Christina Maria Schwaiger und Johannes Juranek von CMS über den Handlungsbedarf nach den Urteilen Schrems I und II – und die unterschätzten datenschutzrechtlichen Konsequenzen von Cyberattacken.
Worauf müssen Manager beim internationalen Datenverkehr achten? Was bedeuten die Urteile Schrems I und II in der Praxis?
Johannes Juranek: Nach der Aufhebung des Safe Harbor- und des Privacy Shield-Abkommens durch den EuGH mit den Urteilen Schrems I und II wurde der internationale Datentransfer außerhalb des EWR erheblich erschwert. Damit besteht für Unternehmen großer Handlungsbedarf, denn sie müssen eine Reihe notwendiger datenschutzrechtlicher Zusatzmaßnahmen setzen, um einen legalen Datentransfer in den unsicheren Drittstatt USA sicherzustellen.
Christina Maria Schwaiger: Die wichtigste Frage für Unternehmen lautet: Was mache ich, wenn ich Daten in ein Drittland schicke, in dem es kein der DSGVO angemessenes Datenschutzniveau gibt? Bisher hat es gereicht, sich freiwillig dem Safe Harbor bzw. Privacy Shield als Regime der Selbstzertifizierung zu unterwerfen und die damit erforderlichen datenschutzrechtlichen Anforderungen zuzusichern. Nachdem die Nachfolgeregelung, das Trans-Atlantic Data Privacy Framework auf sich warten lässt, müssen Unternehmen auf alternative Mechanismen für den internationalen Datentransfer zurückgreifen, wie etwa die neuen Standarddatenschutzklauseln der EU-Kommission. Diese erfordern jedoch eine umfangreiche Selbstbewertung und die Umsetzung zusätzlicher, insbesondere technischer Maßnahmen und unterliegen regelmäßigen Kontrollen durch die Datenschutzbehörde.
Warum wurden die bisherigen Abkommen aufgehoben?
Juranek: Die Gründe für die Aufhebung von Privacy Shield lagen unter anderem an den unverhältnismäßigen Beschränkungen der Rechte europäischer Betroffener aufgrund der umfassenden Eingriffsbefugnisse amerikanischer Behörden. Es fehlte außerdem an einer wirksamen Rechtsdurchsetzung, um sich als Nicht-US-Bürger gegen diese Eingriffe zu wehren. Zwar wurden auch im Zuge von Privacy Shield Rechtsdurchsetzungsmechanismen für Nicht-US-Bürger vorgesehen – in der Praxis haben sich diese allerdings als unzureichend erwiesen. Diese Defizite im Rechtsschutz gilt es zu beheben. Es braucht jetzt auch eine effektive Begrenzung der Datenzugriffsmöglichkeiten der US-Behörden im Rahmen von Massenüberwachungen.
Werden diese Probleme mit dem Trans-Atlantic Data Privacy Framework beseitigt?
Juranek: Der Entwurf des Trans-Atlantic Data Privacy Framework wurde noch nicht final beschlossen, wird aber ebenfalls kritisch gesehen. Ob damit tatsächlich alle Probleme beseitigt werden, wird sich zeigen. Lob gibt es etwa für die Aktualisierung der Prinzipien im Rahmen der allgemeinen Datenschutzgrundsätze. Kritisiert werden hingegen weiterhin zu weitgefasste Ausnahmen zum Auskunftsrecht. Insgesamt bedeutet das, dass man sich weiterhin mit zusätzlichen vertraglichen und organisatorischen Maßnahmen behelfen muss, bis das Trans-Atlantic Data Privacy Framework beschlossen wird.
Die aktuelle Situation ist auf jeden Fall heikel: Die USA haben ein Problem mit der Datensicherheit, so hat es der EuGH in seinen Urteilen bestätigt. Wenn ein österreichisches Unternehmen einen Auftragsverarbeitervertrag mit einem US-Provider abschließt und die Daten auf US-Servern und in US-Clouds landen, bestehen Zugriffsmöglichkeiten der US-Behörden und dagegen müssen sich die Unternehmen wehren. Eine Möglichkeit ist, zusätzliche vertragliche und organisatorische Maßnahmen anzuwenden, wobei die Daten verschlüsselt werden und der Schlüssel beim Verantwortlichen in Europa verbleibt. Dies wird als ausreichend angesehen, wenngleich ein Geheimdienst gegebenenfalls in der Lage ist, den Code zu knacken.
Wie reagieren die großen US-Techkonzerne auf die Urteile Schrems I und II?
Juranek: Dass jetzt viele Datenzentren in Europa entstehen sollen, ist eine Folge. Doch für die US-Unternehmen wird es auch nicht einfacher: Es gibt ja in den USA Gesetze wie Patriot Act und Cloud Act. Wenn ein US-Unternehmen eine behördliche Aufforderung bekommt, Daten europäischer Nutzer herauszugeben, kann das Unternehmen – salopp gesagt – nur entscheiden, ob es US-Recht oder europäisches Recht verletzt. US-Unternehmen versuchen daher vielfach, Verträge mit Betroffenen in Europa abzuschließen, die ihnen die Einhaltung „sämtlicher anwendbarer Rechtsvorschriften“ ermöglicht. Somit würde ein europäisches Unternehmen zustimmen, dass auch US-Recht eingehalten wird, was wiederum eine Rechtsverletzung durch das europäische Unternehmen darstellen würde. Letztlich wird man in die Verträge Informationspflichten im Hinblick auf den Beginn behördlicher Untersuchungen sowie die Verpflichtung, Rechtsmittel einzulegen, einbauen müssen. Man kann dadurch aber nur Zeit gewinnen, weswegen zusätzliche organisatorische Maßnahmen wie bspw. eine Verschlüsselung, unumgänglich sein werden.
Schwaiger: Viele Verantwortliche sind der Meinung, dass mit dem Abschluss eines Auftragsverarbeitervertrages mit einem US-Provider sämtliche Pflichten erfüllt sind. Das stimmt deshalb nicht, weil das in der EU ansässige Unternehmen über „Mittel und Zweck der Datenverarbeitung“ bestimmt und sohin im Sinne der Datenschutzgrundverordnung „Verantwortlicher“ ist. Datentransfers ohne gültige Rechtsgrundlage oder Transfermechanismen können dazu führen, dass die Datenschutzbehörde Verbote ausspricht, sohin die Datentransfers untersagt. Darüber hinaus kann das zu Schadenersatzansprüchen und Strafen führen.
Wer haftet – die Geschäftsleitung oder die IT-Verantwortlichen?
Schwaiger: Man geht bei Unternehmen davon aus, dass die Geschäftsleitung die Entscheidung trifft, welche Tools zum Einsatz kommen. Implementiert die Geschäftsleitung keine geeigneten internen Kontroll- und Sicherheitsmaßnahmen, um Missstände im Unternehmen erkennen zu können, spricht man von einem Organisationsverschulden. Die Datenschutzbehörde kann bei Verstößen gegen die entsprechenden Vorschriften unter anderem Strafen aussprechen, wenn ein Organisationsverschulden vorliegt. Im Rahmen der Organisationspflichten sind Policies zu erlassen, die im Unternehmen auch entsprechend zu kommunizieren sind. Andernfalls wird man auch Angestellten keine Vorwürfe machen können, wenn sie keine Orientierungshilfe haben.
Ist es ein Fehler, nach einer Cyberattacke Lösegeld zu zahlen?
Schwaiger: Viele Unternehmen neigen dazu zu zahlen, da sie glauben, damit wieder Kontrolle über die Daten zu bekommen. Es kann aber beispielsweise der Schlüssel zur Datenwiederherstellung beim Abziehen der Daten beschädigt worden sein. In diesem Fall kann das Unternehmen trotz Bezahlung möglicherweise nicht mehr auf seine Daten zugreifen. Weiters stellen sich viele Betroffene die Frage, ob man sich strafbar macht, wenn man Lösegeld bezahlt. Das ist grundsätzlich nicht der Fall, wobei dies allerdings im Einzelfall zu beurteilen sein wird. Wir empfehlen jedenfalls die Einschaltung der Sicherheitsbehörden. In einigen Fällen ist dies sogar eine rechtliche Verpflichtung für das Unternehmen, insbesondere in Versicherungsangelegenheiten. Wenn das Unternehmen den Data Breach an die Polizei meldet, verliert es die Kontrolle über die Kommunikation nach außen und dies kann wiederum zu Reputationsproblematiken führen. In jedem Fall wird aber eine Meldung an die Datenschutzbehörde verpflichtend sein, wenn der Vorfall voraussichtlich zu einem Risiko für die Rechte und Freiheiten von Personen führt. Ist dieses Risiko hoch, werden auch die Personen, deren Daten betroffen sind, zu verständigen sein.
Wie hoch ist der Stellenwert der rechtlichen Beratung in diesem Bereich?
Schwaiger: Sehr hoch, denn eine Beratung kann viele spätere Schäden vermeiden, wobei die Schäden nicht nur finanzieller Natur sind – man denke nur an den Reputationsverlust durch negative PR. Es ist wichtig, schnell zu handeln. Wenn beispielsweise ein Cyberangriff am Wochenende erfolgt, muss trotzdem sofort gehandelt werden. Extrem wichtig ist es auch, den Meldepflichten genau nachzukommen und bereits die Erstmeldung an die Datenschutzbehörde durch einen Rechtsexperten prüfen zu lassen, um sich nicht durch unvorsichtige Formulierungen zusätzlich verantwortlich zu machen, wenn die Datenschutzbehörde im Rahmen der Ermittlungen in Folge andere Missstände im Unternehmen aufdeckt.
Die Methoden der Kriminellen sind außerdem sehr entwickelt – so setzen inzwischen viele Hacker bereits auf KI, um beispielsweise Stimmen zu klonen. Unsere rechtliche Beratung ist daher meistens sehr eng mit der technischen Beratung verbunden und wir schulen unsere Klienten auch auf die aktuellen Gefahren hin, welche mit diesen neuen Technologien verbunden sind.