Liste von EU-Dienstleistern nach DSGVO

(Ersatz für US-Anbieter nach der Entscheidung zum Privacy Shield durch den EuGH – Update: 11/2020)

Von zahlreichen Experten war es erwartet worden: Im Juli 2020 hat der Europäische Gerichtshofes (EuGH) den EU-US Privacy Shield für ungültig erklärt. Damit ist zum zweiten Mal der Versuch gescheitert, ein Datenschutzabkommen zwischen den USA und der EU zu vereinbaren. Unternehmen müssen nun die verwendeten Softwarelösungen überprüfen. Applikationen, die personenbezogene Daten in die USA übertragen, dürfen ab sofort nicht mehr genutzt werden.

Zum EU-US Privacy Shield

Die Datenschutz-Grundverordnung (DSGVO) schreibt ein “angemessenes Datenschutzniveau in einem Drittstaat” vor (siehe dazu auch Artikel 45 bis 50 der DSGVO). Personenbezogene Daten dürfen nur übermittelt werden, wenn die Vorgaben der DSGVO eingehalten werden. Befindet sich ein Staat in der EU, so ist dies kein Problem, da hier immer die DSGVO gilt.

Für Nicht-EU-Staaten kann die EU nach einer Prüfung einen sogenannten “Angemessenheitsbeschluss” erlassen, der dieses Staaten ein ähnliches Datenschutz-Niveau wie Europa attestiert. Hier wird die Datenübermittlung so behandelt wie bei zwei Unternehmen aus der EU. Darunter fallen Länder wie z.B. Kanada, Argentinien, Israel, Neuseeland, Japan und die Schweiz. Den Angemessenheitsbeschluss für die USA in Form des Privacy Shield hat der EuGH nun für unwirksam erklärt.

Die EU und die USA haben grundlegend sehr unterschiedliche Auffassungen zum Thema Datensicherheit und vor allem dem Datenschutz ihrer Bürger. Während sich die EU mit der DSGVO ein sehr hohes Datenschutzniveau gegeben hat, gibt es in den USA eine deutlich “lockere” Haltung zu dem Thema. Um dennoch einen Austausch von personenbezogenen Daten zwischen den beiden Parteien zu ermöglichen, wurde das sogenannte Privacy Shield als Nachfolger des ebenfalls gescheiterten Safe Harbor erdacht.

Dieses Privacy Shield war bisher die Grundlage für die rechtskonforme Übermittlung personenbezogener Daten in die USA und sollte den strengen europäischen Datenschutzstandards über die Grenzen der EU hinaus Geltung verschaffen.

Amerikanische Anbieter verpflichteten sich mit dem EU-US Privacy Shield, dass sie bestimmte Datenschutzvorgaben erfüllen. Damit konnten die Daten fließen zwischen Berlin, Paris oder Madrid und den USA. Der Haken dabei: Es handelte sich um eine freiwillige Selbstverpflichtung und -Zertifizierung, die von keiner Behörde oder einer unabhängigen Partei kontrolliert wurde. Einfach erklären “Ja, mache ich alles so, wie das das Privacy Shield erfordert” und schon war man dabei. Ähnlich wirksam und glaubwürdig also wie ein Eintrag im Gästebuch der zuständigen Verkehrs-Behörde mit dem Hinweis “Nein, ich fahre nie zu schnell”. Dann können wir ja die Geschwindigkeits-Messungen ab sofort einstellen.

Ein grundsätzliches Problem sehen die EuGH-Richter vor allem auch darin, dass der Zugriff auf alle personenbezogenen Daten durch die US-Geheimdienste möglich ist. In seiner Pressemitteilung vom 16. Juli 2020 kommt der Gerichtshof der Europäischen Union zu dem Schluss, dass “Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.”

Kurz gesagt: Das uneingeschränkte Ausspionieren der Daten von EU-Bürgern in den USA ist mit der DSGVO nicht zu vereinbaren.

Das Urteil des EuGH und die Konsequenzen

Das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 erklärt den EU-US Privacy Shield für ungültig. Nach Auffassung des EuGH kann aufgrund der Befugnisse der US-Geheimdienste und der Rechtslage in den USA ein angemessenes Datenschutz-Niveau nicht sichergestellt werden.

Das Urteil des EuGH betrifft alle öffentlichen Stellen oder Unternehmen, die Daten in die USA transferieren. Das Privacy Shield stellt nun keine gültige Rechtsgrundlage für die Übermittlung mehr dar, trotzdem durchgeführte Datentransfers sind rechtswidrig und können Bußgelder und Schadensersatzforderungen nach sich ziehen.

Damit hat das Urteil auch weitreichende Konsequenzen für die von vielen europäischen Unternehmen genutzten Cloud-Services und Softwareanwendungen von US-Anbietern. Um Bußgelder von Aufsichtsbehörden durch Weiternutzung von US-Diensten zu vermeiden, wird die umgehende Durchsicht und Einschätzung aller verwendeten Dienste und Programme von Rechts- und Datenschutzexperten dringend angeraten. Auch wenn Daten von Website-Besuchern über z.B. Google Analytics erfasst werden, kollidiert dies nun mit der DSGVO.

Die Datenschutzkonferenz (DSK), dem Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden ist hier eindeutig:

“Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden.”

Die meisten Anbieter für Software bzw. Cloud-Lösungen kommen aus den USA. Daher setzen auch viele kleine und mittelständische Unternehmen diese Lösungen ein. Nach dem EuGH-Urteil müssen aber Unternehmen den Gebrauch jeglicher Software einstellen, bei deren Nutzung personenbezogene Daten in die USA übertragen werden. Es gilt also nun, europäische und datenschutzkonforme Alternativen zu den bisher genutzten Diensten zu finden.

Alternative EU-Standardvertragsklauseln?

Bei den EU-Standardvertragsklauseln handelt es sich um ein Vertragswerk, dass durch Bestimmungen die Übermittlung personenbezogener Daten in Drittstaaten regelt. Das ist zwar möglich, aber nur zulässig, wenn diese Klauseln auch eingehalten werden können. Und genau hier liegt der Haken: Aufgrund verschiedener US-Gesetze können US-Behörden in den USA als auch im Ausland auf Daten von US-Unternehmen zugreifen. Die essentiellen Grundrechte von EU-Bürgern sind damit nicht gewährleistet. Amerikanische Unternehmen können zur Kooperation mit den US-Geheimdiensten auch gegen ihren Willen gezwungen werden.

Die EU-Standardvertragsklauseln sind damit nur gültig, wenn garantiert werden kann, dass die Daten VOR der Übermittlung in die USA so gesichert werden (z.B. durch Verschlüsselung), dass auch später kein Zugriff der US-Behörden auf die Daten möglich ist. Aufgrund der o.g. US-Gesetze ist dies wohl ausgeschlossen. Eine “Orientierungshilfe” des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Würtemberg vom 25.08.2020 (hier als PDF abzurufen) kommt zu dem Schluss:

Die Standardvertragsklauseln können allerdings die Behörden des Drittlandes nicht binden und stellen daher in den Fällen, in denen die Behörden nach dem Recht des Drittlandes befugt sind, in die Rechte der betroffenen Personen einzugreifen ohne zusätzliche Maßnahmen der Vertragspartner keinen angemessenen Schutz dar.

Der Verantwortliche muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen (…).

Der Landesbeauftragte erläutert weiterhin, dass das Privacy Shield keine gültige Rechtslage mehr darstellt und dennoch durchgeführte Datentransfers rechtswidrig sind und Bußgelder nach sich ziehen können. Ebenso werden die Anforderungen an eine Übermittlung von Daten auf Grundlage von Standardvertragsklauseln nur in seltenen Fällen erfüllt. Der US-Dienstleister müsse zusätzliche Garantien bieten um einen Zugriff der US-Geheimdienste effektiv zu verhindern. Generell sollte die Rechtslage bei Datenübertragung in ein Drittland unbedingt überprüft werden.

Dieser Ansicht folgte beispielsweise auch die Berliner Landesbeauftragte für den Datenschutz Maja Smoltczyk in einer Presseerklärung vom 17. Juli 2020:

“Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.

(…). Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.”

Sollten Sie eine solche Prüfung benötigen, so empfehlen wir einen auf dieses Thema spezialisierten Anwalt. Weitere Informationen dazu erhalten Sie auch bei unserem Partner easyrechtssicher.de in diesem Beitrag zum Urteil des EuGH.

Welche Möglichkeiten gibt es nun noch?

Nachdem nun die Anwendung des Privacy Shields und auch in den meisten Fällen der Standardvertragsklauseln nicht mehr rechtssicher genutzt werden kann, stellt sich die Frage: Was kann und muss ein Unternehmen jetzt machen, um rechtskonform nach DSGVO im Umgang mit personenbezogen Daten zu arbeiten bei Nutzung der bisherigen US-Dienstleister?

Eine Möglichkeit ist die berühmte Ausnahme von der Regel. Der Art. 49 der DSGVO beschreibt “Ausnahmen für bestimmte Fälle” für eine Übermittlung personenbezogener Daten an ein Drittland. Diese Ausnahmen sind u.a.

  1. Ausdrückliche Einwilligung der betroffenen Person, nachdem diese über die Risiken unterrichtet wurde
  2. Die Übermittlung ist zur Erfüllung eines Vertrages erforderlich
  3. Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses oder der Geltendmachung von Rechtsansprüchen notwendig
  4. Die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich

Während der Punkt a.) ein wenig Hoffnung macht, ist es wohl gängige Auffassung der meisten Experten zum Thema, dass die Hürden für eine rechtswirksame Einwilligung in der Praxis sehr hoch sind. Dazu ist der Artikel 49 nur für Ausnahmefälle gedacht (wie der Titel des Artikels schon sagt).

Der Europäische Datenschutzausschuss hat in seiner Leitlinie 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 (PDF hier) genau definiert, welche Ausnahmen zulässig sind.

Es bleibt abzuwarten, ob und wann die Aufsichtsbehörden hier Bedarf für eine Anpassung sehen. Allgemein scheint sich die Meinung durchzusetzen, dass die ausdrückliche Einwilligung des Art 49 Abs 1 lit a DSGVO nicht für dauerhafte und strukturierte Übermittlungen in Drittländer genutzt werden kann, sondern nur dann eine taugliche Grundlage darstellt, wenn es sich um nicht wiederholte Übermittlungen handelt, in die im Anlassfall eingewilligt wurde.

Kurz gesagt: Personenbezogene Daten dürfen nach Art. 49 DSGVO nur dann in Drittländer übermittelt werden dürfen, wenn die Übermittlung nur gelegentlich erfolgt.

Sofern also Art. 49 DSGVO durch fortlaufende Nutzung nicht zur Anwendung kommen kann, sind die Alternativen sehr begrenzt. Der Europäische Datenschutzausschuss empfiehlt als Lösung in seinem Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 (PDF hier), mit dem betreffenden Dienstleister “eine Änderung oder Zusatzklausel zu Ihrem Vertrag auszuhandeln, um die Übermittlung von Daten in die USA zu verbieten. In diesem Fall müssen die Daten nicht nur außerhalb der USA gespeichert, sondern auch verwaltet werden.”

Hier stellt sich die Frage, ob dies für kleine Unternehmen realistisch ist. Während die US-Dienstleister sicherlich für sehr große Unternehmen und Konzerne einen solchen Vertrag ermöglichen, sind kleine Unternehmen eben auch kleine Kunden für die man ungern “Extra-Würstchen” brät. Es wird sich im Laufe der nächsten Monate zeigen, wie die US-Unternehmen hier reagieren.

Sicher geht man, wenn man Anbieter nutzt, die ihren Sitz ausschließlich in der EU haben und dort auch die Server betreiben. Diese Unternehmen sind verpflichtet, sich an die Vorschriften der DSGVO zu halten und es gibt auch keine (bekannten) Hintertüren für Geheimdienste.

Schaut man sich allerdings die reale Situation in den Unternehmen bei der Verwendung von US-Diensten an, so stellt man fest, dass echte und gleichwertige Alternativen zu z.B. Google Workspace (früher G Suite), Dropbox, Zoom, Slack oder Microsoft 365 kaum vorhanden sind. Diese Anwendungen von heute auf morgen abzuschalten würde große Probleme in den meisten Unternehmen verursachen. Egal, was die Datenschützer so erzählen: Mal eben überall auf europäische Alternativen umzustellen ist kaum möglich und sehr praxisfremd. Die Übermacht und der technologische Vorsprung der US-Dienstanbieter wird nun für die Unternehmen in der EU zu einem großen Problem.

Aus diesem Grund (und auf vielfache Kundenanfrage) führen wir hier eine monatlich aktualisierte Dienstleister-Liste mit europäischen Alternativen. Diese erhebt Liste keinen Anspruch auf Vollständigkeit, stellt keine Rechtsberatung dar und sollen Ihnen als Unternehmer zur Orientierung dienen. Viele der genannten Anbieter nutzen wir selbst für unsere tägliche Arbeit mit unseren Kunden.

Falls Sie einen EU-Dienstleister vorschlagen möchten, so nutzen Sie bitte die Kommentar-Funktion. Nach einer Prüfung nehmen wir den Eintrag gerne in die Liste auf.

Bei diesem Artikel handelt es sich um keine Rechtsberatung, wir berichten von unseren Erfahrungen. Für weitere Fragen zum Thema DSGVO und Rechtssicherheit wenden Sie sich bitte an unsere Partner erecht24.de oder easyrechtssicher.de.

Update zur Verwendung von Microsoft 365 (Microsoft Office 365) (Stand: 06.11.20):

Die deutsche Datenschutzkonferenz (DSK) hat erklärt, dass aus ihrer Sicht zur Zeit “kein datenschutzgerechter Einsatz” des cloudbasierten Office-Pakets von Microsoft möglich ist.

Erstaunlicherweise haben sich die Datenschützer aus Bayern, Baden-Württemberg, Hessen und dem Saarland dieser Meinung nicht angeschlossen. Gemeinsam haben Sie eine Gegenerklärung verfasst.

Dies wird wohl auch der Grund sein, warum die Untersuchung des “Arbeitskreis Verwaltung” des DSK noch nicht veröffentlicht wurde.

Nach Angaben des rheinland-pfälzischen Datenschutzbeauftragten hat die DSK eine Arbeitsgruppe eingerichtet, die Gespräche mit Microsoft aufnehmen und so kurzfristig datenschutzgerechte Nachbesserungen bei Office 365 erreichen soll.

Übersicht und Liste von EU-Dienstleistern als Alternative

wdt_ID Dienstleistung EU-Dienstleister Ersatz für Anmerkungen Mehr Infos
Dienstleistung EU-Dienstleister Ersatz für Anmerkungen Mehr Infos