„Schrems II“: Der Europäische Gerichtshof kippt das „Privacy Shield“-Abkommen – sind damit bald sämtliche Datentransfers in die USA tabu?

Geschrieben am

Am vergangenen Donnerstag entschied der Europäische Gerichtshof, dass das „Privacy Shield“-Abkommen zwischen der Europäischen Union und den USA nicht weiter zur Privilegierung von Datentransfers in die USA herangezogen werden darf. Wir möchten die kurz- und mittelfristigen Folgen für Unternehmen in der EU und in den USA kurz zusammenfassen und auch einen Blick auf Datentransfers in andere Nicht-EU-Staaten werfen.

Internationale Datentransfers nach der DSGVO

Zunächst allgemein zu den Voraussetzungen des internationalen Datentransfers: Wann immer Daten aus der EU an einen Empfänger in einem Drittland versendet werden sollen, hängt die Rechtmäßigkeit dieses Transfers von zwei Fragen ab (auch „Zwei-Stufen-Modell“ genannt).

  • Auf der ersten Stufe bedarf die Übertragung an einen Dritten als Datenverarbeitungsvorgang natürlich immer einer Rechtsgrundlage nach Art. 6 DSGVO. (Dies wird häufig beim Drittlandstransfer übersehen, wenn man nur auf die zweite Stufe schaut.)
  • Auf der zweiten Stufe stellt sich die Frage, ob eine „Datenübermittlung in ein Drittland“ nach Art. 44 S. 1 DSGVO vorliegt und wenn ja, ob diese nach den Vorschriften des 5. Kapitels der DSGVO gerechtfertigt ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer ins Drittland nicht gegenüber dem Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht das 5. Kapitel der DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Entweder durch einen Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, durch geeignete Garantien gem. Art. 46 DSGVO oder aufgrund einer Ausnahme nach Art. 49 DSGVO.

Das EU-US Privacy Shield

Beim Privacy Shield handelt es sich um eine Vereinbarung zwischen den USA und der EU, die verschiedene Zusicherungen der USA für EU-Bürger beinhaltet. Aufgrund dieser Absprache fasste die EU-Kommission einen Angemessenheitsbeschluss (2016/1250) nach Art. 45 DSGVO in Bezug auf diejenigen Unternehmen, die unter dem Privacy Shield zertifiziert waren.

Mit seiner heutigen Entscheidung im Vorabentscheidungsverfahren hat der EuGH festgestellt, dass dieser konkrete Angemessenheitsbeschluss ungültig ist. Das hat unmittelbar zur Folge, das Datentransfers in die USA auf der zweiten Stufe nicht mehr auf das Privacy Shield gestützt werden können.

Als Argument führt der EuGH an, dass in diesem Beschluss (ebenso wie schon in der Entscheidung zum Vorgängerprogramm „Safe Harbour“) den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was zu nicht gerechtfertigten Grundrechtseingriffen für EU-Bürger führt. Insbesondere da die amerikanischen Rechtsvorschriften staatliche Überwachung in einem aus EU-Sicht unverhältnismäßigen Ausmaß erlauben, haben die USA auch unter Berücksichtigung des Privacy Shield kein der EU vergleichbares Datenschutzniveau. Darüber hinaus stellt auch die Einrichtung einer Datenschutzombudsperson keine Maßnahme dar, mit der EU-Bürgern ein effektiver Rechtsschutz gegenüber US-Behörden und -Gerichten gewährt wird.

Zukunft der Standarddatenschutzklauseln

Jetzt wo das Privacy Shield als Absicherungsmechanismus ausscheidet, stellt sich natürlich die Frage, wie ein Datentransfer in die USA stattdessen abgesichert werden kann. Der erste Blick geht dann auf das wichtigste Werkzeug für den internationalen Datentransfer, die Standarddatenschutzklauseln (SCC, auch „model clauses“) nach Art. 46 Abs. 2 lit. c DSGVO. Der EuGH hat sich in seiner heutigen Entscheidung auch mit den SCC auseinandergesetzt und (glücklicherweise) festgestellt, dass diese zumindest für sich genommen mit der Charta der Grundrechte der EU vereinbar sind und weiterhin gültig bleiben.

Allerdings hat der EuGH auch deutlich gemacht, dass mit den SCC nicht jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr können die SCC nur dann eingesetzt werden, wenn der Datenexporteur und der Empfänger im Drittland gewährleisten, dass die Regelungen der SCC in diesem Drittland auch eingehalten werden können. Können die SCC dagegen nicht eingehalten werden, müssen die beteiligten Parteien den Datentransfer beenden. Letztlich läuft es also auf die Frage hinaus, ob es im Drittland rechtliche Möglichkeiten für (staatliche) Institutionen gibt, einen umfangreichen Zugriff auf die Daten zu erhalten, der die Datenschutzgrundsätze der EU untergräbt.

Für die USA hat der EuGH mit dieser Entscheidung im Grunde schon vorgegeben, dass die rechtlichen Rahmenbedingungen dort das Einhalten der SCC aufgrund der Überwachungsgesetze eigentlich unmöglich machen. Damit im Zusammenhang steht der Auftrag an die Aufsichtsbehörden in den Rz. 106-121 der Entscheidung, dass diese den Datentransfer aufgrund von SCC zu unterbinden haben, wenn sich herausstellt, dass die Klauseln im Empfängerland nicht eingehalten werden können.

Fazit

Nach der EuGH-Entscheidung kann ein Datentransfer in die USA nicht mehr auf Basis des Privacy Shields erfolgen. Stattdessen werden viele jetzt wohl auf die SCC zurückgreifen (wenn nicht ohnehin schon SCC vereinbart wurden), da diese verhältnismäßig schnell neu abgeschlossen werden können. Allerdings ist absehbar, dass ein Transfer auf Basis der SCC im Grunde auch nicht haltbar ist und von den europäischen Datenschutzbehörden höchstwahrscheinlich bald untersagt werden wird, da die Einhaltung der damit vertraglich zugesicherten Datenschutzstandards in den USA nicht möglich ist. Der deutsche Bundesdatenschutzbeauftragte lässt in einer ersten Pressemitteilung schon erkennen, dass die Behörden hier offenbar schnell handeln wollen, ebenso verstehen wir die Pressemitteilung der Berliner Datenschutzbeauftragten.

Für Unternehmen beiderseits des Atlantiks bedeutet dies selbstverständlich eine wenig zufriedenstellende Situation. Als letzter Ausweg weist der EuGH in Rz. 202 der Entscheidung darauf hin, dass ein „rechtliches Vakuum“ durch die Anwendung der Ausnahmetatbestände in Art. 49 DSGVO verhindert werden könnte. In Art. 49 DSGVO sind Ausnahmen für den Fall geregelt, dass ein Datentransfer nicht auf einen Angemessenheitsbeschluss nach Art. 45 oder geeignete Garantien nach Art. 46 DSGVO gestützt werden kann. Grundsätzlich werden diese Ausnahmeregelungen jedoch restriktiv ausgelegt – sie sollen gerade nicht massenhaft zur Umgehung des europäischen Datenschutzniveaus eingesetzt werden. Es handelt sich um Lösungen für sehr spezifische Einzelfälle, immer wieder genannt wird zum Beispiel die Buchung einer Reise bei einem ausländischen Reiseveranstalter. Wir empfehlen daher folgendes Vorgehen: Bis auf Weiteres sollten als erste Maßnahme bei allen internationalen Datentransfers in die USA, die derzeit allein vom Privacy Shield gesichert werden, stattdessen die Standardvertragsklauseln eingesetzt werden, um zumindest einen gesetzlich vorgesehenen Sicherungsmechanismus implementiert zu haben. Parallel dazu sollte geprüft werden, ob der jeweilige Datentransfer auf eine Ausnahme nach Art. 49 DSGVO gestützt werden kann oder ob die Datenverarbeitung insgesamt nach Europa verlagert wird, sofern möglich. Derzeit gehen wir nämlich davon aus, dass mit denselben Argumenten wie im heute verkündeten Urteil auch Datentransfers in die USA (und auch in andere Staaten wie zum Beispiel China) auf der Grundlage der Standarddatenschutzklauseln gekippt werden könnten.

„Voice Branding“ – Product Placement via Sprachassistent?

Sprachassistenten – sei es in Form von intelligenten Lautsprechern wie „Google Home“ oder „Amazon Echo“ im Wohnzimmer, „Siri“ auf dem Smartphone oder „Cortana“ auf dem PC – sind immer weiter verbreitet. Auch die Werbung hat diesen neuen Kanal längst für sich entdeckt und experimentiert mit neuen Formen für intelligente Markenbotschaften. Dabei stellt sich natürlich die Frage, wie diese rechtlich zu bewerten sind.

Ein Amazon Echo Spot (Foto: Zebonaut, CC BY-SA 4.0)

Neuer Kanal, alte Fragen

Aus juristischer Sicht stellen sich im neuen Kanal der Sprachassistenten die altbekannten Fragen des Werberechts:

  • Wie sind die Informationspflichten aus dem Verbraucherschutz umzusetzen?
  • Wie kennzeichnet man Werbung korrekt und im Einklang mit den geltenden Vorgaben des Medienrechts?
  • Und was ist mit den Nutzerdaten, die es DSGVO-konform zu erheben und zu nutzen gilt?

Formen des Voice Branding

Relativ verbreitet sind insbesondere im Bereich intelligenter Lautsprecher so genannte „Branded Skills“: Der Nutzer kann hier wie eine Handy-App zum Beispiel eine Funktionalität seines Lieblings-Radiosenders installieren oder die Inhalte einer Content-Plattform leichter zugänglich machen. Dadurch reagiert der Sprachassistent auf bestimmte Befehle nicht mehr neutral, sondern „branded“, antwortet also mit der Stimme des Skill-Anbieters. Rechtlich besonders spannend sind andere Formen des „Voice Branding“, die darüber hinausgehen und sich in den Bereich der echten Produktplatzierung bewegen.

Das Thema wird bereits seit 2017 diskutiert, als ein Test des intelligenten Lautsprechers „Google Home“ mit nicht gekennzeichneter Werbung für die Neuverfilmung von „Die Schöne und das Biest“ die Runde machte. Dort spielte das Gerät unverhofft einen kurzen Werbeclip zum Kinostart ab, wenn der Nutzer das Gerät nach den Neuigkeiten des Tages fragte:

https://twitter.com/brysonmeunier/status/842358950536318976

Rechtliche Grenzen des Voice Branding

Im Bereich des Wettbewerbsrechts sind insbesondere die Kennzeichnungspflichten ein Problem: Wie kann man ohne visuelle Hilfen wie „Sternchenangaben“ und „Kleingedrucktes“ die gesetzlich vorgegebenen Mindestangaben machen und redaktionelle Inhalte (also normale Suchergebnisse und objektive Empfehlungen) von „sponsored content“ trennen?

Medienrechtlich waren Sprachassistenten selbst bislang nicht als Presse und auch nicht als Rundfunk einzuordnen – der neue Medienstaatsvertrag möchte jedoch diese Grenze verschieben und die Vorgaben des bisherigen Rundfunkstaatsvertrags auch auf Sprachassistenten als „Benutzeroberflächen“ anwendbar machen. Die Regeln des Telemedienrechts gelten daneben sowieso.

Insbesondere muss Werbung medienrechtlich auch per Sprachassistenten erkennbar sein. Aufgrund der Neuartigkeit des Mediums ist davon auszugehen, dass die Aufsichtsbehörden und auch die Gerichte hier zunächst eher streng herangehen werden. Insbesondere das oben erwähnte Beispiel des Disney-Spots hätte auf jeden Fall recht deutlich gekennzeichnet werden müssen.

Die umfassenden verbraucherschutzrechtlichen Informationspflichten müssen ebenfalls eingehalten werden, auch wenn das im neuen Medium der Sprachassistenten insbesondere beim Abschluss von Verträgen sehr schwierig ist. Das kann unter Umständen dazu führen, dass der Sprachassistent eine ganze Menge an Informationen „abspulen“ muss, so wie man es zum Beispiel aus der Radiowerbung für Pharmazeutika kennt.

Datenschutzrechtlich stellt sich die Frage nach der Rechtsgrundlage für die Verarbeitung von Nutzerprofilen zu Werbezwecken. Hier ist zu beachten, dass die derzeit viel diskutierte „Planet49“-Rechtsprechung nicht greift, da keine Cookies gespeichert werden, sondern das Tracking auf der Grundlage einer Geräte-ID erfolgt. Das bedeutet, dass die Frage allein nach der Datenschutzgrundverordnung zu entscheiden ist und eine Verarbeitung auf der Grundlage berechtigter Interessen des Werbetreibenden (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommt.

Wettbewerbsrechtich müssen die Anbieter von Sprachassistenten schließlich allen Werbetreibenden einen neutralen Zugang zu ihrer Plattform gewähren.

Fazit

Die rechtlichen Probleme sind hinlänglich bekannt – wie sie jedoch praktisch umgesetzt werden können, ohne den Nutzer nicht zu vergraulen, ist bislang offen. Abzwarten ist auch die weitere Entwicklung hinsichtlich des Medienstaatsvertrags, der immer noch nicht ratifiziert ist, und der weiterhin nur als Entwurf vorliegenden ePrivacy-Verordnung. Auch in technischer Hinsicht wird sich hier sicher noch viel verändern und zusätzlich zu den hier diskutierten Möglichkeiten sind sicherlich weitere neue Werbeformen denkbar.