Mit dem EU-U.S. Privacy Shield hat der Europäischen Gerichtshof (EuGH) nach Safe Habor nun bereits den zweiten Datenschutz-Deal zwischen der EU-Kommission und den USA gekippt. Die Übermittlung personenbezogener Daten in die USA und andere Drittstaaten (also außerhalb der EU bzw. des EWR) bleibt jedoch weiterhin möglich, sofern Standardvertragsklauseln (Standard Contractual Clauses, SCC) zwischen den beteiligten Unternehmen bzw. Organisationen abgeschlossen werden (siehe auch die Pressemitteilung des EuGH).
Hintergrund des Richterspruchs ist die Beschwerde des Datenschutzaktivisten Max Schrems gegen Facebook. Schrems hatte beanstandet, dass Facebook Ireland seine personenbezogenen Daten ganz oder teilweise an Server der Facebook Inc., die sich in den USA befinden, übermittelt und dort verarbeitet. Er legte eine Beschwerde bei der für Facebook zuständigen irischen Aufsichtsbehörde ein, mit der Begründung, dass die USA keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisten. Schrems beantragte in seiner Klage, die von Facebook Ireland auf Basis der Standardvertragsklauseln vorgenommene Übermittlung personenbezogener Daten aus der EU in die USA auszusetzen bzw. zu verbieten. Der irische Gerichtshof (High Court) hat die Frage der Rechtmäßigkeit der Klauseln dem EuGH vorgelegt.
Standardvertragsklauseln bleiben gültig
In dem am 16. Juli 2020 verkündeten Urteil stellte der EuGH fest, dass personenbezogene Daten weiterhin auf Basis sogenannter Standardvertragsklauseln aus der EU in die USA und andere Drittstaaten übertragen werden können. Standardvertragsklauseln bieten demnach ausreichend Garantien, dass die personenbezogenen Daten in einem Drittland in vergleichbarem Maße wie in der EU geschützt werden.
Allerdings hoben die Richter deutlich hervor, dass Unternehmen beim Einsatz von Standarddatenschutzklauseln grundsätzlich zu prüfen haben, ob der Empfänger der Daten auch tatsächlich das erforderliche Schutzniveau einhalten kann. Bei der Beurteilung des Schutzniveaus dürfen nicht nur die vertraglichen Regelungen berücksichtigt werden, der Datenexporteur muss auch prüfen, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vorgaben der Klauseln einzuhalten. Ist dies nicht der Fall, muss der Exporteur die Datenübermittlung aussetzen bzw. vom Vertrag mit dem Empfänger zurücktreten. Hilfsweise müssten die Aufsichtsbehörden die Verarbeitung untersagen.[/vc_column_text][klara_content_block selected_content_block=”22114″][vc_column_text]
EU-U.S. Privacy-Shield ungültig
Das EU-U.S. Privacy Shield war bisher neben den EU-Standardvertragsklauseln der Kommission und Binding Corporate Rules eine zusätzliche Datenschutzgarantie im Rahmen von Datentransfers in die USA. Der EuGH stellte wie in der Safe-Harbor-Entscheidung von 2015 fest, dass auch beim EU-U.S. Privacy Shield den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, womit durch die Zugriffsmöglichkeiten der US-Behörden die Anforderungen an den Datenschutz nicht gewährleistet sind.
Die Richter kamen zu dem Schluss, dass die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Ferner bezweifelten die Richter, dass die Position der von der EU-Kommission eingesetzten Ombudsperson auf Seiten der USA, an den sich EU Bürger wenden konnten, wenn sie ihre Privatsphäre durch US-Unternehmen verletzt sehen, unabhängig genug ist. Die Richter stellten grundsätzlich infrage, dass diese Ombudsperson die Macht hat, sich effektiv für EU-Bürger einzusetzen.
Konsequenzen für europäische Unternehmen
Das Urteil ist vor allem für europäische Unternehmen von Relevanz, die personenbezogene Daten in die USA übermitteln und den Datentransfer ausschließlich auf das EU-U.S. Privacy Shield stützen.
Aber das Urteil hat auch Auswirkungen für europäische Unternehmen, die personenbezogene Daten in Drittländer auf Grundlage von Standardvertragsklauseln übermitteln. Hier muss nun geprüft werden, ob der Empfänger im Drittland anhand der Rechtsordnung seines Landes überhaupt in der Lage ist, die Anforderungen der Standardvertragsklauseln einzuhalten.
Fazit: Ein Urteil mit enormen Auswirkungen
Wie schon nach dem Ende von Safe Harbor, droht nun eine verstärkte Unsicherheit für Unternehmen, die personenbezogene Daten in die USA übermitteln. Wer weiterhin personenbezogene Daten auf Grundlage der Privacy-Shield-Regeln in die USA übermittelt, muss wohl Bußgelder nach der EU-Datenschutz-Grundverordnung (DSGVO) fürchten.
Aber auch Unternehmen, die Standardvertragsklauseln mit Empfängern in Drittländern abgeschlossen haben, müssen jetzt selbst prüfen, ob die in den Klauseln getroffenen Vereinbarungen durch den Empfänger in seinem Rechtskreis eingehalten werden können oder nicht und dann die entsprechenden Konsequenzen ziehen.
Für eine endgültige Aussage über die Auswirkungen des Urteils auf den internationalen Datenverkehr ist es jetzt noch zu früh. Es empfiehlt sich, dass Thema im Auge zu behalten.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!