Das wichtigste vorweg: Ich habe in einem vorherigen Beitrag das Urteil (C-311/18) erläutert. Nun geht es um die richtigen Schlussfolgerungen und die nächsten Schritte.
Die nächsten Schritte
Zunächst muss jedes Unternehmen analysieren, ob es Handlungsbedarf gibt oder nicht. Wie eine solche Analyse aussehen kann, habe ich hier vorgestellt. Wer nach der Analyse zu dem Ergebnis kommt, dass Handlungsbedarf besteht, muss genau drei Schritte gehen:
- Jede Datenverarbeitung, an der US-Dienstleister beteiligt sind, muss umgehend überprüft werden, egal auf welcher ergänzenden Rechtsgrundlage (PrivacyShield, Standardvertragsklauseln, …) sie bislang beruhte.
- In jedem Fall muss eine vom PrivacyShield unabhängige Rechtsgrundlage hergestellt werden. Nicht morgen. Nicht gleich. Sondern sofort.
- Die Datenschutzerklärungen müssen danach dringend überarbeitet werden.
Lösungsmöglichkeit # 1: Genehmigte Vereinbarungen
Ich will es nicht verheimlichen. Aus meiner Sicht sind sog. genehmigte Vereinbarungen die beste Lösung. Der einzige Nachteil: Die Umsetzung wird viel zu lange dauern. Nicht weil unsere Behörden zu langsam sind, sondern weil dieser Lösungsweg vom Wohlwollen großer US-Unternehmen abhängt. Doch der Reihe nach:
Die Datenschutzgrundverordnung sieht zahlreiche Möglichkeiten vor, dass beispielsweise US-Unternehmen, eigene Verträge entwerfen, in denen sie sich zur Einhaltung der in der Europäischen Union geltenden Datenschutzstandards verpflichten. Sofern diese Verträge von einer Aufsichtsbehörde genehmigt werden (vgl. etwa die Artikel 46 Absatz 3, 47 DSGVO), sind sie in der Lage, diese grenzüberschreitende Datenverarbeitung zu rechtfertigen. Besser noch: Durch die behördliche Genehmigung erlangen alle Beteiligten eine erhebliche Rechtssicherheit.
Hierbei müssen die US-Unternehmen v.a. zwei Dinge in ihre Vertragsentwürfe einflechten. Einerseits hinreichende Garantien, dass ein Zugriff von US-Behörden nur erfolgt, wenn der damit verbundene Eingriff verhältnismäßig ist. Und andererseits, dass die betroffenen EU-Bürger hinreichende Klagerechte haben. Das ist vertraglich darstellbar. Doch ein langer Weg.
Lösungsmöglichkeit # 2: Standardvertragsklauseln
Der zweite Lösungsvorschlag ist längst in aller Munde. Der Umstieg auf von der EU-Kommission vorformulierte Vertragsmuster, mit denen sich die US-Unternehmen zur Achtung der in der Europäischen Union geltenden Datenschutzstandards verpflichten.
Der Vorteil dieser Lösung liegt auf der Hand. Die meisten US-Unternehmen haben diese Klauseln längst zu ihren Vertragsbestandteilen gemacht. Eigentlich ist diese Lösung schon da.
Doch auch hier gibt es einen Nachteil: Mit Recht merken viele Stimmen an, dass nach dem Urteil des Europäischen Gerichtshofes, die Frage im Raum steht, ob US-Unternehmen die Standardvertragsklauseln überhaupt erfüllen können. Es ist zu erwarten, dass europäische, aber v.a. deutsche Aufsichtsbehörden hier sehr zeitnah eine klare Auffassung vertreten, nämlich, dass die Standardvertragsklauseln bei US-Unternehmen nur schwer denkbar sind.
Ich denke, dass darüber erneut Gerichte entscheiden werden. Meine private Meinung ist, dass die Standardvertragsklauseln auch bei US-Unternehmen ausreichend sind. Wenn diese Unternehmen gegen diesen Vertrag verstoßen, setzen sie sich Schadenersatzansprüchen aus. So ist das im Recht.
Lösungsmöglichkeit: Artikel 49 DSGVO
Der Europäische Gerichtshof höchstselbst hat einen eigenen Lösungsvorschlag gemacht. Es stünde doch Artikel 49 DSGVO bereit. Diese Norm, die kaum bekannt ist, lässt in eng begrenzten Ausnahmefällen eine Datenverarbeitung in unsicheren Drittländern zu, selbst wenn alle anderen Garantien scheitern. Diese Fälle sind weder im Beschäftigtendatenschutz noch im Marketingbereich flächendeckend einsetzbar. Anders ausgedrückt: Der Europäische Gerichtshof ist der möglicherweise der Meinung, dass in Zukunft Datenverarbeitungsvorgänge in den USA die Ausnahme bleiben sollte.
