Das aktuelle EuGH-Urteil: Was nun zu tun ist. Warum die Entscheidung von Bedeutung ist. Mit welchen Risiken zu rechnen ist.
1. Was muss nun getan werden?
Unternehmen sollten folgende erste Schritte unternehmen
Wenn Daten in die USA übertragen werden, sollte als nächstes:
Bitte beachten Sie jedoch, dass der Rückgriff auf die Standardvertragsklauseln keine hundertprozentige Rechtssicherheit mit sich bringt! Der EuGH hat nämlich betont, dass die EU-Standardvertragsklauseln nur dann wirksam sind, wenn der Datenempfänger im Ausland den Schutz der personenbezogenen Daten – wie die DSGVO ihn vorsieht – gewährleistet. Diesen Schutz hat der EuGH in der Entscheidung aber gerade für die USA ausgeschlossen (siehe unten).
Anders gesagt: Ob nun unter Berufung auf das Privacy Shield oder die Standardvertrags-klauseln – die Gesetzlage in den USA sieht keinen Schutz für die Daten von Nicht-US-Bürgern vor. Dennoch sollte gelten: Bevor man gar nichts tut, schließt man besser die Standardvertragsklauseln ab.
2. Warum ist die Entscheidung von Bedeutung?
Im Datenschutzrecht gilt der Grundsatz: Keine Datenverarbeitung ohne Rechtsgrundlage. Man darf personenbezogene Daten nicht „einfach so" verarbeiten, sondern vielmehr nur dann, wenn es z.B. für die Erfüllung eines Vertrages oder einer gesetzlichen Verpflichtung erforderlich ist oder beispielsweise eine entsprechende Einwilligung vorhanden ist.
Sollen die Daten sodann außerhalb der EU verarbeitet werden, benötigt man eine weitere Rechtsgrundlage, die die Datenübermittlung rechtfertigt. Das Gesetz kennt – in aller Kürze dargestellt – nur die folgenden Rechtfertigungen:
3. Das Urteil des EuGHs
Der österreichische Jurist Max Schrems ist seit 2008 Nutzer von Facebook. Da Facebook personenbezogene Daten aller europäischer Nutzer nicht nur in Europa, sondern teilweise auch in die USA übermittelt, legte er bereits 2013 eine Beschwerde bei der irischen Aufsichtsbehörde ein. Dies führte in der Folgezeit dazu, dass der EuGH in der sog. „Safe-Harbour-Entscheidung" feststellte, dass die USA kein angemessenes Schutzniveau für personenbezogene Daten gewährleisten können. Der EuGH erteilte damit dem Modell „Safe-Harbour" (quasi ein Vorgängermodell des Privacy Shields) eine Abfuhr. Damit eine Datenübermittlung in die USA weiterhin rechtssicher möglich sein kann, schuf die EU-Kommission daraufhin den EU-USA-Privacy Shield.
Damit war die Beschwerde des Herrn Schrems jedoch nicht abschließend geklärt und musste erneut von der Aufsichtsbehörde und im Anschluss vom EuGH behandelt werden. Schwerpunkt dieses Prozesses war die Frage nach der Gültigkeit des Privacy Shields.
Der EuGH entschied nun, dass die EU-Standardvertragsklauseln grundsätzlich im Einklang mit der DSGVO zu werten und weiterhin gültig seien. Dabei müsste der Datenexporteur jedoch sicherstellen, dass der in den Standardvertragsklausen vereinbarte Schutz in den jeweiligen Drittländern durchsetzbar sei, somit also ein angemessenes Schutzniveau auch tatsächlich in dem Drittland vorhanden ist. Das „Privacy-Shield"- hingegen erfüllte diese Anforderungen nicht und sei daher ungültig. Grund hierfür ist, dass den US-Behörden auf Basis einiger Spezialgesetze (z.B. dem FISA 702) umfangreiche Prüfungsrechte zustehen, die gegenüber Nicht-US-Bürgern ohne gerichtlichen Beschluss oder Rechtsmittel vorgenommen werden können.
4. Mit welchen Risiken und Rechtsfolgen ist zu rechnen?
Eine abschließende Handlungsempfehlung oder Risikoeinschätzung kann zum jetzigen Zeitpunkt nicht erfolgen. Nachdem der „Safe Harbour"-Beschluss gekippt wurde, hatte die EU-Kommission recht zügig den „Privacy Shield"-Beschluss verkündet. Die Standardvertragsklauseln werden zurzeit ebenfalls überarbeitet und aktualisiert. Es bleibt daher abzuwarten, welche (politischen) Maßnahmen nun ergriffen werden, um weiterhin eine Übermittlung in die USA zu rechtfertigen.
Dennoch sollte man sich bewusst sein, dass eine Übermittlung ohne Rechtsgrundlage Folgen nach sich ziehen kann: