„Harbors“, „Shields“ und „Frameworks“: Aller guten Dinge sind drei!
Alle kennen es: die Einwilligungsabfragen, die Cookie Banner, die sich bei jedem Öffnen einer Webseite als Erste öffnen. Sehr lang, sehr kompliziert, echtes Kleingedrucktes. Und die Einwilligung wird in regelmäßigen Abständen immer wieder abgefragt. Warum eigentlich? Oft genug um verhaltensbasierte Werbeprofile über den Endnutzer anzulegen und dementsprechende virtuelle Reklamefläche meistbietend in Echtzeit zu versteigern. Das profitable Geschäftsmodell mit dem Datenhandel stammt aus den USA: „Wie wollen Sie ein nachhaltiges Geschäftsmodell aufrechterhalten, wenn Ihre Nutzer nicht für den Dienst bezahlen?“ wurde Mark Zuckerberg, Gründer und Eigentümer von Facebook in einer US-Senatsanhörung gefragt. Zuckerbergs trockene Antwort: „Senator, wir schalten Werbung.“ Professionell Werbung im Internet zu platzieren, benötigt Dienste aus den USA, wie bspw. zur Datenanalyse Google Analytics. Es werden also neben den Einwilligungen in die grundsätzliche Nutzung von Cookies und Drittanbieter-Tools gemäß Art. 6 Abs. 1 lit. a DSGVO, eine (weitere) Einwilligung in den Datentransfer in ein Drittland (hier die USA) gem. Art. 49 Abs. 1 lit. a DSGVO eingeholt. Das geht auch einfacher. Denn ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO oder geeignete Garantien nach Art. 46 DSGVO würden das Einwilligungserfordernis in den transatlantischen Datentransfer entfallen lassen. Solche Angemessenheitsbeschlüsse seitens der EU-Kommission für die USA gab es schon mehrmals.
Safe Harbor aus dem Jahr 2000 wurde vom Europäischen Gerichtshof (EuGH) durch das Schrems-I-Urteil am 6. Oktober 2015 für ungültig erklärt. Die Enthüllungen des NSA-Whistleblower Edward Snowden hatten den österreichische Datenschutzaktivisten Max Schrems zu seiner Beschwerde veranlasst. Snowden enthüllte 2013 die weltweite automatisierte Massenüberwachung durch US-Geheimdienste ohne Rechtsschutzmöglichkeit für die Betroffenen. Auch eine Nachfolgeregelung namens EU-US Privacy Shield aus dem Jahr 2016 wurde am 16. Juli 2020 vom EuGH im Fall Schrems-II für ungültig erklärt. Der EuGH stellte wiederum fest, dass der Rahmen des Datenschutzschilds keinen angemessenen Schutz für die personenbezogenen Daten von EU-Bürgern bot, wenn diese in die USA übermittelt wurden. Im dritten Anlauf veröffentlichte die EU-Kommission im Dezember 2022 einen Entwurf eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA, der am 10.07.2023 als EU-U.S. Data Privacy Framework (DPF) erlassen wurde. Damit wurde gem. Art. 45 DSGVO eine Rechtsgrundlage für Datentransfers in die USA geschaffen.
Mit dem Angemessenheitsbeschluss steht wieder eine unbürokratische Möglichkeit des Datentransfers an US-amerikanische Unternehmen zur Verfügung. Damit eröffnet sich die Möglichkeit für digitale Bildungsangebote, sich grundsätzlich US-amerikanischer Dienstleister einwilligungsfrei für den Endnutzer zu bedienen. Der Abschluss der Standarddatenschutzklauseln der EU-Kommission ist ebenso entbehrlich wie vermutlich die zusätzlich noch erforderliche Durchführung eines sog. Transfer Impact Assessments (TIA ist eine Art Risikobewertung der angestrebten Datenübermittlung: In einer Einzelfallbetrachtung sollen Unternehmen sollen durch die TIA eine eigenständige Analyse des Sicherheitsniveaus des jeweiligen Drittlandes durchführen, in das die Daten übermittelt werden sollen. Dafür gibt es noch kein standardisiertes Verfahren oder Muster.) Das gilt nur, falls der Datenimporteur in den USA nach dem EU-US DPF zertifiziert ist, was über eine entsprechende Liste vom Datenexporteur geprüft werden kann (Liste „Sichere Anbieter“ Angemessenheitsbeschluss). Ist der Datenimporteur entsprechend zertifiziert, bedarf es damit lediglich der Prüfung durch die Anbieter von digitalen Bildungsangeboten, ob grundsätzlich, also losgelöst vom Drittlandbezug eine entsprechende Rechtsgrundlage für den Datentransfer existiert. Der Einhaltung weitergehender Datenschutzgarantien im Hinblick auf den Drittlandtransfer bedarf es nicht.
Der Angemessenheitsbeschluss gilt – wie bereits der vorangegangene Angemessenheitsbeschluss für das EU-U.S. Privacy Shield – nur teilweise und nicht für alle in den USA ansässigen Datenimporteure. Seine Geltung ist gemäß Art. 45 Abs. 1 Satz 1 DSGVO sachlich auf „spezifische Sektoren“ beschränkt (sog. sektoraler Angemessenheitsbeschluss).
Der österreichische Datenschutzaktivist Max Schrems hat bereits angekündigt, erneut zu klagen. Ob der EuGH den Angemessenheitsschluss einstweilig aussetzt vor der Entscheidung in der Hauptsache bleibt abzuwarten. Eine Schrems-III-Entscheidung wird es aber nicht mehr geben. Aufgrund der DSGVO werden die Klägernamen der Entscheidungen pseudonymisiert. Daher ergeben sich folgende Prüfschritte (aus BayLfD: Erste Hilfe Angemessenheitsbeschluss USA, Aktuelle Kurz-Information 51, Rz. 14)
Damit ist die Inanspruchnahme von Clouddienstleistungen von Google oder Amazon aus den USA einwilligungsfrei im Grundsatz möglich und kann von digitalen Bildungsangeboten als Subdienstleister im Rahmen von VIDIS genutzt werden (vorbehaltlich entgegenstehender Landesregelungen). Die Einbindung von Google, Facebook & Co. in ein digitales Bildungsangebot, das im Pflichtunterricht eingesetzt wird, wird dadurch nicht ermöglicht. Diese werbebasierten Dienste benötigen weiterhin eine freiwillige Einwilligung, denn eine Einwilligung im Rahmen eines digitalen Bildungsangebots im Unterricht, dessen Nutzung für die Schülerinnen und Schüler verpflichtend ist, ist nicht freiwillig.