Datenschutz

Europäischer Gerichtshof erklärt EU-US Privacy Shield für unwirksam

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 (Rechtssache C-311/18, Schrems II) die EU-US-Datenschutzvereinbarung Privacy Shield für Datenübermittlungen gekippt. Zugleich hat das Gericht die Standardvertragsklauseln für Auftragsverarbeiter in Drittländern aufrechterhalten, aber den Anwendern der Klauseln jedoch weitergehende Prüfpflichten auferlegt.
Dies hat zur Folge, dass Datenübermittlungen in die USA, die allein auf der Grundlage des Privacy Shields erfolgt sind, jetzt rechtswidrig sind. Dies dürfte für die Wirtschaft weitreichende Auswirkungen haben, da durch das Urteil eine nicht unbedeutende Rechtsunsicherheit entsteht.

Worum geht es?

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet (Art. 45 DSGVO).
Hierzu hat die Europäische Kommission am 12. Juli 2016 den Durchführungsbeschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild (Privacy Shield) gebotenen Schutzes, erlassen. Diesen Beschluss hat nun der EuGH für ungültig erklärt.
Das Privacy Shield war der Garant für die Zulässigkeit von Datentransfers in die USA. Datentransfers in die USA, welche auf Basis des Privacy Shields erfolgten, sind damit unzulässig.
Derzeit ist offen, wie schnell die Europäische Kommission darauf reagieren wird und ob die Datenschutzbehörden in Deutschland eine „Kulanzfrist“ einräumen werden, um den deutschen Unternehmen die Gelegenheit zu geben, betroffene Datentransfers in die USA über ein anderes Rechtsinstrument, wie zum Beispiel Standardvertragsklauseln abzusichern.

Wie hoch sind die Anforderungen für Standardvertragsklauseln?

Allerdings bestimmt der EuGH aber hohe Anforderungen an die Prüfpflichten der Beteiligten.
Danach muss geprüft werden:
  • Das Unternehmen, dass die personenbezogenen Daten in ein Drittland übermittelt muss vor der Übermittlung prüfen, ob das Recht des Drittlands einen angemessenen Schutz der übermittelten Daten gewährleistet und ob neben den Standardvertragsklauseln zusätzliche Maßnahmen zum Schutz der Daten getroffen werden müssen.
  • Weiter seien die Datenschutzaufsichtsbehörden dazu verpflichtet, die Übermittlung personenbezogener Daten in ein Drittland zu überprüfen und unter den gleichen Voraussetzungen zu untersagen.
  • Zudem sei der Empfänger der Daten im Drittland verpflichtet, dem Unternehmen in Deutschland anzuzeigen, wenn er die durch die Standardvertragsklauseln auferlegten Pflichten aufgrund der gesetzlichen Vorschriften im Drittland nicht einhalten kann.
  • Insbesondere nach dem aktuellen Urteil der EuGH ist fraglich, ob die Standardvertragsklauseln ausreichende Garantien bieten können.
Welche Datentransfers in die USA sind betroffen?
Grundsätzlich dürften alle Arten von Transfers personenbezogener Daten an amerikanische Unternehmen oder sofern sich der Server in den USA befindet, betroffen sein, die bislang aufgrund des Privacy Shields vorgenommen wurden.

Wie können deutsche Unternehmen nun rechtmäßig personenbezogene Daten an Unter-nehmen oder Servern in den USA übertragen?

Aktuell haben sich die Datenschutzbehörden diesbezüglich noch nicht geäußert.
Allerdings sollten betroffene Unternehmen nun folgendes prüfen:
  • Finden Datentransfers in ein Drittland statt?
    Jedes Unternehmen sollte hierzu eine Bestandsaufnahme machen. Dies kann insbesondere zum Beispiel anhand der Überprüfung von Verfahrensverzeichnissen erfolgen.
  • Gibt es Datentransfers, die ausschließlich auf das Privacy Shield gestützt sind?
    Wenn ja, dann müssen Alternativen hierzu gefunden beziehungsweise umgesetzt werden.
  • Was ist zu tun, wenn sich der Datentransfer auf Standardvertragsklauseln stützt?
    In solchen Fällen ist zu prüfen, ob diese beim Empfänger nach den vom EuGH festgelegten Maßstäben ausreichen. Sollte dies nicht der Fall sein, müssen weitere Maßnahmen zum Schutz der Daten oder alternative Legitimationsgrundlagen errichtet werden.
  • Eine weitere Möglichkeit ist eine Übermittlung der Daten nach Art. 49 DSGVO. Was ist hierbei zu beachten?
    In Art. 49 DSGVO ist geregelt, unter welchen Bedingungen eine Übermittlung personenbezogener Daten an ein Drittland zulässig ist, sofern weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen. In solchen Fällen kommt eine Einwilligung der betroffenen Person in Betracht. Allerdings dürfte es hier oft problematisch sein, dass die betroffene Person zuvor über die für sie bestehenden möglichen Risiken unterrichtet werden muss.
    In solchen Fällen kann man sich an den Empfehlungen des Bayerischen Landesamt für Datenschutzaufsicht orientieren.
  • Besteht für die Unternehmen ein Haftungsrisiko?
    Zudem muss das Haftungsrisiko, dass durch die Entscheidung des EuGH eingetreten ist, bewertet werden.
Diese Informationen sollen nur erste Hinweise in übersichtlicher Form geben und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.
Stand: Juli 2020