dmpi
Start News: ÜberblickEuGH kippt „Privacy-Shield“

Eintrag vom 05.08.2020

EuGH kippt „Privacy-Shield“

Das aktuelle EuGH-Urteil: Was nun zu tun ist. Warum die Entscheidung von Bedeutung ist. Mit welchen Risiken zu rechnen ist.

1. Was muss nun getan werden?

Unternehmen sollten folgende erste Schritte unternehmen

  • Prüfen, ob sie selbst Daten in die USA übermitteln und auf welcher Grundlage dies geschieht.
  • Untersuchen, ob sie Dienstleister beauftragt haben, die personenbezogene Daten in die USA übermitteln und auf welcher Grundlage dies basiert.
  • Überprüfen, ob europäische Dienstleister Subunternehmer einsetzen, die personenbezogene Daten in dies USA übermitteln und auf welcher Grundlage dies geschieht.

Wenn Daten in die USA übertragen werden, sollte als nächstes:

  • entschieden werden, ob diese Übermittlung für das Unternehmen notwendig ist oder ob auf diese verzichtet werden kann. Auch wenn es aus Praxissicht radikal klingt: Die größte Rechtssicherheit erlangen Sie, wenn Sie keine Daten in die USA übermitteln. Prüfen Sie, ob Ihr Unternehmen auf europäische Dienstleister zurückgreifen kann.
  • überprüft werden, ob eine Verarbeitung in Europa möglich ist, z.B. durch Dienst- oder bspw. Serverwechsel von den USA nach Europa (diese Optionen sind bspw. bei Amazon Web Services und Microsoft vorhanden).
  • sollte die Verarbeitung bisher nur auf Grundlage des Privacy Shield erfolgt sein, sollten dennoch zumindest die sog. „EU-Standardvertragsklauseln" abgeschlossen werden und dies auch in den Datenschutzerklärungen der Unternehmen geändert werden.

Bitte beachten Sie jedoch, dass der Rückgriff auf die Standardvertragsklauseln keine hundertprozentige Rechtssicherheit mit sich bringt! Der EuGH hat nämlich betont, dass die EU-Standardvertragsklauseln nur dann wirksam sind, wenn der Datenempfänger im Ausland den Schutz der personenbezogenen Daten – wie die DSGVO ihn vorsieht – gewährleistet. Diesen Schutz hat der EuGH in der Entscheidung aber gerade für die USA ausgeschlossen (siehe unten).

Anders gesagt: Ob nun unter Berufung auf das Privacy Shield oder die Standardvertrags-klauseln – die Gesetzlage in den USA sieht keinen Schutz für die Daten von Nicht-US-Bürgern vor. Dennoch sollte gelten: Bevor man gar nichts tut, schließt man besser die Standardvertragsklauseln ab.

2. Warum ist die Entscheidung von Bedeutung?

Im Datenschutzrecht gilt der Grundsatz: Keine Datenverarbeitung ohne Rechtsgrundlage. Man darf personenbezogene Daten nicht „einfach so" verarbeiten, sondern vielmehr nur dann, wenn es z.B. für die Erfüllung eines Vertrages oder einer gesetzlichen Verpflichtung erforderlich ist oder beispielsweise eine entsprechende Einwilligung vorhanden ist.

Sollen die Daten sodann außerhalb der EU verarbeitet werden, benötigt man eine weitere Rechtsgrundlage, die die Datenübermittlung rechtfertigt. Das Gesetz kennt – in aller Kürze dargestellt – nur die folgenden Rechtfertigungen:

  • Das Drittland ist von der EU-Kommission als Land mit angemessenem Datenschutzniveau erklärt worden. Dazu gehört beispielsweise die Schweiz, Kanada oder Japan, jedoch nicht die USA.
  • Bisher (nun aber nicht mehr möglich): amerikanisches Unternehmen hat sich unter das EU-USA-Privacy-Shield verpflichtet.
  • Die Parteien haben die europäischen Standardvertragsklauseln unterzeichnet, die ein entsprechendes Datenschutzniveau zwischen den jeweils Beteiligten sicherstellen sollen.
  • Eine Übermittlung ist auch dann gestattet, wenn die Datenübermittlung in Drittlänger erforderlich und dies für die betroffenen Personen erkennbar ist, z.B. bei Reisebuchungen oder einem E-Mail-Versand in die USA.
  • Die Unternehmen haben sog. „Binding Corporate Rules" geschlossen, die jedoch ein spezielles Genehmigungsverfahren durchlaufen müssen. Bisher haben dies aber – aufgrund der strengen Anforderungen – die wenigsten Unternehmen umgesetzt.
  • Eine weitere (aber eher schwache) Voraussetzung ist die Einwilligung der betroffenen Personen. Diese scheitert aber in vielen Fällen an den umfangreichen Voraussetzungen für die wirksame Erteilung einer Einwilligung.

3. Das Urteil des EuGHs

Der österreichische Jurist Max Schrems ist seit 2008 Nutzer von Facebook. Da Facebook personenbezogene Daten aller europäischer Nutzer nicht nur in Europa, sondern teilweise auch in die USA übermittelt, legte er bereits 2013 eine Beschwerde bei der irischen Aufsichtsbehörde ein. Dies führte in der Folgezeit dazu, dass der EuGH in der sog. „Safe-Harbour-Entscheidung" feststellte, dass die USA kein angemessenes Schutzniveau für personenbezogene Daten gewährleisten können. Der EuGH erteilte damit dem Modell „Safe-Harbour" (quasi ein Vorgängermodell des Privacy Shields) eine Abfuhr. Damit eine Datenübermittlung in die USA weiterhin rechtssicher möglich sein kann, schuf die EU-Kommission daraufhin den EU-USA-Privacy Shield.

Damit war die Beschwerde des Herrn Schrems jedoch nicht abschließend geklärt und musste erneut von der Aufsichtsbehörde und im Anschluss vom EuGH behandelt werden. Schwerpunkt dieses Prozesses war die Frage nach der Gültigkeit des Privacy Shields.

Der EuGH entschied nun, dass die EU-Standardvertragsklauseln grundsätzlich im Einklang mit der DSGVO zu werten und weiterhin gültig seien. Dabei müsste der Datenexporteur jedoch sicherstellen, dass der in den Standardvertragsklausen vereinbarte Schutz in den jeweiligen Drittländern durchsetzbar sei, somit also ein angemessenes Schutzniveau auch tatsächlich in dem Drittland vorhanden ist. Das „Privacy-Shield"- hingegen erfüllte diese Anforderungen nicht und sei daher ungültig. Grund hierfür ist, dass den US-Behörden auf Basis einiger Spezialgesetze (z.B. dem FISA 702) umfangreiche Prüfungsrechte zustehen, die gegenüber Nicht-US-Bürgern ohne gerichtlichen Beschluss oder Rechtsmittel vorgenommen werden können.

4. Mit welchen Risiken und Rechtsfolgen ist zu rechnen?

Eine abschließende Handlungsempfehlung oder Risikoeinschätzung kann zum jetzigen Zeitpunkt nicht erfolgen. Nachdem der „Safe Harbour"-Beschluss gekippt wurde, hatte die EU-Kommission recht zügig den „Privacy Shield"-Beschluss verkündet. Die Standardvertragsklauseln werden zurzeit ebenfalls überarbeitet und aktualisiert. Es bleibt daher abzuwarten, welche (politischen) Maßnahmen nun ergriffen werden, um weiterhin eine Übermittlung in die USA zu rechtfertigen.

Dennoch sollte man sich bewusst sein, dass eine Übermittlung ohne Rechtsgrundlage Folgen nach sich ziehen kann:

  • Ist die Übermittlung in die USA unzulässig, können Aufsichtsbehörden die Unterlassung verlangen oder sogar Bußgelder (bis 4% des Umsatzes eines Unternehmens) verhängen.
  • Betroffene Personen können abmahnen oder Schadensersatzansprüche geltend machen.
  • Mitbewerber oder Verbraucherschutzorganisationen können auf Grundlage des Wettbewerbsrechts ebenfalls abmahnen.

Ansprechpartner

David Pfau

David Pfau
Managing Consultant Datenschutz
AGOR AG
www.agor-ag.com


0151-58379450