Das Scheitern des EU-US-Privacy-Shield und die Zukunft des transatlantischen Datenverkehrs
Ob Beschäftigten- oder Kundendaten, der internationale Datentransfer ist ein Kernelement des globalen Wirtschafts- und Arbeitslebens. Zugleich ist die Übermittlung von Daten an Länder außerhalb der EU (so genannte Drittländer) zum Schutz der Privatsphäre der betroffenen Personen nur unter besonderen Voraussetzungen zulässig. Insbesondere die Datenübermittlung in die USA konnte auf Basis eines so genannten Angemessenheitsbeschlusses der EU-Kommission erfolgen, soweit die jeweiligen Unternehmen beim EU-US-Privacy-Shield zertifiziert waren. Mit Urteil vom 16. Juli 2020 (C‑311/18)[1] erklärte der EuGH dann diesen Kommissionsbeschluss für ungültig. Zudem schärfte er die Anforderungen an den Einsatz von so genannten EU-Standardvertragsklauseln. Dies hat weitreichende Folgen für den internationalen Datentransfer. Zugleich lassen die nationalen Datenschutzbehörden bislang ein einheitliches Bild vermissen – was die Situation für betroffene Unternehmen nicht einfacher macht. Ein Überblick:
I. Rechtlicher Hintergrund – Datenübermittlung an Drittländer
Eine Übermittlung personenbezogener Daten an Empfänger in Drittländern ist nach der DSGVO an besondere Voraussetzungen geknüpft. Eine solche Übermittlung kommt insbesondere auf Grundlage folgender Instrumente in Betracht:
- Angemessenheitsbeschlusses der EU-Kommission: Eine Möglichkeit ist die Übermittlung auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO). Die Kommission stellt in diesem Beschluss fest, dass das Drittland über ein angemessenes Schutzniveau für die Daten verfügt. Einen solchen Beschluss hat die Kommission hinsichtlich der USA gefasst („EU-US-Privacy-Shield-Beschluss"). Unternehmen müssen sich nach dem EU-US-Privacy-Shield zertifizieren lassen und verpflichten sich bestimmte datenschutzrechtliche Prinzipien umzusetzen und zu befolgen. Eine Übermittlung der Daten an nach dem Privacy Shield zertifizierte Unternehmen außerhalb der EU galt demnach als zulässig.
- Standardvertragsklauseln: Ein Datentransfer in Drittländer ist auch auf Grundlage von EU- Standardvertragsklauseln zulässig. Dies sind standardisierte Vertragsklauseln, mit denen sich der Datenempfänger im Drittland zur Einhaltung eines festgelegten Datenschutzstandards verpflichtet (Art. 46 DSGVO). Diese Standardvertragsklauseln kommen zwischen dem Unternehmen in der EU (Datenexporteur) und der außerhalb der EU liegenden empfangenen Stelle (Datenimporteur) zustande und binden nur die Parteien. Die Datenschutzbehörden können die Einhaltung der Vorgaben kontrollieren.
- Binding Corporate Rules („BCR"): Es handelt sich um bindende Unternehmensrichtlinien, die individuell angepasst und ausgestaltet werden können. Die BCR müssen in einem so genannten Kohärenzverfahren durch die zuständige Aufsichtsbehörde genehmigt werden (Art. 47 DSGVO). Die einzelnen Datenübermittlungen an Drittländer sind dann nicht mehr genehmigungspflichtig. BCR stellen insbesondere wegen des umfassenden Genehmigungsprozesses einen zeit- und kostenaufwendigen Prozess dar.
II. Sachverhalt der Entscheidung des EuGH vom 16. Juli 2020 (C-311/18)
1. Unwirksamkeit des EU-US-Privacy-Shield-Beschlusses
Nach Ansicht des EuGH besteht in den USA auch unter Beachtung der EU-US-Privacy-Shield-Grundsätze kein angemessenes Datenschutzniveau, weshalb der Angemessenheitsbeschluss der EU-Kommission zum Privacy-Shield insgesamt unwirksam ist. Der EuGH stützt dies auf das Recht zur Wahrung der Privatsphäre und des Datenschutzes aus Art. 7, 8 der europäischen Grundrechte-Charta. Der durch die Weitergabe von personenbezogenen Daten an Dritte verursachte Eingriff in diese Rechte ist nur gerechtfertigt, wenn
- eine Rechtsgrundlage existiert, die den Umfang der Einschränkung hinreichend konkret festlegt;
- der Betroffene die Rechtmäßigkeit der Verarbeitung seiner Daten im Drittstaat gerichtlich überprüfen lassen kann und
- der Grundsatz der Verhältnismäßigkeit gewahrt wird (Rdn. 172 ff. des Urteils).
Die amerikanischen Gesetze räumen den dortigen Behörden sehr weitgehende Eingriffsbefugnisse ein, die insbesondere nicht dem Grundsatz der Verhältnismäßigkeit genügen (Rdn. 180, 184). Letztendlich ermöglichen die auf diese Vorgaben gestützten Überwachungsprogramme eine ansatzlose Massenüberwachung (Rdn. 184). Zudem hat der Betroffene keine Rechte, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können (Rdn. 182). Daran ändert auch die Möglichkeit nichts, eine Ombudsperson anrufen zu können. So kann diese Ombudsperson aufgrund der fehlenden Ermächtigung gegenüber den Nachrichtendiensten keine verbindliche Entscheidung treffen (Rdn. 195).
2. Die Standardvertragsklauseln
Der EuGH bestätigt zwar die Wirksamkeit von Standardvertragsklauseln, stellt aber klar, dass im Einzelfall eine Verschärfung der Regelungen notwendig sein kann. Auch im Rahmen der Standardvertragsklauseln muss das Drittstaat ein gleichwertiges Schutzniveau gewährleisten. Der Datenexporteur hat zukünftig eine eigene Prüfung dahingehend durchzuführen, ob das Schutzniveau im Drittstaat für die übermittelten Daten im Wesentlichen dem der EU entspricht (Rdn. 134). Standardvertragsklauseln können daher einen Datentransfer nicht in alle Drittstaaten rechtfertigen (Rdn. 126). Der EuGH hält die Aufsichtsbehörden explizit dazu an, bei einem fehlenden angemessen Schutzniveau Datentransfers in ein Drittstaat künftig zu untersagen (Rn. 135). Konkret bedeutet dies:
- Allein der Abschluss von Standardvertragsklauseln ist nicht ausreichend.
- Datenexporteuer und Empfänger im Drittstaat müssen kontinuierlich während der Datenübermittlung prüfen, ob die Standardvertragsklauseln nach der Rechtsordnung des Drittstaates überhaupt eingehalten werden können.
- Ist dies nicht der Fall, muss die Datenübermittlung auf dieser Grundlage unterleiben.
III. Folgen und Risiken
Eine transatlantische Datenübermittlung aufgrund der EU-US-Privacy-Shield-Grundsätze kommt ab sofort nicht mehr in Betracht. Zudem sind die bisher veröffentlichten Stellungnahmen der einzelnen Datenschutzbehörden leider nicht einheitlich. So fordert die Berliner Beauftragte für Datenschutz und Informationsfreiheit alle ihrer Aufsicht unterliegenden Verantwortlichen auf, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.[2] Andere nationale Behörden deuten an, dass auch Standardvertragsklauseln einen Datentransfer in die USA nicht mehr rechtfertigen können.[3] Als kritisch angesehen werden teilweise auch Übermittlungen in Länder wie China, Russland oder Indien. Für die Praxis hilfreiche FAQ hat die Datenschutzbehörde des Landes Rheinland-Pfalz veröffentlich.[4] Die zuständige Behörde in NRW äußert sich bislang etwas zurückhaltender und hat die zeitnahe Veröffentlichung von Leitlinien für Unternehmen angekündigt.[5]
Für die Praxis bleibt zu hoffen, dass sich die USA und die EU zügig auf eine neue Grundlage für den transatlantischen Datentransfer verständigen, wobei die Anforderungen des EuGH durchaus hohe Hürden aufstellen. Bis dahin ist für betroffene Unternehmen insbesondere Folgendes zu raten:
- Überprüfung und Bestandsaufnahme der eingesetzten IT-Dienstleister und sonstiger Empfänger, die Daten in die USA bzw. andere Drittländer transferieren. Dies umfasst auch Datentransfers zwischen einzelnen Konzerngesellschaften, einschließlich der gruppeninternen Übermittlung von Arbeitnehmerdaten.
- Überprüfung des Schutzniveaus im Einzelfall: Es ist für jeden Einzelfall zu bewerten und dokumentieren, ob ausreichende Garantien zur Absicherung der internationalen Datentransfers in Drittländer (insbesondere die USA) implementiert wurden.
- Soweit ein Transfer auf Grundlage des EU-US-Privacy-Shields erfolgt, sollte zeitnah über das weitere Vorgehen entschieden werden:
- Abschluss von EU-Standardvertragsklauseln mit Empfängern (bietet indes aktuell keine absolute Sicherheit),
- Beendigung der Zusammenarbeit und Wechsel zu innereuropäischer Variante,
- Vereinbarung von Binding Corporate Rules: Diese sind zwar nicht kurzfristig zu realisieren, jedoch sind sie nicht unmittelbar von dem Urteil des EuGH betroffen. Sie sind insbesondere als langfristige Alternative in Betracht zu ziehen.
Koordination und Abstimmung mit den zuständigen Aufsichtsbehörden: Insbesondere um Bußgelder zu vermeiden, sollten die Stellungnahmen der zuständigen Aufsichtsbehörden beachtet und eine weitere Abstimmung vorgenommen werden. Es ist durchaus davon auszugehen, dass die Aufsichtsbehörden nun sensibilisiert sind und eine (verstärkte) Kontrolle vornehmen.
Ein herzliches Dankeschön gilt unserer Referendarin Frau Alexandra Lugt für die großartige Unterstützung in der Recherche zu diesem Beitrag!
[1] Abrufbar unter: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=9863522
[2] Abrufbar unter: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf
[3] So der Hamburgische Beauftragte für Datenschutz, abrufbar unter https://datenschutz-hamburg.de/pressemitteilungen/2020/07/2020-07-16-eugh-schrems
[4] Abrufbar unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender
[5] Abrufbar unter: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schrems-II/Schrems-II.html