Sicherer Hafen adé – Privacy Shield über Bord! 

Update: 21. Juli 2020

Europäischer Datenschutzausschuss (EDPB) und deutsche Datenschutzbehörden äußern sich zum aktuellen EuGH Urteil über die Ungültigkeit des EU-US Privacy Shields und geben erste konkrete Hinweise zur alternativen Verwendung der EU-Standardvertragsklauseln.

In der vergangenen Woche entschied der Europäische Gerichtshof (EuGH) in der Rechtssache C-311/18 – Datenschutzbeauftragter gegen Facebook Ireland und Maximillian Schrems („Schrems II“). In seiner Entscheidung erklärte der EuGH u.a. das „EU-US Privacy Shield Abkommen“ für ungültig und machte eine alternative Verwendung der EU-Standardvertragsklauseln von bestimmten Voraussetzungen abhängig.

Nun haben sich sowohl der EDPB, als auch die ersten deutschen Datenschutzbehörden zu dem Urteil des EuGH geäußert. Fest steht, den betroffenen Unternehmen wird der Datentransfer in die USA schwer gemacht.

Europäischer Datenschutzausschuss nimmt Stellung:

Inzwischen hat der EDPB eine Stellungnahme zum Urteil des EuGH abgegeben. In dieser weist er ausdrücklich drauf hin, dass es Aufgabe der Daten übermittelnden Stelle (somit  des Daten-Exporteurs) sei, neben den Standardvertragsklauseln gegebenenfalls weitere zusätzliche Maßnahmen zur Sicherung des europäischen Datenschutzniveaus bei der Datenübermittlung zu treffen, wobei er aktuell noch prüfe, worin solche Maßnahmen bestehen können. Er weist zudem auf die von ihm erlassenen Leitlinien zur Ausnahmevorschrift des Art. 49 DSGVO hin, wonach im Einzelfall und unter bestimmten Voraussetzungen die Übermittlung personenbezogener Daten in die USA zulässig sein kann. Hierbei sollte jedoch berücksichtigt werden, dass die dort aufgelisteten Ausnahmefälle in der Regel eng auszulegen und grundsätzlich nicht auf regelmäßige und wiederkehrende Datenübermittlungen übertragbar sind. Eine eingehendere Bewertung sowie die weitere Bereitstellung von Erläuterungen und Leitlinien für den Einsatz von alternativen datenschutzrechtlichen Instrumenten zur Übermittlung personenbezogener Daten in Drittländer (wie z.B. verbindliche interne Datenschutzvorschriften, sog. Binding Corporate Rules) sollen noch erfolgen.

Die Stellungnahme des EDPB ist derzeit in englischer Sprache hier abrufbar.

Deutsche Aufsichtsbehörden nehmen Prüfpflicht ernst:

Derweil haben bereits die ersten deutschen Aufsichtsbehörden erklärt, dass sie von ihrem Recht zur Überprüfung der Einhaltung des europäischen Datenschutzniveaus im Falle von Datenübermittlungen in die USA und in andere Drittländer Gebrauch machen werden. So hat beispielsweise die Berliner Beauftragte für Datenschutz und Informationssicherheit erklärt, dass die Behörde ihre Prüfpflicht ernst nehme und sie auch bei Übermittlungen von Daten in andere Staaten wie etwa China, Russland oder Indien überprüfen werde, ob dort nicht ähnliche oder gar größere Probleme bestehen.

FAQs - Datenschutzbehörde veröffentlicht Hinweise zur Datenübermittlung in die USA auf Grundlage von Standardvertragsklauseln:

Der rheinland-pfälzische Landesbeauftrage für den Datenschutz und die Informationsfreiheit hat bereits FAQs zum Urteil des EuGH veröffentlicht und erläutert anschaulich, was betroffene Unternehmen nun beachten müssen.

Besonders hervorzuheben ist, dass die Datenschutzbehörde u.a. darauf eingeht, unter welchen Voraussetzungen die Datenübermittlung in die USA auf Grundlage der Standardvertragsklauseln möglich ist. Demnach können die Standardvertragsklauseln insbesondere für eine Datenübermittlung an US-Unternehmen weiterverwendet werden, die nicht dem Foreign Intelligence Surveillance Act (FISA) 702 unterliegen. Dies soll jedoch dann nicht mehr gelten, wenn das Daten importierende Unternehmen Dienstleistungen (z.B. Cloud-Dienste) von Telekommunikationsanbietern in Anspruch nimmt, welche dem FISA unterliegen. Denn in diesem Fall können die US-Sicherheitsbehörden dennoch Zugriff auf die personenbezogenen Daten erhalten.

Die FAQ des rheinland-pfälzischen Landesbeauftragten für Datenschutz und Informationsfreiheit sind hier abrufbar.

Handlungsempfehlung für betroffene Unternehmen:

  • Die Unternehmen sollten zunächst ermitteln, ob sie personenbezogene Daten in ein Land außerhalb der EU bzw. des EWR übermitteln und auf welche datenschutzrechtlichen Instrumente sie den Transfer stützen. Dies kann sowohl den Datentransfers zwischen einzelnen Konzerngesellschaften, einschließlich der konzerninternen Übermittlung von Arbeitnehmerdaten, als auch den Transfers an Dritte, wie z.B. IT und Cloud-Dienstleister, umfassen.
  • Sofern die Datenübermittlung bisher auf der Grundlage des EU-US Privacv Shields erfolgte, muss auf alternative Datenschutzinstrumente zur Gewährleistung eines angemessenen Datenschutzniveaus zurückgegriffen werden.
  • Für den Fall, dass EU-Standardvertragsklauseln als alternatives Datenschutzinstrument eingesetzt werden sollen, muss das betroffene Unternehmen prüfen, ob die Klauseln von dem Daten importierenden Unternehmen eingehalten werden können. Dies schließt auch eine Überprüfung der nationalen Gesetzeslage im Drittland ein. Der Abschluss von EU-Standardvertragsklauseln kommt jedenfalls dann in Betracht, wenn das Daten importierende Unternehmen in den USA nicht dem FISA unterliegt.
  • Als weitere Alternative können sich die betroffenen Unternehmen derzeit noch Binding Corporate Rules von der europäischen Datenschutzbehörde genehmigen lassen. Diese sind nicht unmittelbar von der aktuellen Rechtsprechung des EuGH betroffen.
  • Letztlich können betroffene Unternehmen prüfen, ob sich die jeweilige Datenübermittlung auch auf einen der in Art. 49 DSGVO genannten Ausnahmefälle stützen lässt.
  • Unabhängig von der gewählten Alternative sollten die betroffenen Unternehmen die Stellungnahmen der Datenschutzbehörden sowie des EDPB berücksichtigen und die aktuellen Entwicklungen im Auge behalten.

Tom Kleine Jäger und David Thies
Frankfurt a. M.


Beitrag vom 17. Juli 2020

EuGH erklärt „EU-US Privacy-Shield“ für ungültig; EU-Standardvertragsklauseln sollen weiterhin gelten – aber Vorsicht ist geboten!

Mit seinem Urteil vom 16. Juli 2020 (C - 311/18) hat der Europäische Gerichtshof (EuGH) das „Privacy-Shield-Abkommen“ zwischen den USA und der EU gekippt und dem transatlantischen Datentransfer den Wind aus den Segeln genommen. Dies bedeutet insbesondere für Unternehmen eine Umstellung, die einzig auf Grundlage des Privacy-Shields Daten aus der EU in die Vereinigten Staaten transferieren. Eine Datenübermittlung auf Grundlage der EU-Standardvertragsklauseln ist hingegen weiterhin möglich.

Aber Vorsicht: Der EuGH hat auch hier klargestellt, dass die EU-Standardvertragsklauseln nur dann ausreichende Garantien für den Schutz personenbezogener Daten bieten, wenn sie im jeweiligen Drittland auch eingehalten werden (können) oder der nach der Datenschutz-Grundverordnung (DSGVO) und Grundrechte-Charta erforderliche Schutz der übermittelten Daten anderweitig gewährleistet werden kann. Diese Klarstellung hat auch Folgen für die Übermittlung personenbezogener Daten auf Grundlage der EU-Standardvertragsklauseln in andere Drittländer ohne angemessenes Datenschutzniveau.

Worum ging es?

Nachdem der EuGH bereits im Oktober 2015 das sog. „Safe-Harbor-Abkommen“, für ungültig erklärt hatte (EuGH, Urteil vom 6. Oktober 2015, C – 362/14), musste er sich nun u.a. mit der Frage befassen, ob das hierauf folgende „Privacy-Shield-Abkommen“ ein dem europäischen Datenschutz angemessenes Schutzniveau bietet. Darüber hinaus befasste sich das Gericht mit der Frage, ob die EU-Standardvertragsklauseln gültig sind und den Datentransfer in ein unsicheres Drittland legitimieren können.

Abermals war Auslöser der Entscheidung ein Vorabentscheidungsersuchen des irischen High Court. Dem vorausgegangen war die Beschwerde des österreichischen Staatsangehörigen Max Schrems, der als Facebook-Nutzer die Datenübermittlung von Facebook Ireland an dessen amerikanischen Mutterkonzern beanstandete. Seine ursprüngliche Beschwerde stützte er im Wesentlichen darauf, dass US-Konzerne aufgrund des Rechts und der Praxis der Vereinigten Staaten bestimmten amerikanischen Behörden gegenüber verpflichtet seien, personenbezogene Daten zugänglich zu machen, ohne dass Betroffene hiergegen vorgehen könnten. 

Warum ist das Privacy-Shield-Abkommen ungültig?

Der EuGH kommt zu dem Ergebnis, dass der Privacy-Shield-Beschluss 2016/1250 ungültig ist. In seiner Begründung stellt der EuGH entscheidend darauf ab, dass die Vereinigten Staaten der nationalen Sicherheit, dem öffentlichen Interesse und dem amerikanischen Recht Vorrang einräumen. Dies führt dazu, dass Eingriffe in Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt werden, ermöglicht werden. Erschwerend enthalten die amerikanischen „Überwachungsregelungen“ keine Garantien, die es den betroffenen Personen ermöglichen, einen Rechtsweg zu einem Organ zu beschreiten, das Garantien bietet, die den unionsrechtlichen Garantien gleichwertig sind. Dies umfasst insbesondere solche Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

EU-Standardvertragsklauseln gelten weiterhin – aber Vorsicht ist geboten!

Die EU-Standardvertragsklauseln stehen nach Ansicht des EuGH jedoch im Einklang mit dem EU-Recht. Sie sehen wirksame Mechanismen vor, die in der Praxis gewährleisten, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird. In diesem Zusammenhang betont der Gerichtshof jedoch, dass sowohl der Datenimporteur als auch der Datenexporteuer vorab zu prüfen habe, ob das erforderliche Schutzniveau im Drittland eingehalten werden könne. Insbesondere müsse der Empfänger mitteilen, wenn er die Standardschutzklauseln nicht einhalten könne. 

Besonderes Augenmerk ist auch auf die Aussage des EuGH zu werfen, dass die zuständige Aufsichtsbehörde eine auf die Standardvertragsklauseln gestützte Übermittlung personenbezogener Daten gemäß Art. 58 Abs. 2 f und j DSGVO auszusetzen oder zu verbieten hat, wenn sie der Auffassung ist, dass die Klauseln im jeweiligen Drittland nicht eingehalten werden bzw. nicht eingehalten werden können.

Was folgt aus der Entscheidung des EuGH?

Eine einzig auf dem Privacy-Shield basierende Datenübermittlung in die USA ist nun unzulässig. Betroffene Unternehmen sollten daher alsbald die entsprechenden EU-Standardvertragsklauseln abschließen, um ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleisten zu können. Dennoch müssen die Unternehmen darauf achten, dass die Klauseln auch eingehalten werden (können).

Die Entscheidung des EuGH über die Standardvertragsklauseln betrifft hingegen nicht nur die Übermittlung in die USA, sondern hat auch Folgen für die Übermittlung personenbezogener Daten in andere Drittländer ohne angemessenes Datenschutzniveau. Abzuwarten bleibt insbesondere, inwieweit die Aufsichtsbehörden von ihrem Prüfungsrecht Gebrauch machen und in welchen Ländern sie eine Einhaltung der EU-Standardvertragsklauseln und des erforderlichen Datenschutzniveaus für nicht möglich erachten.

Das Urteil des EuGH kann hier abgerufen werden.

Tom Kleine Jäger und David Thies
Frankfurt a. M.