Liste von EU-Dienstleistern nach DSGVO
(Ersatz für US-Anbieter nach der Entscheidung zum Privacy Shield durch den EuGH – Update: Mai 2021)
Von zahlreichen Experten war es erwartet worden: Im Juli 2020 hat der Europäische Gerichtshofes (EuGH) den EU-US Privacy Shield für ungültig erklärt. Damit ist zum zweiten Mal der Versuch gescheitert, ein Datenschutzabkommen zwischen den USA und der EU zu vereinbaren. Unternehmen müssen nun die verwendeten Softwarelösungen überprüfen. Applikationen, die personenbezogene Daten in die USA übertragen, dürfen ab sofort nicht mehr genutzt werden.
Zum EU-US Privacy Shield
Die Datenschutz-Grundverordnung (DSGVO) schreibt ein “angemessenes Datenschutzniveau in einem Drittstaat” vor (siehe dazu auch Artikel 45 bis 50 der DSGVO). Personenbezogene Daten dürfen nur übermittelt werden, wenn die Vorgaben der DSGVO eingehalten werden. Befindet sich ein Staat in der EU, so ist dies kein Problem, da hier immer die DSGVO gilt.
Für Nicht-EU-Staaten kann die EU nach einer Prüfung einen sogenannten “Angemessenheitsbeschluss” erlassen, der dieses Staaten ein ähnliches Datenschutz-Niveau wie Europa attestiert. Hier wird die Datenübermittlung so behandelt wie bei zwei Unternehmen aus der EU. Darunter fallen Länder wie z.B. Kanada, Argentinien, Israel, Neuseeland, Japan und die Schweiz. Den Angemessenheitsbeschluss für die USA in Form des Privacy Shield hat der EuGH nun für unwirksam erklärt.
Die EU und die USA haben grundlegend sehr unterschiedliche Auffassungen zum Thema Datensicherheit und vor allem dem Datenschutz ihrer Bürger. Während sich die EU mit der DSGVO ein sehr hohes Datenschutzniveau gegeben hat, gibt es in den USA eine deutlich “lockere” Haltung zu dem Thema. Um dennoch einen Austausch von personenbezogenen Daten zwischen den beiden Parteien zu ermöglichen, wurde das sogenannte Privacy Shield als Nachfolger des ebenfalls gescheiterten Safe Harbor erdacht.
Dieses Privacy Shield war bisher die Grundlage für die rechtskonforme Übermittlung personenbezogener Daten in die USA und sollte den strengen europäischen Datenschutzstandards über die Grenzen der EU hinaus Geltung verschaffen.
Amerikanische Anbieter verpflichteten sich mit dem EU-US Privacy Shield, dass sie bestimmte Datenschutzvorgaben erfüllen. Damit konnten die Daten fließen zwischen Berlin, Paris oder Madrid und den USA. Der Haken dabei: Es handelte sich um eine freiwillige Selbstverpflichtung und -Zertifizierung, die von keiner Behörde oder einer unabhängigen Partei kontrolliert wurde. Einfach erklären “Ja, mache ich alles so, wie das das Privacy Shield erfordert” und schon war man dabei. Ähnlich wirksam und glaubwürdig also wie ein Eintrag im Gästebuch der zuständigen Verkehrs-Behörde mit dem Hinweis “Nein, ich fahre nie zu schnell”. Dann können wir ja die Geschwindigkeits-Messungen ab sofort einstellen.
Ein grundsätzliches Problem sehen die EuGH-Richter vor allem auch darin, dass der Zugriff auf alle personenbezogenen Daten durch die US-Geheimdienste möglich ist. In seiner Pressemitteilung vom 16. Juli 2020 kommt der Gerichtshof der Europäischen Union zu dem Schluss, dass “Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.”
Kurz gesagt: Das uneingeschränkte Ausspionieren der Daten von EU-Bürgern in den USA ist mit der DSGVO nicht zu vereinbaren.
Das Urteil des EuGH und die Konsequenzen
Das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 erklärt den EU-US Privacy Shield für ungültig. Nach Auffassung des EuGH kann aufgrund der Befugnisse der US-Geheimdienste und der Rechtslage in den USA ein angemessenes Datenschutz-Niveau nicht sichergestellt werden.
Das Urteil des EuGH betrifft alle öffentlichen Stellen oder Unternehmen, die Daten in die USA transferieren. Das Privacy Shield stellt nun keine gültige Rechtsgrundlage für die Übermittlung mehr dar, trotzdem durchgeführte Datentransfers sind rechtswidrig und können Bußgelder und Schadensersatzforderungen nach sich ziehen.
Damit hat das Urteil auch weitreichende Konsequenzen für die von vielen europäischen Unternehmen genutzten Cloud-Services und Softwareanwendungen von US-Anbietern. Um Bußgelder von Aufsichtsbehörden durch Weiternutzung von US-Diensten zu vermeiden, wird die umgehende Durchsicht und Einschätzung aller verwendeten Dienste und Programme von Rechts- und Datenschutzexperten dringend angeraten. Auch wenn Daten von Website-Besuchern über z.B. Google Analytics erfasst werden, kollidiert dies nun mit der DSGVO.
Die Datenschutzkonferenz (DSK), dem Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden ist hier eindeutig:
“Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden.”
Die meisten Anbieter für Software bzw. Cloud-Lösungen kommen aus den USA. Daher setzen auch viele kleine und mittelständische Unternehmen diese Lösungen ein. Nach dem EuGH-Urteil müssen aber Unternehmen den Gebrauch jeglicher Software einstellen, bei deren Nutzung personenbezogene Daten in die USA übertragen werden. Es gilt also nun, europäische und datenschutzkonforme Alternativen zu den bisher genutzten Diensten zu finden.
Alternative EU-Standardvertragsklauseln?
Bei den EU-Standardvertragsklauseln handelt es sich um ein Vertragswerk, dass durch Bestimmungen die Übermittlung personenbezogener Daten in Drittstaaten regelt. Das ist zwar möglich, aber nur zulässig, wenn diese Klauseln auch eingehalten werden können. Und genau hier liegt der Haken: Aufgrund verschiedener US-Gesetze können US-Behörden in den USA als auch im Ausland auf Daten von US-Unternehmen zugreifen. Die essentiellen Grundrechte von EU-Bürgern sind damit nicht gewährleistet. Amerikanische Unternehmen können zur Kooperation mit den US-Geheimdiensten auch gegen ihren Willen gezwungen werden.
Die EU-Standardvertragsklauseln sind damit nur gültig, wenn garantiert werden kann, dass die Daten VOR der Übermittlung in die USA so gesichert werden (z.B. durch Verschlüsselung), dass auch später kein Zugriff der US-Behörden auf die Daten möglich ist. Aufgrund der o.g. US-Gesetze ist dies wohl ausgeschlossen. Eine „Orientierungshilfe“ des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Würtemberg vom 25.08.2020 (hier als PDF abzurufen) kommt zu dem Schluss:
Die Standardvertragsklauseln können allerdings die Behörden des Drittlandes nicht binden und stellen daher in den Fällen, in denen die Behörden nach dem Recht des Drittlandes befugt sind, in die Rechte der betroffenen Personen einzugreifen ohne zusätzliche Maßnahmen der Vertragspartner keinen angemessenen Schutz dar.
Der Verantwortliche muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen (…).
Der Landesbeauftragte erläutert weiterhin, dass das Privacy Shield keine gültige Rechtslage mehr darstellt und dennoch durchgeführte Datentransfers rechtswidrig sind und Bußgelder nach sich ziehen können. Ebenso werden die Anforderungen an eine Übermittlung von Daten auf Grundlage von Standardvertragsklauseln nur in seltenen Fällen erfüllt. Der US-Dienstleister müsse zusätzliche Garantien bieten um einen Zugriff der US-Geheimdienste effektiv zu verhindern. Generell sollte die Rechtslage bei Datenübertragung in ein Drittland unbedingt überprüft werden.
Dieser Ansicht folgte beispielsweise auch die Berliner Landesbeauftragte für den Datenschutz Maja Smoltczyk in einer Presseerklärung vom 17. Juli 2020:
„Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
(…). Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.”
Sollten Sie eine solche Prüfung benötigen, so empfehlen wir einen auf dieses Thema spezialisierten Anwalt. Weitere Informationen dazu erhalten Sie auch bei unserem Partner easyrechtssicher.de in diesem Beitrag zum Urteil des EuGH.
Update 27.12.2020
Kürzlich hat die EU-Kommission Entwürfe für eine Überarbeitung der EU-Standardvertragsklauseln vorlegt. Die Klauseln sollen „im Lichte der Rechtssprechung des Gerichtshofs“ angepasst werden. Soll heißen: Eine Verschärfung der Pflichten bei einem Austausch bzw. Transfer von personenbezogenen Daten ist zu erwarten. Unternehmen stünden damit voll in der Haftung.
Eine Verabschiedung soll kurzfristig erfolgen.
Welche Möglichkeiten gibt es nun noch?
Nachdem nun die Anwendung des Privacy Shields und auch in den meisten Fällen der Standardvertragsklauseln nicht mehr rechtssicher genutzt werden kann, stellt sich die Frage: Was kann und muss ein Unternehmen jetzt machen, um rechtskonform nach DSGVO im Umgang mit personenbezogen Daten zu arbeiten bei Nutzung der bisherigen US-Dienstleister?
Eine Möglichkeit ist die berühmte Ausnahme von der Regel. Der Art. 49 der DSGVO beschreibt “Ausnahmen für bestimmte Fälle” für eine Übermittlung personenbezogener Daten an ein Drittland. Diese Ausnahmen sind u.a.
- Ausdrückliche Einwilligung der betroffenen Person, nachdem diese über die Risiken unterrichtet wurde
- Die Übermittlung ist zur Erfüllung eines Vertrages erforderlich
- Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses oder der Geltendmachung von Rechtsansprüchen notwendig
- Die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich
Während der Punkt a.) ein wenig Hoffnung macht, ist es wohl gängige Auffassung der meisten Experten zum Thema, dass die Hürden für eine rechtswirksame Einwilligung in der Praxis sehr hoch sind. Dazu ist der Artikel 49 nur für Ausnahmefälle gedacht (wie der Titel des Artikels schon sagt).
Der Europäische Datenschutzausschuss hat in seiner Leitlinie 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 (PDF hier) genau definiert, welche Ausnahmen zulässig sind.
Es bleibt abzuwarten, ob und wann die Aufsichtsbehörden hier Bedarf für eine Anpassung sehen. Allgemein scheint sich die Meinung durchzusetzen, dass die ausdrückliche Einwilligung des Art 49 Abs 1 lit a DSGVO nicht für dauerhafte und strukturierte Übermittlungen in Drittländer genutzt werden kann, sondern nur dann eine taugliche Grundlage darstellt, wenn es sich um nicht wiederholte Übermittlungen handelt, in die im Anlassfall eingewilligt wurde.
Kurz gesagt: Personenbezogene Daten dürfen nach Art. 49 DSGVO nur dann in Drittländer übermittelt werden dürfen, wenn die Übermittlung nur gelegentlich erfolgt.
Sofern also Art. 49 DSGVO durch fortlaufende Nutzung nicht zur Anwendung kommen kann, sind die Alternativen sehr begrenzt. Der Europäische Datenschutzausschuss empfiehlt als Lösung in seinem Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 (PDF hier), mit dem betreffenden Dienstleister “eine Änderung oder Zusatzklausel zu Ihrem Vertrag auszuhandeln, um die Übermittlung von Daten in die USA zu verbieten. In diesem Fall müssen die Daten nicht nur außerhalb der USA gespeichert, sondern auch verwaltet werden.”
Hier stellt sich die Frage, ob dies für kleine Unternehmen realistisch ist. Während die US-Dienstleister sicherlich für sehr große Unternehmen und Konzerne einen solchen Vertrag ermöglichen, sind kleine Unternehmen eben auch kleine Kunden für die man ungern “Extra-Würstchen” brät. Es wird sich im Laufe der nächsten Monate zeigen, wie die US-Unternehmen hier reagieren.
Sicher geht man, wenn man Anbieter nutzt, die ihren Sitz ausschließlich in der EU haben und dort auch die Server betreiben. Diese Unternehmen sind verpflichtet, sich an die Vorschriften der DSGVO zu halten und es gibt auch keine (bekannten) Hintertüren für Geheimdienste.
Schaut man sich allerdings die reale Situation in den Unternehmen bei der Verwendung von US-Diensten an, so stellt man fest, dass echte und gleichwertige Alternativen zu z.B. Google Workspace (früher G Suite), Dropbox, Zoom, Slack oder Microsoft 365 kaum vorhanden sind. Diese Anwendungen von heute auf morgen abzuschalten würde große Probleme in den meisten Unternehmen verursachen. Egal, was die Datenschützer so erzählen: Mal eben überall auf europäische Alternativen umzustellen ist kaum möglich und sehr praxisfremd. Die Übermacht und der technologische Vorsprung der US-Dienstanbieter wird nun für die Unternehmen in der EU zu einem großen Problem.
Aus diesem Grund (und auf vielfache Kundenanfrage) führen wir hier eine monatlich aktualisierte Dienstleister-Liste mit europäischen Alternativen. Diese erhebt Liste keinen Anspruch auf Vollständigkeit, stellt keine Rechtsberatung dar und sollen Ihnen als Unternehmer zur Orientierung dienen. Viele der genannten Anbieter nutzen wir selbst für unsere tägliche Arbeit mit unseren Kunden.
Falls Sie einen EU-Dienstleister vorschlagen möchten, so nutzen Sie bitte die Kommentar-Funktion. Nach einer Prüfung nehmen wir den Eintrag gerne in die Liste auf.
Bei diesem Artikel handelt es sich um keine Rechtsberatung, wir berichten von unseren Erfahrungen. Für weitere Fragen zum Thema DSGVO und Rechtssicherheit wenden Sie sich bitte an unsere Partner erecht24.de oder easyrechtssicher.de.
Update Link GDPR Enforcement Tracker (Mai 2021):
Eine aktuelle Liste der verhängten DSGVO-Bußgelder für alle europäische Staaten kann unter enforcementtracker.com abgerufen werden.
Dort stellt man dann erstaunt fest, dass z.B. Spanien deutlich aktiver bei den Bußgeldern ist, als Deutschland. Uns war auch nicht bekannt, dass der VfB Stuttgart im März 2021 €300.000,- bezahlen musste.
Update zur Videotelefonie (Videokonferenzdienste) (Stand: Februar 2021):
Der Berliner Beauftragte für Datenschutz und Informationsfreiheitn hat im Februar 2021 seine Einschätzung der Datenschutzkonformität gängiger Videokonferenz-Systeme aktualisiert (das Dokument dazu finden Sie hier als PDF).
Mit Hilfe eines Ampel-Schemas (Rot, Gelb, Grün) wurde ein Bewertung der einzelnen Videokonferenz-Dienste durchgeführt:
- Rot: Es liegen schwerwiegende Mängel vor, die eine rechtskonforme Nutzung des Dienstes im Rahmen des geprüften Anwendungsfalls ausschließen.
- Gelb: Es liegen Mängel vor, die im Rahmen des jeweiligen Anwendungsfalls zu einer Verletzung der datenschutzrechtlichen Anforderungen gemäß Art. 25 oder 32 DS-GVO
führen können. - Grün: Im Rahmen der Untersuchung gemäß der dargestellten Prüfkriterien wurden keine Annhaltspunkte für Mängel mit Relevanz für den jeweiligen Anwendungsfall gefunden.
Zusammenfassend wird festgestellt, dass ein Großteil der Dienste nach wie vor nicht DSGVO-konform ist. Vor allem Cisco Webex, Google Meet, Zoom, Microsoft Teams und GotoMeeting fallen hinsichtlich der Datenschutzvorgaben negativ auf.
Das immer beliebter werdende Microsoft Teams wird sehr ausführlich analysiert und mit einer roten Ampel versehen. Sofern Sie die Software einsetzen, empfehlen wir unbedingt ein genaues Studium. Die Datenschutzbehörde kommt bei MS Teams zu diesem Ergebnis:
Microsoft behält sich eine Verarbeitung der Auftragsdaten an jedem Ort vor, an dem Microsoft oder seine Unterauftragsverarbeiter tätig sind (DPA Juli 2020, Abschnitt „Datenschutzbestimmungen – Datenübermittlungen und Speicherstelle – Datenübermittlungen“), also auch in den USA. Es ist nicht ersichtlich, dass ausreichende zusätzliche Maßnahmen getroffen worden wären, um entsprechend der Rechtsprechung des EuGH im Urteil vom 16.7.2020 – C-311/18 („Schrems II“) das unzureichende Datenschutzniveau der USA auszugleichen.
Zusammenfassend wird festgestellt, dass ein Großteil der Dienste nach wie vor nicht DSGVO-konform ist. Vor allem Cisco Webex, Google Meet, Zoom, Microsoft Teams und GotoMeeting fallen hinsichtlich der Datenschutzvorgaben negativ auf.
Das immer beliebter werdende Microsoft Teams wird sehr ausführlich analysiert und mit einer roten Ampel versehen. Sofern Sie die Software einsetzen, empfehlen wir unbedingt ein genaues Studium. Die Datenschutzbehörde kommt bei MS Teams zu diesem Ergebnis:
Microsoft behält sich eine Verarbeitung der Auftragsdaten an jedem Ort vor, an dem Microsoft oder seine Unterauftragsverarbeiter tätig sind (DPA Juli 2020, Abschnitt „Datenschutzbestimmungen – Datenübermittlungen und Speicherstelle – Datenübermittlungen“), also auch in den USA. Es ist nicht ersichtlich, dass ausreichende zusätzliche Maßnahmen getroffen worden wären, um entsprechend der Rechtsprechung des EuGH im Urteil vom 16.7.2020 – C-311/18 („Schrems II“) das unzureichende Datenschutzniveau der USA auszugleichen.
Update zur Videotelefonie (Videokonferenzen) (Stand: 01.12.20):
Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe und eine Checkliste zum Einsatz von Videokonferenz-Diensten unter Einhaltung der DSGVO veröffentlicht (beide Dokumente finden Sie hier).
Die DSK gibt einen deutlichen Hinweis für alle Unternehmen: „Der für die Durchführung der Videokonferenz Verantwortliche ist verpflichtet zu prüfen, inwieweit er zur Verarbeitung befugt ist. Dabei hat er insbesondere den Grundsatz der Datensparsamkeit zu beachten. Deshalb muss er prüfen, inwieweit die mit dem konkreten Einsatz des Konferenzsystems verbundene Datenverarbeitung durch die Auswahl der eingesetzten Systeme sowie durch technische und organisatorische Maßnahmen auf das zur Zweckerreichung Erforderliche begrenzt werden kann. Soweit er Tools eines Anbieters verwendet, muss er die datenschutzrechtliche Beziehung zu diesem klären. Er hat auch dann darauf zu achten, dass die zum Schutz der jeweiligen Daten erforderlichen technischen und organisatorischen Maßnahmen ergriffen werden. Ferner hat er über die Datenverarbeitung in der gebotenen Form zu informieren.„
Empfohlen werden u.a. Videokonferenzsysteme auf der Grundlage von Open Source. Ein Großteil der beliebten US-Videokonferenz-Dienste wie z.B. Google Meet, Microsoft Teams und Zoom dürfte die Anforderungen zur Zeit nicht erreichen. Konkret äußert sich die DSK wie folgt:
Ganz grundsätzlich ist bei der Auswahlentscheidung für einen Anbieter darauf zu achten, dass dieser geeignete technische und organisatorische Maßnahmen ergreift, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und der Anbieter hierfür hinreichende Garantien bietet. Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz allerdings in den USA und verarbeiten dort die Daten.
Bei Datenübermittlungen in die USA oder andere Drittstaaten sind die Anforderungen des Kapitels V der DS-GVO einzuhalten. Bei der Verwendung von Standardvertragsklauseln als Instrument zur Rechtfertigung des Datenexports ist unter anderem zu beachten, dass der Verantwortliche vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf behördliche Zugriffe und Rechtsschutzmöglichkeiten für betroffene Personen analysieren muss. Bei Defiziten sind zusätzliche Maßnahmen erforderlich; ggf. muss der Datenexport unterbleiben.
Ein Videokonferenz-Anbieter aus der EU, wie z.B. Whereby (siehe unsere Erfahrungen bei der Nutzung von Whereby.eu hier), kann hier eine Alternative sein.
Update zur Verwendung von Microsoft 365 (Microsoft Office 365) (Stand: 06.11.20):
Die deutsche Datenschutzkonferenz (DSK) hat erklärt, dass aus ihrer Sicht zur Zeit „kein datenschutzgerechter Einsatz“ des cloudbasierten Office-Pakets von Microsoft möglich ist.
Erstaunlicherweise haben sich die Datenschützer aus Bayern, Baden-Württemberg, Hessen und dem Saarland dieser Meinung nicht angeschlossen. Gemeinsam haben Sie eine Gegenerklärung verfasst.
Dies wird wohl auch der Grund sein, warum die Untersuchung des „Arbeitskreis Verwaltung“ des DSK noch nicht veröffentlicht wurde.
Nach Angaben des rheinland-pfälzischen Datenschutzbeauftragten hat die DSK eine Arbeitsgruppe eingerichtet, die Gespräche mit Microsoft aufnehmen und so kurzfristig datenschutzgerechte Nachbesserungen bei Office 365 erreichen soll.