 Zertifizierung.