Bild-Quelle:
Am 16. Juli 2020 hat der EuGH mit seiner Entscheidung in Sachen Schrems II (EuGH, 16.7.2020 – C-311/18 ) das seit 2016 bestehende „Privacy Shield“ Abkommen für unwirksam erklärt. Genauere Informationen zum Urteil finden Sie in unserem separaten Blogbeitrag. Für zahlreiche Unternehmen bedeutete das Urteil enorme Unsicherheit.
Diese besteht auch weiterhin, jedoch wird bei der Wahl von Dienstleistern oftmals deutlich genauer hingesehene und das Thema Datentransfer in die USA rückt regelmäßig in den Fokus.
Zwischenzeitlich mussten sich Institutionen und auch Gerichte mit Sachverhalten beschäftigen, die Schnittpunkte zur Schrems II-Entscheidung des EuGH hatten.
So gab es im Landtag Nordrhein-Westphalen eine sog. „Kleine Anfrage“ von BÜNDNIS 90/DIE GRÜNEN bezüglich des LOGINEO Messengers, der von AMAZON WEB SERVICE (AWS) gehostet wir. Bei dem Messenger-Dienst handelt es sich um einen Nachrichtendienst, der speziell in Schulen zum Einsatz kommt. Der Landtag hatte hier keine Bedenken gegen den Einsatz des Sub-Dienstleisters AWS. Für maßgeblich hielt der Landtag hier, dass sich die Betriebsserver für den Messengerdienst allesamt in einem zertifizierten Rechenzentrum in Frankfurt am Main befinden. Durchaus bemerkenswert ist, dass der Landtag die Rechtslage in den USA mit der in Deutschland im konkreten Fall für durchaus vergleichbar hält. So schreibt der Landtag:
„Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands. Das Risiko des CLOUD Acts bestünde also nur, wenn gegen Nutzende (Lehrkräfte sowie Schülerinnen und Schüler) des LOGINEO NRW Messengers ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde.“
Einen ähnlich pragmatischen Ansatz verfolgt hier der französische Staatsrat (Conseil d’Etat) in einem einstweiligen Verfügungsverfahren. Hier hatten Verbände und Berufsvereinigungen die Aussetzung der Partnerschaft zwischen dem Gesundheitsministerium und Doctolib beantragt. Grund war, dass das Hosting von Daten zu Impfterminen durch die Tochtergesellschaft eines amerikanischen Unternehmens (AWS) Risiken im Hinblick auf Zugriffsanfragen der amerikanischen Behörden mit sich bringen würde. Der Conseil d’Etat lehnte diesen Antrag mit der Begründung ab, dass die bei den Impfterminen erhobenen Daten keine Gesundheitsdaten über die medizinischen Gründe für die Berechtigung zur Impfung enthielten und dass Sicherheitsvorkehrungen getroffen worden seien, um mit einem möglichen Antrag auf Zugang durch die amerikanischen Behörden umzugehen.
Der Conseil d’Etat hat hierbei das gewährleistete Schutzniveau unter Berücksichtigung der Art der betreffenden Daten und der Bestimmungen des zwischen Doctolib und der Firma AWS Sarl geschlossenen Vertrags sowie des für AWS geltenden Rechts überprüft. Es wurde dann festgestellt, dass der zwischen Doctolib und AWS Sarl geschlossene Vertrag ein besonderes Verfahren für den Fall von Zugangsanfragen einer ausländischen Behörde vorsieht. Dieses sieht die Anfechtung jeder Anfrage vor, die nicht den europäischen Vorschriften entspricht.
Unter diesen Voraussetzungen war der für den vorläufigen Rechtsschutz zuständige Richter des Conseil d’État der Ansicht, dass das Schutzniveau der betreffenden Daten angesichts des geltend gemachten Risikos und angesichts der Art der fraglichen Daten nicht offensichtlich unzureichend war. Er lehnte daher den Antrag der antragstellenden Verbände und Gewerkschaften ab.
Sowohl der Landtag NRW als auch der französische Conseil d’Etat gehen – anders als einige Aufsichtsbehörden – weniger formalistisch und mehr pragmatisch bei ihrer Bewertung der Rechtslage vor. Für diesen Ansatz, der jeweils eine Einzelfallbetrachtung vornimmt und nicht pauschal jeden Drittstaatentransfer in die USA mit dem Hinweis auf fehlende Datenschutz-Standards vorsieht, sprechen auch die
In diesem Whitepaper des US-Wirtschaftsministeriums, des US-Justizministeriums und des Direktors der nationalen Nachrichtendienste wird transparent dargelegt, an welchen Daten überhaupt, unter welchen Umständen ein Interesse der US-Regierung besteht. Demnach dürfte für eine Vielzahl von Daten, die typischerweise von Diensten erhoben bzw. verarbeitet werden (meistens E-Mailadresse und Zugangsdaten), seitens der US-Regierung überhaupt kein Interesse bestehen.
Zwar macht der EuGH in seiner Schrems II-Entscheidung keinen Unterschied zwischen einzelnen Arten personenbezogener Daten. Dies war aber im konkreten Fall auch nicht vom EuGH zu entscheiden. Insofern bieten die o.g. Entscheidungen einen weiteren praktischen Prüfungsaspekt, der bei der Entscheidung für oder gegen einen US-Dienstleister berücksichtigt werden sollte.
Genauere Anleitungen, Hintergründe und Vorlagen zum Umgang mit dem Schrems II-Urteil des EuGH bietet auch unser „Privacy Shield KIT“, dass Sie hier kostenlos herunterladen können.
Von Marco Koehler, LL.M , 06.04.2021
