Update: 21. Juli 2020
In der vergangenen Woche entschied der Europäische Gerichtshof (EuGH) in der Rechtssache C-311/18 – Datenschutzbeauftragter gegen Facebook Ireland und Maximillian Schrems („Schrems II“). In seiner Entscheidung erklärte der EuGH u.a. das „EU-US Privacy Shield Abkommen“ für ungültig und machte eine alternative Verwendung der EU-Standardvertragsklauseln von bestimmten Voraussetzungen abhängig.
Nun haben sich sowohl der EDPB, als auch die ersten deutschen Datenschutzbehörden zu dem Urteil des EuGH geäußert. Fest steht, den betroffenen Unternehmen wird der Datentransfer in die USA schwer gemacht.
Inzwischen hat der EDPB eine Stellungnahme zum Urteil des EuGH abgegeben. In dieser weist er ausdrücklich drauf hin, dass es Aufgabe der Daten übermittelnden Stelle (somit des Daten-Exporteurs) sei, neben den Standardvertragsklauseln gegebenenfalls weitere zusätzliche Maßnahmen zur Sicherung des europäischen Datenschutzniveaus bei der Datenübermittlung zu treffen, wobei er aktuell noch prüfe, worin solche Maßnahmen bestehen können. Er weist zudem auf die von ihm erlassenen Leitlinien zur Ausnahmevorschrift des Art. 49 DSGVO hin, wonach im Einzelfall und unter bestimmten Voraussetzungen die Übermittlung personenbezogener Daten in die USA zulässig sein kann. Hierbei sollte jedoch berücksichtigt werden, dass die dort aufgelisteten Ausnahmefälle in der Regel eng auszulegen und grundsätzlich nicht auf regelmäßige und wiederkehrende Datenübermittlungen übertragbar sind. Eine eingehendere Bewertung sowie die weitere Bereitstellung von Erläuterungen und Leitlinien für den Einsatz von alternativen datenschutzrechtlichen Instrumenten zur Übermittlung personenbezogener Daten in Drittländer (wie z.B. verbindliche interne Datenschutzvorschriften, sog. Binding Corporate Rules) sollen noch erfolgen.
Die Stellungnahme des EDPB ist derzeit in englischer Sprache hier abrufbar.
Derweil haben bereits die ersten deutschen Aufsichtsbehörden erklärt, dass sie von ihrem Recht zur Überprüfung der Einhaltung des europäischen Datenschutzniveaus im Falle von Datenübermittlungen in die USA und in andere Drittländer Gebrauch machen werden. So hat beispielsweise die Berliner Beauftragte für Datenschutz und Informationssicherheit erklärt, dass die Behörde ihre Prüfpflicht ernst nehme und sie auch bei Übermittlungen von Daten in andere Staaten wie etwa China, Russland oder Indien überprüfen werde, ob dort nicht ähnliche oder gar größere Probleme bestehen.
Der rheinland-pfälzische Landesbeauftrage für den Datenschutz und die Informationsfreiheit hat bereits FAQs zum Urteil des EuGH veröffentlicht und erläutert anschaulich, was betroffene Unternehmen nun beachten müssen.
Besonders hervorzuheben ist, dass die Datenschutzbehörde u.a. darauf eingeht, unter welchen Voraussetzungen die Datenübermittlung in die USA auf Grundlage der Standardvertragsklauseln möglich ist. Demnach können die Standardvertragsklauseln insbesondere für eine Datenübermittlung an US-Unternehmen weiterverwendet werden, die nicht dem Foreign Intelligence Surveillance Act (FISA) 702 unterliegen. Dies soll jedoch dann nicht mehr gelten, wenn das Daten importierende Unternehmen Dienstleistungen (z.B. Cloud-Dienste) von Telekommunikationsanbietern in Anspruch nimmt, welche dem FISA unterliegen. Denn in diesem Fall können die US-Sicherheitsbehörden dennoch Zugriff auf die personenbezogenen Daten erhalten.
Die FAQ des rheinland-pfälzischen Landesbeauftragten für Datenschutz und Informationsfreiheit sind hier abrufbar.
Tom Kleine Jäger und David Thies
Frankfurt a. M.
Beitrag vom 17. Juli 2020
Mit seinem Urteil vom 16. Juli 2020 (C - 311/18) hat der Europäische Gerichtshof (EuGH) das „Privacy-Shield-Abkommen“ zwischen den USA und der EU gekippt und dem transatlantischen Datentransfer den Wind aus den Segeln genommen. Dies bedeutet insbesondere für Unternehmen eine Umstellung, die einzig auf Grundlage des Privacy-Shields Daten aus der EU in die Vereinigten Staaten transferieren. Eine Datenübermittlung auf Grundlage der EU-Standardvertragsklauseln ist hingegen weiterhin möglich.
Aber Vorsicht: Der EuGH hat auch hier klargestellt, dass die EU-Standardvertragsklauseln nur dann ausreichende Garantien für den Schutz personenbezogener Daten bieten, wenn sie im jeweiligen Drittland auch eingehalten werden (können) oder der nach der Datenschutz-Grundverordnung (DSGVO) und Grundrechte-Charta erforderliche Schutz der übermittelten Daten anderweitig gewährleistet werden kann. Diese Klarstellung hat auch Folgen für die Übermittlung personenbezogener Daten auf Grundlage der EU-Standardvertragsklauseln in andere Drittländer ohne angemessenes Datenschutzniveau.
Nachdem der EuGH bereits im Oktober 2015 das sog. „Safe-Harbor-Abkommen“, für ungültig erklärt hatte (EuGH, Urteil vom 6. Oktober 2015, C – 362/14), musste er sich nun u.a. mit der Frage befassen, ob das hierauf folgende „Privacy-Shield-Abkommen“ ein dem europäischen Datenschutz angemessenes Schutzniveau bietet. Darüber hinaus befasste sich das Gericht mit der Frage, ob die EU-Standardvertragsklauseln gültig sind und den Datentransfer in ein unsicheres Drittland legitimieren können.
Abermals war Auslöser der Entscheidung ein Vorabentscheidungsersuchen des irischen High Court. Dem vorausgegangen war die Beschwerde des österreichischen Staatsangehörigen Max Schrems, der als Facebook-Nutzer die Datenübermittlung von Facebook Ireland an dessen amerikanischen Mutterkonzern beanstandete. Seine ursprüngliche Beschwerde stützte er im Wesentlichen darauf, dass US-Konzerne aufgrund des Rechts und der Praxis der Vereinigten Staaten bestimmten amerikanischen Behörden gegenüber verpflichtet seien, personenbezogene Daten zugänglich zu machen, ohne dass Betroffene hiergegen vorgehen könnten.
Der EuGH kommt zu dem Ergebnis, dass der Privacy-Shield-Beschluss 2016/1250 ungültig ist. In seiner Begründung stellt der EuGH entscheidend darauf ab, dass die Vereinigten Staaten der nationalen Sicherheit, dem öffentlichen Interesse und dem amerikanischen Recht Vorrang einräumen. Dies führt dazu, dass Eingriffe in Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt werden, ermöglicht werden. Erschwerend enthalten die amerikanischen „Überwachungsregelungen“ keine Garantien, die es den betroffenen Personen ermöglichen, einen Rechtsweg zu einem Organ zu beschreiten, das Garantien bietet, die den unionsrechtlichen Garantien gleichwertig sind. Dies umfasst insbesondere solche Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.
Die EU-Standardvertragsklauseln stehen nach Ansicht des EuGH jedoch im Einklang mit dem EU-Recht. Sie sehen wirksame Mechanismen vor, die in der Praxis gewährleisten, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird. In diesem Zusammenhang betont der Gerichtshof jedoch, dass sowohl der Datenimporteur als auch der Datenexporteuer vorab zu prüfen habe, ob das erforderliche Schutzniveau im Drittland eingehalten werden könne. Insbesondere müsse der Empfänger mitteilen, wenn er die Standardschutzklauseln nicht einhalten könne.
Besonderes Augenmerk ist auch auf die Aussage des EuGH zu werfen, dass die zuständige Aufsichtsbehörde eine auf die Standardvertragsklauseln gestützte Übermittlung personenbezogener Daten gemäß Art. 58 Abs. 2 f und j DSGVO auszusetzen oder zu verbieten hat, wenn sie der Auffassung ist, dass die Klauseln im jeweiligen Drittland nicht eingehalten werden bzw. nicht eingehalten werden können.
Eine einzig auf dem Privacy-Shield basierende Datenübermittlung in die USA ist nun unzulässig. Betroffene Unternehmen sollten daher alsbald die entsprechenden EU-Standardvertragsklauseln abschließen, um ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleisten zu können. Dennoch müssen die Unternehmen darauf achten, dass die Klauseln auch eingehalten werden (können).
Die Entscheidung des EuGH über die Standardvertragsklauseln betrifft hingegen nicht nur die Übermittlung in die USA, sondern hat auch Folgen für die Übermittlung personenbezogener Daten in andere Drittländer ohne angemessenes Datenschutzniveau. Abzuwarten bleibt insbesondere, inwieweit die Aufsichtsbehörden von ihrem Prüfungsrecht Gebrauch machen und in welchen Ländern sie eine Einhaltung der EU-Standardvertragsklauseln und des erforderlichen Datenschutzniveaus für nicht möglich erachten.
Das Urteil des EuGH kann hier abgerufen werden.
Tom Kleine Jäger und David Thies
Frankfurt a. M.