Neue Rechtsunsicherheit im transatlantischen Datenverkehr: Der EuGH hat mit seinem Urteil vom 16.07.2020 das sogenannte Privacy Shield für ungültig erklärt (Rechtssache C-311/18). Damit sind Übermittlungen personenbezogener Daten in die USA, die auf der Basis dieser Garantie für einen angemessenen Datenschutz erfolgen, ab sofort nicht mehr möglich. Die Folgen sind noch nicht absehbar.
Was ist das Privacy Shield?
Das Privacy Shield ist ein Beschluss der Europäischen Kommission, der dafür sorgte, dass Datenübermittlungen aus dem Gebiet der Europäischen Union in die USA nicht an einem fehlenden angemessenen Datenschutzniveau scheitern. Datenübermittlungen an Unternehmen, die ein Privacy Shield-Zertifikat hatten, waren datenschutzrechtlich zulässig, selbst wenn sich das Unternehmen in den USA (einem sogenannten „unsicheren“ Drittland für den Datenschutz) befand. Vor allem Cloud-Provider wie Facebook und Google haben damit transatlantische Datenübermittlungen abgesichert.
Wie kam es dazu?
Grundlage der Entscheidung des EuGH ist eine Klage des Datenschutzaktivisten Max Schrems, der dagegen geklagt hatte, dass Facebook seine personenbezogenen Daten in die USA übermittelt.
Schrems hatte bei der irischen Aufsichtsbehörde eine Beschwerde eingelegt, die im Wesentlichen darauf abzielte, Übermittlungen auf der Grundlage von Standardvertragsklauseln auszusetzen oder verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten.
Im anschließenden Rechtsstreit vor dem irischen High Court legte dieser dem EuGH die Frage vor, ob die Standardvertragsklauseln gültig sind. Außerdem bat das Gericht den EuGH die aus seiner Sicht damit zusammenhängende Frage zu klären, ob das „Privacy Shield“ gültig sei.
Die gute Nachricht zuerst…
Der EuGH entschied, dass die Standardvertragsklauseln gültig sind. Datenübermittlung auf der Grundlage dieser vertraglichen Klauseln, die ein angemessenes Datenschutzniveau in einem Drittland gewährleisten, sind daher zulässig. Somit bleibt zumindest ein Instrument für die Datenübermittlung erhalten.
Das Privacy Shield erklärte er hingegen für ungültig. Denn die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt. Daraus ergäben sich Einschränkungen für den Schutz personenbezogener Daten, die von der EU in die USA übermittelt werden. Zwar sähen bestimmte Vorschriften Anforderungen vor, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind. Diese verliehen aber den betroffenen Personen keine Rechte, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.
Handlungsbedarf für Unternehmen
Unternehmen, die mit US-amerikanischen Dienstleistern (Auftragsverarbeitern) zusammenarbeiten oder selbst Konzernunternehmen in den USA haben, müssen nun dringend prüfen, ob und auf welcher Grundlage sie personenbezogene Daten weiterhin in die USA übermittelt dürfen. Stützt sich die Übermittlung ausschließlich auf das Privacy Shield, stellt diese Übermittlung ab sofort einen Datenschutzverstoß dar.
Unternehmen sollten daher dringend auf die Standardvertragsklauseln ausweichen oder prüfen, ob einer der in der DSGVO geregelten Ausnahmen für transatlantische Datenübermittlungen in Betracht kommt.
Ausblick
Auf Übermittlungen personenbezogener Daten in andere Drittländer als die USA hat das Urteil keine unmittelbaren Auswirkungen. Allerdings hat der EuGH in seinem Urteil auch klargestellt, dass die Aufsichtsbehörden im Falle einer Beschwerde durchaus die Befugnis haben, zu prüfen, ob bei einer Übermittlung auf der Grundlage der Standardvertragsklauseln die Anforderungen der DSGVO gewahrt bleiben.
Diese können allerdings den Angemessenheitsbeschluss der EU-Kommission nicht einfach aussetzen, sondern müssten vor einem nationalen Gericht eine Klage erheben. Das Gericht könnte dann erneut den EuGH anrufen, um eine neue Entscheidung über die Gültigkeit der Standardvertragsklauseln zu erwirken.