Brandaktuell: EuGH erklärt EU-US Privacy Shield für unwirksam – was bedeutet das für die Praxis?

Mit einem lang erwarteten Urteil hat der Europäische Gerichtshof (EuGH) eine der in der Praxis wichtigsten Rechtsgrundlagen für die Übermittlung personenbezogener Daten in die USA recht überraschend für nichtig erklärt.

Dies betrifft potenziell jedes Unternehmen, das datenverarbeitende Geschäftspartner in den USA hat, seien es Dienstleister/Lieferanten oder Kunden.

Zum Hintergrund:

Laut der EU-Datenschutz-Grundverordnung (DSGVO) sind Datenübermittlungen in Länder außerhalb der EU (sog. Drittländer) nur erlaubt, wenn dieses Land über ein angemessenes Datenschutzniveau verfügt oder bestimmte Garantien vorliegen.

Die in der Praxis relevanten Fälle sind:

  • Feststellung eines angemessenen Datenschutzniveaus durch die EU-Kommission
    Dieser so genannte Angemessenheitsbeschluss besteht aktuell für 12 Länder.
    Zusätzlich wurde die Angemessenheit auch für Datenübermittlungen an US-Unternehmen angenommen, wenn sich diese auf Grundlage des EU-US Privacy Shields zur Einhaltung des EU-Rechts verpflichtet haben.
  • Abschluss von Standarddatenschutzklauseln
    Diese wurden als Standardvertragsklauseln von der EU-Kommission bereits genehmigt und müssen unverändert durch beide Seiten unterzeichnet werden.
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules / BCR)
    BCR können durch Unternehmen oder eine Unternehmensgruppe selbst erstellt werden, bedürfen jedoch der Genehmigung durch die zuständige Aufsichtsbehörde.
     

Datenübertragungen in die USA können nun nicht mehr auf den EU-US Privacy Shield gestützt werden.
Die ausschließlich darauf basierende Übermittlung personenbezogener Daten in die USA muss nach Ansicht der Datenschutzkonferenz (s. Pressemitteilung v. 28.07.2020) unverzüglich eingestellt werden.[1]

Der Hauptgrund dafür sind die weitgehenden Überwachungsbefugnisse einiger US-Behörden. Diese dürfen auch ohne einen richterlichen Beschluss auf die Daten ausländischer Nutzer, die bei US-Unternehmen verarbeitet werden, zugreifen. Den Betroffenen steht dagegen kein wirksamer Rechtsschutz zur Verfügung.

Allerdings wäre nach dem EuGH auch beim Einsatz von Standarddatenschutzklauseln durch das verantwortliche Unternehmen bzw. seinen Auftragsverarbeiter, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vorgaben der Standarddatenschutzklauseln und damit ein gleichwertiges Datenschutzniveau einzuhalten.

Insofern stellt sich wiederum die Frage, ob nicht dieselben Gründe, die durch den EuGH für die Unwirksamkeit des EU-US Privacy Shields herangezogen wurden, auch im Rahmen der Standarddatenschutzklauseln dazu führen, dass deren Vorgaben auf Grund der Überwachungsbefugnisse und Zugriffsrechte der US-Nachrichtendienste und Sicherheitsbehörden eben nicht sichergestellt werden können. Denn während diese Klauseln für den in der Union ansässigen Verantwortlichen und den in einem Drittland ansässigen Empfänger der Übermittlung personenbezogener Daten verbindlich sind, können sie die Behörden dieses Drittlands nicht binden, da diese nicht Vertragspartei sind.

So ist es nachvollziehbar, dass die Datenschutzkonferenz in der o.g. Pressemitteilung das EuGH Urteil dahingehend auslegt, dass bei Datenübermittlungen in die USA Standarddatenschutzklauseln und BCR ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichen.
Auch der europäische Datenschutzausschuss ist hier recht eindeutig:  Demnach ist eine Datenübermittlung, bei der das gleichwertige Datenschutzniveau auch mit zusätzlichen Maßnahmen nicht sichergestellt werden kann, einzustellen oder die zuständige Aufsichtsbehörde zu benachrichtigen.[2]

Auswirkungen auf die Praxis – Was sollten Unternehmen jetzt tun?

Nun sind sowohl der EuGH als auch die Datenschutzkonferenz und der Europäische Datenschutzausschuss in ihren Ausführungen sehr eindeutig (s.o.). Leider lassen die bisherigen Einlassungen konkrete und für Unternehmen in der Praxis umsetzbare Vorschläge und Handlungsempfehlungen vermissen.  

Folgende Empfehlungen haben wir daher zusammengetragen:

  • Unternehmen sollten sich zeitnahe einen Überblick verschaffen, welche Datentransfers tatsächlich nur auf Grundlage des EU-US Privacy Shields erfolgen und welche (auch) auf Basis der Standarddatenschutzklauseln oder auf Basis von anderen Garantien stattfinden.
  • In Drittstatten, wie z.B. den USA, in denen die in den Standarddatenschutzklauseln oder BCR vereinbarten Garantien in der Praxis durch den Empfänger nicht verwirklicht werden können, sollte ausgehend von den Umständen der Übermittlung geprüft werden, ob bzw. welche zusätzlichen Maßnahmen ergriffen werden können, um ein dem Schutzniveau in der EU im Wesentlichen gleichwertiges Schutzniveau sicherzustellen.
  • Kann ein angemessenes Schutzniveau auch mit zusätzlichen Schutzmaßnahmen nicht erreicht werden (und greifen auch keine anderen Ausnahmen gem. Art. 49 DSGVO), sollte geprüft werden, ob die (vorläufige) Aussetzung der Datenübertragung möglich und zweckdienlich ist. Dabei sollten die oben dargestellten Positionierungen berücksichtigt werden.
  • Bestehende Auftragsverarbeitungsverträge sollten im Hinblick auf die Datenverarbeitungen in Drittländern überprüft werden. Verarbeitet der Auftragnehmer oder sein Subunternehmer Daten in einem Drittland, sollte mit diesem eine Anpassung des Auftragsverarbeitungsvertrages abgestimmt werden. 
  • Möglicherweise kommt auch ein Wechsel des Dienstleisters oder zumindest des Rechenzentrum-Standortes in Betracht, so dass die Daten nur innerhalb der EU oder in einem Staat mit angemessenem Datenschutzniveau verarbeitet werden. Jedenfalls empfiehlt es sich, die aktuelle Entscheidung des EuGH bei der Auswahl neuer Dienstleister zu berücksichtigen.
     

Fazit 

Der Datenaustausch mit US-Unternehmen ist nun in der Praxis komplizierter geworden. Eine Übergangszeit ist angesichts der nun auch vorhandenen Positionierung der Datenschutzkonferenz und des Europäischen Datenschutzausschusses nicht zu erwarten. Unternehmen sollten daher die dargestellten Informationen und Empfehlungen berücksichtigen.

Verbindliche Aussagen dazu, inwiefern Aufsichtsbehörden direkt zu Sanktionen, wie z.B. Übermittlungsverboten oder auch Bußgeldern greifen, können zum jetzigen Zeitpunkt nicht getätigt werden.

Auch den Datenschutzexperten der CCS ist klar, dass die aktuelle Situation hinsichtlich der Datenübermittlung in die USA sowie die spärlichen bis nicht vorhandenen Empfehlungen der Behörden nicht zufriedenstellend sind. Wir werden daher die aktuellen politischen Entwicklungen und zu erwartenden, weiteren Stellungnahmen der deutschen Aufsichtsbehörden weiter im Auge behalten.