EuGH kippt Privacy Shield für Datentransfer in die USA

Mit seinem Urteil vom 16.7.2020 (Rechtssache C-311/18, Schrems II) erklärt der EuGH den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA für ungültig. Auch zu den Standarddatenschutzklauseln äußert sich der EuGH.

Der EuGH hält die Angemessenheit des Datenschutzniveaus nach Art. 45 DSGVO in den USA nicht für gegeben. Es fehlt an geeigneten Garantien, durchsetzbaren Rechten und wirksamen Rechtsbehelfen gegen nachrichtendienstliche Aufforderungen zur Herausgabe von personenbezogenen Daten von EU-Bürgern, die in den USA verarbeitet werden bzw. dorthin übermittelt werden. Der im Privacy Shield vorgesehene Ombudsmann bietet keinen ausreichenden Schutz gegen die Nachrichtendienste.

Die Ungültigkeit des Angemessenheitsbeschlusses der EU-KOM gilt mit sofortiger Wirkung, sodass keine Datenübermittlung in die USA mehr auf den Privacy Shield gestützt werden kann.

Die Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c DSGVO bieten eine Möglichkeit. Allerdings setzen auch sie eine Angemessenheit des Datenschutzniveaus voraus. Können die Klauseln, die die EU-KOM verabschiedet hat, dies im Einzelfall nicht garantieren, müssen zusätzliche Vereinbarungen zwischen dem Datenexporteur in der EU und dem Datenimporteur in den USA getroffen werden. Für die Notwendigkeit weiterer Vereinbarungen mit US-amerikanischen Geschäftspartnern spricht nach dem Urteil des EuGH sehr viel. Wie das angesichts der Rechtslage bzgl. der Nachrichtendienste in den USA funktionieren soll, ist aber sehr fraglich. Die Aufsichtsbehörden können die Übermittlung aufgrund der Standarddatenschutzklauseln untersagen, wenn sie der Meinung sind, dass die Angemessenheit nicht gewährleistet ist. Das gilt nicht nur für die USA, sondern betrifft alle Drittländer, in die auf Basis der Klauseln personenbezogene Daten übermittelt werden (z. B. China, Russland, Indien).

Art. 49 DSGVO enthält etliche Ausnahmen von der Vorlage formaler Klauseln oder Angemessenheitsbeschlüssen. Unternehmen sollten daher prüfen, ob ihre Datenübermittlung unter diese Ausnahmen fallen könnte.

Anhand des Verarbeitungsverzeichnisses sollte geprüft werden, welche Dienstleister personenbezogene Daten in Drittländern verarbeiten.

Die bisher hierfür genutzten Garantien müssen überprüft und ggf. ersetzt werden.

In Absprache mit den US-amerikanischen Geschäftspartnern muss geklärt werden, welche konkreten nachrichtendienstlichen Regelungen bestehen und inwieweit das Unternehmen diesen unterliegt.

Generell muss das Haftungsrisiko, das durch die Entscheidung des EuGH eingetreten ist, bewertet werden.

Wie und wann ein „Ersatz“ für die Privacy Shield-Vereinbarung verhandelt werden wird, ist nicht abzusehen. Wegen der bevorstehenden Wahlen in den USA und der vorhandenen nachrichtendienstlichen Rechtslage kann das einige Zeit dauern.