Globaler Datenschutz - FAQ zu Schrems

Dieses FAQ befasst sich mit häufig gestellten Fragen zu internationalen Datenübermittlungen nach dem kürzlich ergangenen Urteil des Europäischen Gerichtshofs (EuGH) zu einem Fall, in dem es um Datenübermittlungen von der EU in die USA ging (so genanntes „Schrems-II“-Urteil). In seinem Urteil (i) erklärte der EuGH den Beschluss 2016/1250 der Europäischen Kommission für ungültig. Dieser Beschluss bildete die Rechtsgrundlage für das EU-US Privacy Shield (EU-US-Datenschutzschild), welches als ein möglicher Mechanismus für die rechtmäßige Übermittlung personenbezogener Daten aus der EU in die USA diente. Zudem (ii) bestätigte der EuGH die Gültigkeit von Standardvertragsklauseln, die als ein weiteres Instrument für Datenübermittlungen in die USA (und andere Länder) dienen, und (iii) macht einige weitere allgemeine Aussagen zu den Anforderungen an internationale Datenübermittlungen.

Mit unseren Antworten auf die folgenden häufig gestellten Fragen (FAQ) möchten wir die Auswirkungen dieses Urteils auf internationale Datenübermittlungen von der EU in andere Länder und auf Ihr Verhältnis zu Nuance beleuchten. Im Ergebnis hindert Sie das Schrems-II-Urteil nicht daran, die Produkte und Dienste von Nuance weiterhin zu nutzen.

Frage 1: Was ist das Schrems-II-Urteil?

Am 16. Juli 2020 erließ der EuGH ein Urteil in einem Rechtsstreit zwischen der irischen Datenschutzbeauftragten, Facebook Ireland Limited und dem Facebook-Nutzer Maximilian Schrems, in dem es um internationale Datenübermittlungen durch Facebook ging (so genanntes „Schrems-II“-Urteil). Die Aussagen, die der EuGH in dem Urteil getroffen hat, sind nicht auf Facebook beschränkt. Sie sind potenziell für sämtliche international tätige Organisationen relevant und haben daher viel Aufmerksamkeit erregt.

Schrems-II schließt sich an das EuGH-Urteil vom Oktober 2015 in einem verwandten Streitfall zwischen Maximilian Schrems und der irischen Datenschutzbeauftragten an, welcher Datenübermittlungen durch Facebook betraf („Schrems-I“). Hintergrund ist, dass das EU-Datenschutzrecht den Verkehr der Daten seiner Bürger außerhalb der EU einschränkt, es sei denn, die Daten werden mit „geeigneten“ Schutzvorkehrungen übermittelt. Im Juli 2000 entschied die Europäische Kommission, dass US-Unternehmen sich durch die Verpflichtung zu sieben Datenschutzgrundsätzen selbst zertifizieren können („Safe Harbour-Entscheidung“). Hierdurch sollte der freie Datenfluss zwischen der EU und den USA ermöglicht werden. In Schrems-I urteilte der EuGH, dass das EU-US-Abkommen zu Safe Harbour keinen adäquaten Mechanismus zur Datenübermittlung in die USA darstellt. Nachdem Safe Harbour für ungültig erklärt worden war, schlossen die EU und die USA eine neue Vereinbarung. Ein Schwerpunkt dieser Vereinbarung lag auf den Betroffenenrechten, wodurch der für eine Datenübermittlung erforderliche Schutz gewährleistet werden sollte. Dieses so genannte „Privacy Shield“ war Gegenstand des Schrems-II-Urteils.

Im Hintergrund des Schrems-II-Urteils steht die Datenschutz-Grundverordnung der EU („DSGVO“), die das Recht der EU zur Datenverarbeitung enthält. Nach der DSGVO können personenbezogene Daten (d.h. Daten, die sich auf natürliche Personen beziehen) ohne nationale Grenzen zwischen den Mitgliedstaaten der Europäischen Union und des Europäischen Wirtschaftsraums fließen. Personenbezogene Daten können auch „ungehindert“ in Länder außerhalb der EU und des EWR fließen, wenn die EU zu dem Schluss gekommen ist und entschieden hat, dass das Datenschutzrecht in diesen Ländern „angemessen“, also dem der EU ähnlich ist. Die EU hat dies nur für sehr wenige Länder entschieden, zum Beispiel für die Schweiz und Japan. Wenn personenbezogene Daten in Länder übermittelt werden sollen, die von der EU (noch) nicht als „angemessen“ eingestuft wurden, sind zusätzliche Maßnahmen erforderlich. Bis zum Schrems-II-Urteil galten die Vereinigten Staaten für diejenigen Unternehmen, die nach dem Privacy Shield zertifiziert waren und sich an dessen Regeln hielten, als Land mit angemessener Rechtsordnung. Neben der Feststellung der Angemessenheit durch die EU-Kommission sieht die DSGVO weitere Mechanismen zur Datenübermittlung vor, darunter Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften, Zertifizierungen, Verhaltensregeln und gesetzliche Ausnahmen.

Mit dem Schrems-II-Urteil hat der EuGH das EU-US Privacy Shield als Rechtfertigung von Übermittlungen in die USA für ungültig erklärt. Die Nutzung anderer Mechanismen bleibt jedoch möglich. Insbesondere die EU-Entscheidungen zu Standardvertragsklauseln bleiben gültig und der EuGH hat bestätigt, dass Standardvertragsklauseln weiterhin als Grundlage für internationale Datenübermittlungen dienen können. Nuance verwendet Standardvertragsklauseln. Internationale Datenübermittlungen durch Sie an Nuance oder von Nuance an andere sind daher weiterhin möglich.

In seiner Entscheidung hat der EuGH auch einige allgemeinere Aussagen zu internationalen Datenübermittlungen in die USA und andere Länder getroffen. Der EuGH hat solche internationalen Übermittlungen nicht verboten, jedoch verlangt, dass die Unternehmen weitere Analysen vornehmen und möglicherweise weitere Maßnahmen im Zusammenhang mit den Übermittlungen treffen. Nuance tut dies auf gründliche Weise.

Frage 2: Verhindert das Urteil, dass Sie die Produkte und Dienste von Nuance nutzen?

Nein, tut es nicht. Die Technologie von Nuance kann weiterhin im Einklang mit europäischem Recht eingesetzt werden. Das Schrems-II-Urteil schränkt Ihre Nutzung der Produkte und/oder Dienste von Nuance rechtlich nicht ein.

Nuance hatte das Privacy Shield als Mechanismus für die Übermittlung von personenbezogenen Daten aus der EU zur Verarbeitung in den USA eingesetzt. Das Privacy Shield ist durch das Urteil für ungültig erklärt worden. Nuance nutzt jedoch auch Standardvertragsklauseln, die einen weiteren und ausreichenden Mechanismus für die Übermittlung personenbezogener Daten von der EU in andere Länder darstellen. Standardvertragsklauseln bleiben nach dem Urteil weiterhin gültig (siehe Frage 1 für nähere Informationen).

Zusammen mit insgesamt über 5.300 Organisationen, die das Privacy Shield genutzt haben, um die Daten von Millionen Europäern rechtmäßig zu verarbeiten, hat sich Nuance auf das Privacy Shield gestützt. Nichtsdestotrotz hat Nuance, um den Wünschen einiger Kunden nachzukommen und im Hinblick auf das anstehende Urteil zum Privacy Shield, bereits andere Mechanismen für Datenübermittlungen in die USA eingesetzt, nämlich Standardvertragsklauseln.

In seinem Urteil in der Rechtssache Schrems-II äußerte der EuGH auch einige allgemeine Bedenken hinsichtlich der Übermittlung personenbezogener Daten in die USA und andere Länder, deren Datenschutzrecht seiner Ansicht nach dem der EU nicht ähnlich ist. Der EuGH hat jedoch Datenübermittlungen in die USA oder in andere Länder nicht verboten. Er verlangt von den Unternehmen, sorgfältiger zu prüfen, ob und unter welchen Umständen personenbezogene Daten international übermittelt werden können. Dies umfasst auch die Prüfung, ob zusätzliche Schutzmaßnahmen (wie eine stärkere Verschlüsselung) ergriffen werden können.

Der Schutz der personenbezogenen Daten seiner Kunden, Geschäftspartner und Mitarbeiter ist für Nuance seit jeher von zentraler Bedeutung. So wendet Nuance beispielsweise strenge vertragliche und organisatorische Schutzvorkehrungen an, sowie technische Maßnahmen, etwa eine robuste Verschlüsselung. Außerdem können viele Nuance-Produkte in einer Weise verwendet werden, die keinerlei Identifizierung von Personen beinhaltet. Nuance prüft nun sorgfältig, ob es gemäß dem Schrems-II-Urteil weitere oder alternative Schutzmaßnahmen anwenden kann. Industrie und Datenschutzbehörden sind sich einig, dass das internationale Geschäft weiter funktionieren kann und muss. In besonders sensiblen Bereichen wie dem Gesundheitswesen oder bei Finanzdienstleistungen ist der Austausch von Daten unerlässlich. Nuance wird dafür sorgen, dass Kunden, auch nach dem Schrems-II-Urteil, unter Einhaltung der geltenden Datenschutzgesetze in den Genuss des hohen Niveaus der von Nuance in der Vergangenheit angebotenen Produkte und Dienste kommen.

Frage 3: Hat das Schrems-II-Urteil Auswirkungen darauf, wie Nuance meine personenbezogenen Daten verarbeitet?

Es gibt keine unmittelbaren Auswirkungen des Urteils auf die Produkte und Dienste von Nuance (siehe Q2). Durch das Urteil wurde das Privacy Shield für ungültig erklärt, aber andere von Nuance eingesetzte Mechanismen (wie Standardvertragsklauseln) bleiben weiterhin gültig.

Um dem Urteil Rechnung zu tragen, prüft Nuance jedoch, ob es den Schutz der personenbezogenen Daten seiner Kunden, Geschäftspartner und Mitarbeiter weiter verbessern kann. Nuance beobachtet zudem aktiv die aktuellen Entwicklungen sowie die künftigen Leitlinien der lokalen EU-Datenschutzbehörden hinsichtlich möglicher weiterer Schutzmaßnahmen.

Frage 4: Werden meine personenbezogenen Daten in Länder außerhalb der EU übermittelt?

Dies hängt von den Diensten ab. Viele Dienste von Nuance können so genutzt werden, dass keine personenbezogenen Daten oder keine persönlichen Identifikatoren in Länder außerhalb der EU übermittelt werden. Bei bestimmten Diensten und unter bestimmten Umständen werden personenbezogene Daten in Länder außerhalb der EU übermittelt. Dies geschieht jedoch im Einklang mit bewährten Verfahren und europäischem Recht.

Personenbezogene Daten von Kunden aus der EU, dem EWR, Großbritannien und der Schweiz werden in der EU und in Großbritannien auf sicheren Servern gespeichert. Der Zugriff von außerhalb der EU, des EWR, Großbritannien und der Schweiz erfolgt nur für bestimmte Dienste und nur unter bestimmten, nach der DSGVO und europäischem Recht legitimen Umständen. Solche Übermittlungen basieren auf Mechanismen, die durch das Schrems-II-Urteil nicht für ungültig erklärt wurden und daher weiterhin genutzt werden können (siehe Q1 und Q2 für nähere Informationen).

Frage 5: Kann Nuance weiterhin personenbezogene Daten zwischen der EU und den USA übermitteln?

Ja. Datenübermittlungen sind weiterhin zulässig.

Nach dem Datenschutzrecht der EU muss für die Übermittlung personenbezogener Daten von der EU in Länder ohne angemessene Rechtsordnung, so genannte „Drittstaaten“, ein geeigneter Mechanismus vorliegen. Bis zum EuGH-Urteil wurden die Vereinigten Staaten als Land mit angemessener Rechtsordnung angesehen, solange das Unternehmen unter dem Privacy Shield zertifiziert war. Seit dem Urteil wendet Nuance andere geeignete Mechanismen an, so dass die Datenübermittlungen, wie oben näher erläutert, fortgesetzt werden können (siehe Frage 1 und Frage 2).

Frage 6: Was unternimmt Nuance zum Schutz meiner personenbezogenen Daten?

Nuance nimmt den Schutz personenbezogener Daten und die IT-Sicherheit unserer Produkte und Dienste sehr ernst und arbeitet kontinuierlich und proaktiv an deren Verbesserung.

Die personenbezogenen Daten unserer Kunden und andere von Nuance verarbeitete personenbezogene Daten werden weltweit gemäß den geltenden Datenschutzgesetzen, einschließlich der DSGVO, geschützt. In diesem Zusammenhang verpflichtet sich Nuance insbesondere:

Frage 7: Wird Schrems-II Datenübermittlungen aus Großbritannien in die USA beeinflussen?

Die britische Datenschutzbehörde („ICO“) prüft derzeit ihre Leitlinien zum Privacy Shield und zu Standardvertragsklauseln. Doch selbst wenn Großbritannien das Privacy Shield so wie die EU für ungültig erklärt, können die Produkte und Dienste von Nuance in Großbritannien ebenso, wie in der EU auf Basis anderer Mechanismen genutzt werden (siehe Frage 1 und 2 für nähere Informationen).

Frage 8: Wohin kann ich mich wenden, wenn ich weitere Fragen habe?

Sie können Ihren Nuance Ansprechpartner kontaktieren oder sich an unser Datenschutzteam wenden unter privacy@nuance.com.