Das vor erst vier Jahren beschlossene Privacy Shield – Abkommen zwischen der EU und den Vereinigten Staaten wurde vom EuGH am 16. Juli 2020 (Rechtssache „Schrems II“ (C-311/18)) für ungültig erklärt. Zudem stellte sich der Gerichtshof die Frage, ob und inwieweit sich Unternehmen bei der Übermittlung von personenbezogenen Daten in Drittländer weiterhin auf die Standarddatenschutzklauseln, die auf der Grundlage des Beschlusses 2010/87 der Europäischen Kommission beruhen, stützen dürfen.
Der Sachverhalt
Facebook Ireland ist die Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Sobald sich eine im Unionsgebiet wohnhafte Person bei Facebook anmeldet, wird ein Vertrag mit Facebook Ireland abgeschlossen. Personenbezogene Daten der Nutzer aus dem Unionsgebiet werden dann ganz oder teilweise an Server der Facebook Inc. übermittelt und dort verarbeitet. Auf US-Bundesebene existiert kein allgemeines Verbot der Datenverarbeitung, weshalb das US-Handelsministerium zwischen 1998 und 2001 das Safe Harbor Verfahren entwickelte, um Unternehmen der Vereinigten Staaten den Nachweis über die Einhaltung der Datenschutzrichtlinie 95/46 der EU zu ermöglichen.
Mit dem „Safe Harbor“ Urteil (RS C-262/14) vom 16. Oktober 2015 hob der EuGH diesen Angemessenheitsbeschluss auf. In der Folge stützten sich die Unternehmen auf das Nachfolgermodell „Privacy Shield“ vom 12. Juli 2016 und Standarddatenschutzklauseln, die von der Europäischen Kommission genehmigt wurden.
Der Facebook-Nutzer Maximilian Schrems forderte den Data Protection Commissioner (Datenschutzbeauftragter, Irland) daraufhin erneut auf, Facebook Ireland die Untersagung der Übermittlung seiner personenbezogenen Daten zu erteilen und stellte die Rechtmäßigkeit der Standarddatenschutzklauseln und des Privacy Shield Abkommens in Frage. Mit einem Vorabentscheidungsersuchen legte der High Court (Hoher Gerichtshof Irland) dem Europäischen Gerichtshof einige Fragen zur Prüfung vor.
Die Entscheidung
Der EuGH erklärte daraufhin am 16. Juli 2020 das Privacy Shield Abkommen besonders im Lichte der Art. 7, 8, 47 und 52 der Grundrechtecharta für unwirksam. Der Datentransfer auf der Grundlage von Standarddatenschutzklauseln bleibt zwar weiterhin erlaubt, jedoch nur unter strengen Voraussetzungen. Damit wird es künftig sehr schwer sein, Daten legal aus der EU in Drittländer und unter anderem auch in die Vereinigten Staaten zu übermitteln.
Die Entscheidungsgründe im Überblick:
- Eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken von einem Wirtschafsteilnehmer aus einem Mitgliedstaat an einen in einem Drittland ansässigen Wirtschaftsteilnehmer fällt in den Anwendungsbereich der DSGVO, selbst wenn „die Daten von den Behörden des Drittlandes für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.“
- Es müssen geeignete Garantien und wirksame Rechtsbehelfe gewährleistet werden, um den Personen, deren personenbezogene Daten in ein Drittland übermittelt werden, ein Schutzniveau zu ermöglichen „das dem in der EU durch die DSGVO im Licht der EU Grundrechte Charta garantierten Niveau der Sache nach gleichwertig ist“. Insbesondere sind die vertraglichen Regelungen zwischen dem in der EU ansässigen Datenexporteur und dem Empfänger im Drittland und ein etwaiger Zugriff auf die übermittelten Daten von den Behörden dieses Landes zu berücksichtigen.
- Liegt kein gültiger Angemessenheitsbeschluss der Kommission vor, ist die zuständige Aufsichtsbehörde verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, sofern sie der Auffassung ist, dass die Standarddatenschutzklauseln in diesem Drittland nicht eingehalten werden bzw. werden können. Dasselbe gilt, wenn der nach Unionsrecht erforderliche Schutz der übermittelten personenbezogenen Daten nicht mit anderen Mitteln gewährleistet werden kann, ausgenommen der in der EU ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.
- Der EuGH ist der Ansicht, dass die Vereinigten Staaten keine geeigneten Garantien und erforderlichen Einschränkungen vorsehen, um einen effektiven gerichtlichen Rechtsschutz vor Eingriffen in die Grundrechte von Unionsbürgern zu gewährleisten. Die Einsetzung einer Ombudsperson kommt keinem Gericht im Sinne des Art. 47 der Grundrechtecharta gleich, die Überwachungsprogramme der US-Behörden gewährleisten keine Rechte, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.
- Die Standarddatenschutzklauseln sind grundsätzlich wirksam. Anhaltspunkte für den EuGH waren dabei unter anderem, dass der Empfänger der übermittelten personenbezogenen Daten dem Datenexporteur mitteilen muss, wenn der Vertrag nicht eingehalten werden kann, mit der darauffolgenden Möglichkeit, die Datenübermittlung auszusetzen bzw. vom Vertrag zurückzutreten. Die Klauseln sind jedoch nur gültig, wenn sie wirksame Mechanismen enthalten, die das von der Union geforderte Datenschutzniveau sicherstellen. Da die Standarddatenschutzklauseln aufgrund ihres Vertragscharakters keine drittstaatlichen Behörden binden, müssen sie für ihre Gültigkeit gegebenenfalls um geeignete Schutzgarantien ergänzt werden, meint der EuGH. Der Verantwortliche hat, gegebenenfalls auch in Zusammenarbeit mit dem Empfänger der Daten zu prüfen, „ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet“. Um dies zu bejahen, bedarf es unweigerlich einer Einzelfallprüfung.
Fazit
Aufgrund der Entscheidung des EuGH haben es Unternehmen, die ihren Sitz (auch) im Drittland (z.B. USA) haben zukünftig schwer, mit Unternehmen aus der EU datenschutzkonform personenbezogene Daten zu verarbeiten.
Aufgrund der gleichzeitig im Moment immer noch bestehenden Einschränkungen durch die CORONA – Pandemie trifft diese Entscheidung viele Unternehmen, die z.B. Konferenzen, Meetings, Schulungen etc. mit Videodienstleistern wie Zoom, aber auch Google oder Microsoft (z.B. Teams) durchführen.
Vermutlich wird nun seitens der EU und den USA versucht werden, schnellstmöglich einen weiteren Nachfolger, d.h. eine neue Vereinbarung, zu entwickeln und abzuschließen. Bis dahin ist jedoch die Nutzung der Software entsprechender Dienstleister, die (auch) in den USA sitzen, datenschutzrechtlich problematisch. Entweder empfehle ich auf Dienstleister zurückzugreifen, die in der EU bzw. im EWR sitzen bzw. die in Ländern ihren Sitz haben, mit denen ein Angemessenheitsbeschluss seitens der EU existiert. Oder ich empfehle die individuelle Prüfung, ob Sie aktuell mit den Standardvertragsklauseln trotzdem mit diesen Dienstleistern weiter zusammenarbeiten können.
Bitte prüfen Sie Ihre Dienstleister und die Vereinbarungen mit diesen. Ggf. prüfen Sie, ob es europäische Alternativen gibt.
Sollten Sie diesbezüglich Fragen haben, nehmen Sie gerne Kontakt zu mir auf.
Karsten Klug
Externer Datenschutzbeauftragter (TÜV zert.).