München, 17.07.2020
Mit dem jetzt verkündeten „Schrems II“-Urteil hat der EuGH den Beschluss 2016/1250 „Privacy Shield“ für ungültig und die Übermittlung von personenbezogenen Daten in die USA auf dieser Grundlage damit für unzulässig erklärt. Der Beschluss 2010/87 der Kommission über sog. Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer, eine bisher weit verbreitete Grundlage für den Datentransfer auch in die USA, ist zwar weiterhin gültig. Zweifel bleiben jedoch, ob diese Grundlage noch verlässlich ist.
I. Zweite transatlantische Absprache zum Datenschutz gekippt
Mit seinem Urteil kippt der EuGH bereits den zweiten Versuch, den Datenaustausch zwischen der EU und den USA sicher und verlässlich zu regeln. Bereits im Jahr 2015 hatte das Gericht die „Safe-Harbor“-Entscheidung der Kommission wegen Kompetenzüberschreitungen für ungültig erklärt. Nun hat das als Reaktion auf das Ende von Safe-Harbor ausgehandelte EU-US Privacy Shield das gleiche Schicksal ereilt. Beide Verfahren wurden durch eine Beschwerde des österreichischen Juristen und Datenschutzaktivisten Max Schrems angestoßen. Schrems wollte die Weiterleitung seiner personenbezogenen Daten von Facebook Ireland an Server der Facebook Inc. in den USA verhindern.
II. Schutz vor Zugriff von US-Behörden nicht gewährleistet
Die Übermittlung personenbezogener Daten in ein Drittland – ein Land außerhalb der Europäischen Union bzw. des EWR – ist nach Art. 44 ff. DSGVO nur zulässig, wenn das Datenschutzniveau im Land des Importeurs mit dem der DSGVO vergleichbar ist. Mit dem Beschluss 2016/1250 über die Angemessenheit des vom EU-US Privacy Shield gebotenen Schutzes attestierte die Kommission dem gesamten US-amerikanischen Wirtschaftsraum ein angemessenes Schutzniveau (Art. 45 Abs. 3 DSGVO). Seither ließen sich mehr als 5.000 US-Unternehmen vom Handelsministerium eine entsprechende Bescheinigung bezüglich der Einhaltung der Verpflichtungen zum Datenschutz ausstellen und schafften damit eine Grundlage für den Import personenbezogener Daten in die USA.
Seine jüngste Entscheidung begründet der EuGH insbesondere mit den Zugriffsmöglichkeiten amerikanischer Behörden auf personenbezogene Daten. Unternehmen in den USA sind etwa auf Basis von Section 702 des Foreign Intelligence Surveillance Act (FISA) verpflichtet, US-Behörden vorhandene Informationen, und damit auch personenbezogene Daten, zugänglich zu machen. Da auf amerikanische Rechtsvorschriften gestützte Eingriffsbefugnisse der Behörden in diesem Kontext nicht auf das zwingend erforderliche Maß beschränkt sind, sieht das Gericht den Grundsatz der Verhältnismäßigkeit verletzt.
Jedes Unternehmen, das beim „Export“ von Daten auf den Privacy Shield vertraute, muss nun den Datentransfer beenden. Es fehlt die rechtliche Grundlage für einen legalen Datentransfer.
III. Standardvertragsklauseln weiter zulässig?
Die grundsätzliche Zulässigkeit der alternativ zum Privacy Shield verwendbaren EU-Standardvertragsklauseln hat der EuGH bestätigt. Deren Verwendbarkeit hängt allerdings davon ab, dass der Importeur der Daten im Drittland hinreichende Garantien dafür geben kann, dass das nach der DSGVO erforderliche Schutzniveau gewährleistet werden kann. Der EuGH hat zwar in seinem jetzigen Urteil keine Aussage dazu getroffen, dass die EU-Standardvertragsklauseln für einen Datenverkehr zwischen der EU und den USA nicht verwendet werden dürfen; er hat jedoch dargestellt, dass die jeweiligen nationalen Aufsichtsbehörden zu prüfen und sicherzustellen haben, dass bei ihrer Anwendung das nach der DSGVO erforderliche Schutzniveau gewährleistet wird. Hierbei kann durchaus eine Rolle spielen, dass Datenimporteure in den USA gerade aufgrund der oben genannten Eingriffsbefugnisse von US-Behörden die Einhaltung des zusätzlich zu den Standardvertragsklauseln geforderten Datenschutzniveaus nicht gewährleisten können. Es bleibt zwar abzuwarten, wie nun die jeweiligen nationalen Aufsichtsbehörden reagieren; es kann jedoch nach den deutlichen Ausführungen des EuGH zumindest nicht ausgeschlossen werden, dass Datenübermittlungen auch auf Grundlage der EU-Standardvertragsklauseln in die USA als unzulässig betrachtet werden und ein Datenaustausch auf ihrer Grundlage damit einen Verstoß gegen die DSGVO darstellen könnte, der mit einem Bußgeld belegt werden kann. Datenschutzbehörden hätten auch die Möglichkeit, einen Datentransfer in die USA zu untersagen. Und für Datenexporte in andere Länder werden Unternehmen überprüfen müssen, wie sich die jeweilige nationale Rechtslage darstellt.
IV. Empfehlung
Unternehmen, welche ihre Datentransfers ausschließlich auf den Privacy-Shield stützen, müssen die Datenübermittlung von personenbezogenen Daten auf dieser Grundlage sofort einstellen.
Bei einer Datenübermittlung auf Grundlage der EU-Standardvertragsklauseln haben Datenexporteur und Empfänger der Daten vorab oder nun sofort zu prüfen, ob das erforderliche Schutzniveau gewährleistet werden kann. Sollte dies nicht der Fall sein, hat der Übermittler – nach Prüfung ob andere Rechtsgrundlagen bestehen – als Verantwortlicher im Sinne der DSGVO die Übermittlung zu unterlassen.
Es scheint möglich, dass die Aufsichtsbehörden das Schutzniveau der USA generell als unzureichend einstufen werden. Zu Vermeidung von Bußgeldern nach der DSGVO kann daher durchaus eine zumindest vorübergehende Aussetzung der Übermittlung angezeigt sein, bis es belastbare Reaktionen der zuständigen Aufsichtsbehörden gibt. Und es muss geprüft werden, ob weitere Grundlagen für einen Datentransfer, etwa Einwilligungen oder verbundliche Unternehmensregelungen sowie gesetzliche Erlaubnisse, in Betracht kommen.
In jedem Fall ist zu empfehlen, jede nicht für den Fortbestand des Unternehmens zwingende Datenübermittlung von personenbezogenen Daten in die USA einzustellen, insbesondere also nützliche, aber nicht notwendige Anwendungen wie Tracking Tools, Like-Buttons o. ä..
