Der Europäische Gerichtshof hat in seinem aktuellen Urteil (Rechtssache C-311/18) die EU-US Privacy-Shield-Vereinbarung zum Datentransfer zwischen der EU und den USA gekippt. Die Richter entschieden, dass dieses „Datenschutzschild“ nicht (mehr) ausreicht, um personenbezogene Daten rechtskonform in die USA zu übertragen.
Das Privacy Shield ist eine Vereinbarung zwischen der EU und den USA, die regelt, wie US-Unternehmen bei der Übertragung personenbezogener Daten aus der Europäischen Union das notwendige Datenschutzniveaus gewährleisten können. Bislang ging man davon aus, dass US-Unternehmen, die sich dem Privacy Shield unterworfen haben, europäische Datenschutzstandards einhalten – und dass europäische Unternehmen Daten dorthin im Einklang mit der Datenschutzgrundverordnung (DGSVO) übermitteln dürfen.
Dass nach Ansicht des EuGH das Privacy Shield den Anforderungen der DGSVO grundsätzlich nicht genügt, hat Folgen für sämtliche Unternehmen und andere Datenexporteure, die personenbezogene Daten aus der EU in Drittstaaten übertragen. Betroffen sind hier also nicht nur die verschiedenen Social-Media-Plattformen, sondern auch Anbieter und Nutzer von Cloud-Diensten sowie Online-Händler und andere Webseitenbetreiber, die entsprechende Daten in die ein unsicheres Drittland (z.B. USA) weiterreichen.
A. Hintergrund
Nach dem EU-Datenschutzrecht dürfen personenbezogene Daten nur dann ins nicht-europäische Ausland übertragen werden, wenn in dem Empfängerland oder bei dem Empfänger ein ausreichendes Datenschutzniveau gewährleistet wird. Eben dies sollte das Privacy Shield sicherstellen. Alternativ können Unternehmen sogenannte Standardvertragsklauseln zum Datenaustausch abschließen, mit denen sie sich verpflichten, die erforderlichen Datenschutzgarantien einzuhalten.
In dem Verfahren des österreichische Jurist Max Schrems, der bereits das Safe-Habor-Abkommen vor dem EuGH zu Fall gebracht hatte, stand nun also auch das Privacy-Shield auf dem Prüfstand. Dabei ging es vorrangig um die Frage, ob die Facebook Ireland Ltd. Nutzerdaten auf Grundlage der Standardvertragsklauseln an den US-Mutterkonzern weiterleiten darf. Es bestanden Zweifel, ob Facebook sich angesichts der vielen US-Überwachungsgesetze überhaupt an die vertraglichen Datenschutzverpflichtungen halten kann. Die irischen Datenschutzbehörden, die als eher konzernfreundlich gelten, waren untätig geblieben. Zugleich gab es aber auch generelle Bedenken gegenüber der Rechtmäßigkeit des Privacy Shield an sich.
B. Die Entscheidung des Europäischen Gerichtshof Schrems II
Der EuGH hat nun entschieden, dass das Privacy Shield tatsächlich nicht ausreicht, um ein angemessenes Datenschutzniveau zu gewährleisten und erklärte den Privacy-Shield-Beschluss für ungültig.
Was die Standardvertragsklauseln betrifft, hat das Gericht zunächst bestätigt, dass diese grundsätzlich herangezogen werden können, um ein angemessenes Datenschutzniveau beim Datenempfänger zu gewährleisten. Dennoch muss der Datenexporteur prüfen, ob das Schutzniveau im betreffenden Drittland auch wirklich eingehalten wird. Ist dies nicht der Fall und lassen sich die Standardklauseln damit nicht einhalten, muss der Datenexporteur die Datenübermittlung aussetzen oder die Vertragsbeziehung zum Datenempfänger beenden.
C. Folgen für Datenexporteure in Drittstaaten
Unternehmen und andere verantwortliche Stellen, die bislang personenbezogene Daten allein auf Grundlage des Privacy Shield an US-amerikanische Unternehmen exportiert haben, müssen nun unmittelbar tätig werden. Sie riskieren sonst Bußgelder. Konkret heißt das, sie sollten möglichst unverzüglich auf Standardvertragsklauseln umstellen und darauf achten, dass diese nicht nur den inhaltlichen Voraussetzungen entsprechen, sondern auch tatsächlich eingehalten werden bzw. eingehalten werden können.
Damit ist eine Datenübertragung – auch bei Abschluss der Standardvertragsklauseln – neben den USA auch in alle andere Ländern problematisch, in denen die Datenschutzrechte der Bürger aus Art. 7 und 8 der EU-Grundrechtecharta (z.B. wegen zu weitgehender staatlicher Überwachung) nicht mehr ausreichend gewährleistet sind.
Das Urteil legt nahe, dass gegebenenfalls weitere Vorkehrungen getroffen werden müssen, um ein ausreichendes Datenschutzniveau zu gewährleisten oder auf ein anderes rechtliches Transferinstrument wie Binding Corporate Rules (BCR) oder die Ausnahmeregelungen des Art. 49 DSGVO zurückgegriffen werden muss.
Als Entscheidungshilfe für betroffene Unternehmen und andere Datenexporteure kann folgend Checkliste herangezogen werden:
D. Fazit
Das Urteil macht das niedrige Datenschutzniveaus in den USA noch einmal deutlich, kommt im Ergebnis aber wenig überraschend. Die USA müssten ihre „Überwachungsgesetze“ ernsthaft ändern bzw. die Datenschutzgesetze verschärfen, wenn die hohen Hürden für Datentransfers aus Europa tatsächlich beseitigt werden sollen. Da eine solche Änderung derzeit eher nicht zu erwarten sein dürfte, bleibt Datenexporteuren zur Vermeidung etwaiger Bußgelder nichts anderes übrig, als die Übertragung personenbezogener Daten (z.B. durch Anonymisierung) einzustellen oder die notwendigen Standards eben unmittelbar herzustellen. Dies gilt auch für Unternehmen, die Daten innerhalb des eigenen Konzerns (z.B. an die Konzernmutter) in die USA übertragen.
Die deutschen Datenschutzbehörden haben bereits mitgeteilt, dass Datenübermittlungen auf Grundlage des Privacy-Shield mit dem Urteilsspruch nun unmittelbar rechtswidrig sind, da die DSGVO eine Karenzzeit in solchen Fällen nicht vorsieht.
[…] Checkliste zur Prüfung des Handlungsbedarfs von RA Carsten Ulbricht (Xing Profil) […]