Aktuelles:

Der EuGH hat entschieden - Privacy-Shield ungültig

17. Juli 2020

Spätestens seit den Enthüllungen des Whistleblowers Edward Snowden steht der Datenverkehr zwischen der EU und den USA auf dem Prüfstand. Der österreichische Jurist Max Schrems nahm die damalige Diskussion zum Anlass, die Übermittlung der Daten europäischer Facebook-Nutzer in die USA in Frage zu stellen. Nachdem der EuGH in einem ersten Verfahren („Schrems I“) im Jahr 2015 das damalige sog. „Safe Harbour Abkommen“ kippte, handelten die EU und die USA ein neues Abkommen aus, den sog. „EU-US Privacy Shield“. Mit Urteil vom 16. Juli 2020 (C-311/18 – „Schrems II“) erklärte der EuGH nun auch dieses Abkommen für ungültig.

Viele Unternehmen übermitteln derzeit auf Grundlage des EU-US Privacy Shield personenbezogene Daten in die USA. Welche Konsequenzen hat die aktuelle Entscheidung des EuGH für diese Unternehmen?

Ausgangslage beim grenzüberschreitenden Datenverkehr

In unserer digitalisierten und global vernetzten Welt ist ein internationaler Datenaustausch unumgänglich. Doch auch wenn innerhalb der EU ein hoher Standard zum Schutz personenbezogener Daten existiert, stellt nicht jedes Land dieselben Anforderungen an den Datenschutz. Die EU-Datenschutzgrundverordnung (DSGVO) sieht daher in den Art. 44 bis 50 vor, dass personenbezogene Daten nur dann in ein sog. „Drittland“ (also ein Land außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR)) übermittelt werden dürfen, wenn ein zumindest gleichwertiger Datenschutzstandard gewährleistet werden kann.

Gemäß Art. 45 DSGVO kann die Europäische Kommission im Rahmen eines Angemessenheitsbeschlusses beschließen, dass ein Drittland ein angemessenes Schutzniveau bietet. Das gilt aktuell z.B. für Länder wie die Schweiz, Kanada oder Israel. Das Abkommen zum Privacy Shield zwischen der EU und den USA stellte eine etwas abgewandelte Form eines solchen Angemessenheitsbeschlusses dar.

Sofern für ein Land kein Angemessenheitsbeschluss existiert, liegt es an dem europäischen Datenexporteur und dem jeweiligen Datenimporteur individuelle Vorkehrungen zum Schutz der Daten zu treffen. Hierzu wird häufig auf sog. Standardvertragsklauseln zurückgegriffen. Dabei handelt es sich um von der Kommission vorgefertigte Verträge, die unverändert zwischen den datenaustauschenden Parteien Vertragsbestandteil werden.

Problemstellung im Fall der USA

In den USA besteht die Besonderheit, dass die nationalen Sicherheitsbehörden umfangreiche Zugriffsbefugnisse auf sämtlich in den USA verarbeiteten Daten haben. Betroffenen Personen stehen hiergegen keine Rechtsschutzmöglichkeiten zu, und auch die amerikanischen Unternehmen, bei denen die Daten liegen, können sich im Regelfall nicht gegen den behördlichen Zugriff wehren. Zwar ist auch der EU ein Datenzugriff durch Behörden nicht ausgeschlossen, die diesbezüglich geltenden gesetzlichen Regelungen sind jedoch mit denen der USA nicht vergleichbar. Aus diesem Grund kippte der EuGH im Jahr 2015 das Safe Harbour-Abkommen. Im Rahmen des anschließend ausgehandelten Privacy Shield-Abkommens machten die USA zwar Zusagen, den die Zugriffsmöglichkeit der Sicherheitsbehörden auf personenbezogenen Daten bei Unternehmen, die sich über das Privacy Shield registriert hatten, einzuschränken. Dennoch wurde die Gültigkeit des Abkommens zunehmend in Zweifel gezogen, da Zugriffsmöglichkeiten verblieben.

Entscheidung des EuGH

Nun fand der von Max Schrems initiierte Rechtsstreit zum zweiten Mal den Weg zum EuGH. Das Gericht erklärte zunächst, dass die zwischenzeitlich in Kraft getretene DSGVO auch auf den grenzüberschreitenden Datenverkehr Anwendung findet und nicht etwa aufgrund der nationalen Sicherheit eines fremden Staates ihre Wirkung verliert.

Den Privacy Shield erklärte der EuGH für ungültig. So würde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts ohne Rücksicht auf die Grundrechte der betroffenen Personen Vorrang eingeräumt. Die amerikanischen Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt. Auch gebe es für betroffene Personen keine Möglichkeiten, gerichtlich gegen amerikanische Behörden vorzugehen. Selbst wenn also die USA gegenüber der EU im Rahmen des Privacy Shields gewisse Zugeständnisse gemacht habe, wäre deren Einhaltung jedenfalls nicht gerichtlich überprüfbar. Folglich sei der Datenschutzstandard in den USA nicht mit dem der EU vergleichbar.

Der EuGH schiebt der Übermittlung von Daten in die USA allerdings nicht vollständig einen Riegel vor. Es sei nach wie vor möglich, eine solche Datenübermittlung auf die Standardvertragsklauseln zu stützen. Diese Vertragswerke würden bei Einhaltung durch den Importeur der Daten (vorliegend also Unternehmen mit Sitz in den USA) einen hinreichenden Schutz gewährleisten. Gleichwohl verpflichtet sich der Importeur damit auch, den Datenexporteur umgehend zu benachrichtigen, falls er die Bestimmungen der Standardvertragsklauseln nicht mehr einhalten kann. Dann müsse der Datenexporteur die Datenübermittlung unverzüglich aussetzen oder gänzlich beenden. Macht er dies nicht, seien die zuständigen Aufsichtsbehörden verpflichtet, mit entsprechenden Maßnahmen gegen den Datenexporteur vorzugehen – und somit dann Datenübermittlungen aus der EU in die USA zu unterbinden.

Folgen für die Praxis

Das Urteil bedeutet zunächst, dass auch in Zukunft Daten in die USA übermittelt werden dürfen. Dabei ist aber ist zu beachten, dass Datenübermittlungen auf Grundlage des Privacy Shields in dieser Form nicht mehr zulässig sind und entsprechende vertragliche Vereinbarungen dringend geändert werden müssen. Betroffenen Unternehmen ist daher zu empfehlen, umgehend mit ihren Vertragspartnern in den USA Kontakt aufzunehmen und die von der EU-Kommission bereitgestellten Standardvertragsklauseln zur Grundlage ihres Datenaustauschs zu machen. Zudem sollten Unternehmen im Auge behalten, wie die für sie zuständigen Datenschutzaufsichtsbehörden auf das Ende des Privacy Shields reagieren.

Auf längere Sicht stößt allerdings auch der Weg über die Standardvertragsklauseln auf Bedenken: Denn diese Klauseln haben nur zwischen den konkreten Vertragspartnern bindende Wirkung und verpflichten nicht die US-Behörden. Die Politik wird also nun zum dritten Mal in Verhandlungen gehen müssen.

Sprechen Sie uns bei Ihren Fragen zum Datenexport in die USA gerne an!