Datenaustausch mit den USA

EuGH zerstört EU-US Privacy Shield

16.07.2020
Von   ,  IDG ExpertenNetzwerk und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Markus Heins ist Wirtschaftsjurist für Medienrecht und Medienwirtschaft bei der Luther Rechtsanwaltsgesellschaft in Köln. 
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Unternehmen, die Datentransfers mit den USA betreiben, sollten prüfen, auf welchen Vertragsklauseln diese beruhen. Nach einem erneuten Gerichtsurteil bleibt nur noch eine Möglichkeit - die dieser Artikel beschreibt.
Der EuGH hat das EU-US Privacy Shield für ungültig erklärt. Das müssen Sie jetzt wissen.
Der EuGH hat das EU-US Privacy Shield für ungültig erklärt. Das müssen Sie jetzt wissen.
Foto: Lichtgeschwindigkeit - shutterstock.com

Max Schrems hat wieder zugeschlagen. Nachdem schon 2015 das Safe-Harbor-Abkommen gekippt wurde, stand nun der EU-US Privacy Shield auf der Agenda. Der Europäische Gerichtshof (EuGH) hat in seinem am 16.07.2020 verkündeten Urteil bekanntgegeben, dass seine Prüfung nichts ergeben hat, was die Gültigkeit der Standardvertragsklauseln der EU Kommission berühren könnte. Dagegen erklärte der EuGH das EU-US Privacy Shield für ungültig.

Drittlandtransfer und geeignete Garantien

Nach der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur dann in Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums (sog. Drittländer) übermittelt werden, wenn der Verantwortliche für den Datentransfer sog. geeignete Garantien vorsieht.
In Betracht kamen bis zum 16.07.2020:

  • Die Standarddatenschutzklauseln (vormals Standardvertragsklauseln).
    Bei den Standarddatenschutzklauseln handelt sich um von der Europäischen Kommission vorformulierte Vertragsklauseln, die in der Regel zwischen dem Verantwortlichen in der EU (Datenexporteur) und dem Datenempfänger im Drittland (Datenimporteur) vereinbart werden. Sie verpflichten den Datenempfänger auf die Einhaltung des Datenschutzes, um so ein angemessenes Datenschutzniveau zu gewährleisten.

  • Das EU-US-Privacy Shield (ab 16.07.2020 nicht mehr anwendbar!)
    Im Falle eines internationalen Datentransfer in die USA kommt neben den Standardvertragsklauseln auch das sog. EU-US-Privacy Shield als geeignete Garantie in Betracht. Beim Privacy Shield handelt es sich um einen Beschluss der Kommission. Der Nachfolger des Safe Harbor Abkommens, das bereits 2015 ebenfalls auf Initiative von Max Schrems gekippt wurde, stand unter Datenschützern aus den gleichen Gründen massiv in der Kritik.

Vorlagefragen: Schrems vs. Facebook

Der irische oberste Gerichtshof hat dem EuGH eine Reihe von Fragen vorgelegt, mit denen er im Wesentlichen die Wirksamkeit der Standarddatenschutzklauseln in Frage stellt. Hintergrund ist ein Rechtsstreit zwischen dem irischen Datenschutzbeauftragten sowie Facebook Ireland Ltd. und Maximilian Schrems, betreffend der Übermittlung von personenbezogenen Daten an die US-amerikanische Muttergesellschaft von Facebook.
Ausgangspunkt ist die Feststellung der gezielten und massenhaften Ermittlungsbefugnisse durch die amerikanischen Regierungsbehörden, insbesondere auf Basis des sog. CLOUD Acts (Clarifying Lawful Overseas Use of Data Act), unter gleichzeitigem Mangel von Rechtsbehelfen für EU-Bürger.

Angesichts dieser Feststellungen könnte nach Ansicht des irischen Gerichts eine Verletzung der Europäischen Grundrechte (Recht auf Achtung des Privatlebens, Schutz personenbezogener Daten, Recht auf einen wirksamen Rechtsbehelf) durch die Übertragung von Daten auf Grundlage der Standarddatenschutzklauseln in die USA in Betracht kommen. Die Standarddatenschutzklauseln gelten nur zwischen dem Datenexporteur und dem Datenimporteur und entfalten gegenüber nationalen Behörden eines Drittlandes keine Bindungswirkung.
Dies könnte in Verbindung mit den weitreichenden Befugnissen der amerikanischen Behörden dazu führen, dass die Standarddatenschutzklauseln keine geeigneten Garantien für den Schutz der personenbezogenen Daten bieten können. Konsequenz hieraus wäre aus Sicht des irischen Gerichtshof letztlich die Unwirksamkeit der Standarddatenschutzklauseln.

Lesetipp: US CLOUD-Act versus EU DSGVO - In der Wolke ist die Freiheit nicht grenzenfrei

Wirksamkeit der Standardvertragsklauseln

Anders als der irische oberste Gerichtshof sieht der EuGH allerdings keinen Anlass von der Unwirksamkeit der Standardvertragsklauseln auszugehen. Dabei stellt er, wie bereits der Generalanwalt in seinen Schlussanträgen, fest dass die Wirksamkeit der Standarddatenschutzklauseln von dem Datenschutzniveau des Drittlands unabhängig sei. Die Klauseln sollen nämlich gerade eventuelle Unzulänglichkeiten im Vergleich mit dem europäischen Datenschutzniveau ausgleichen, indem sie geeignete Garantien für den Schutz personenbezogener Daten bieten.

Die Tatsache, dass die Sicherheitsbehörden in den USA weitreichenden Zugriff auf personenbezogene Daten haben, könne die Wirksamkeit der Standarddatenschutzklauseln daher nicht generell in Frage stellen. Vor allem da die Klauseln der EU Kommission die Möglichkeit vorsehen, einzelne Datenübertragungen auszusetzen oder zu verbieten ("Not-Stopp-Regelung"). Demnach könne der Verantwortliche oder - falls dieser nicht handelt - die Aufsichtsbehörden die Datenübermittlung aussetzen oder verbieten, wenn ein Verstoß gegen die Standardvertragsklauseln vorliegt. Das wäre ebenfalls der Fall, wenn sich ergibt, dass die Rechtsordnung des Drittlandes der Anwendung der Standarddatenschutzklauseln widerspricht und kein angemessener Schutz für die übermittelten Daten mehr besteht.

Wichtig ist, dass die Vertragspartner im EU-Ausland darauf hinweisen müssen, wenn sie die Vorgaben der Standarddatenschutzklauseln, zum Beispiel aufgrund lokaler gesetzlicher Vorgaben, nicht einhalten können.

Europäische Unternehmen tun gut daran, ausdrücklich eine Bestätigung ihrer Vertragspartner zu verlangen, dass die Regelungen der Standarddatenschutzklauseln eingehalten werden können.

Wirksamkeit des Privacy Shield

Obgleich es hauptsächlich um die Standarddatenschutzklauseln ging, hat der EuGH sich auch zur Wirksamkeit des EU-US Privacy Shields geäußert. Erwartungsgemäß wurde dies nun für ungültig erklärt. Grundlage hierfür sind unter anderem die durch Edward Snowden aufgedeckten Überwachungsmaßnahmen der US-Behörden. Sie begründen Zweifel an dem Bestehen eines der DSGVO im Wesentlichen vergleichbaren Schutzniveau für den Schutz personenbezogener Daten. Gerade dies war aber Grundlage des Beschlusses zum Privacy Shield. Die Rechtsgrundlagen für die Überwachungsmaßnahmen im US-amerikanischen Recht sind nach Ansicht des EuGH nicht klar und präzise genug formuliert, um Rechtssicherheit zu bieten und um Missbrauch vorzubeugen. Insbesondere ist problematisch, dass die Maßnahmen der US-Behörden weder im Vorfeld noch im Nachhinein von einer unabhängigen Stelle überprüft werden. Eine Benachrichtigung der betroffenen Person erfolgt nicht und ein wirksamer Rechtsbehelf gegen die Maßnahmen ist nicht vorgesehen. Auch die im Privacy Shield vorgesehene Einrichtung einer Ombudsperson ändert diese Einschätzung nicht.

Handlungsempfehlung

Während Max Schrems auf Twitter bereits mit Interessierten diskutiert, heißt es für die EU sowie für Firmen, die Datentransfer mit den USA betreiben, zu reagieren.

Die EU Kommission ist gefordert, den betroffenen Unternehmen Alternativen zum EU Privacy Shield aufzuzeigen. Bereits im Vorfeld hat sich die EU Kommission mit diesem Szenario befasst. Ob es aber zeitnah zu einem neuen Beschluss kommt, ist jedoch mehr als fraglich.

Daneben müssen nun die Unternehmen ihre Datenübermittlungen in die USA überprüfen. Sofern Datenverarbeitungen nur auf dem EU-US Privacy Shield beruhen, sollten schnellstmöglich die Standardvertragsklauseln als alternative geeignete Garantie vereinbart werden. Aber auch wenn bereits Standardvertragsklauseln vereinbart wurden, sollten die Unternehmen überprüfen, ob die jeweiligen Datenübermittlungen in ein Drittland DSGVO-konform sind. Dies gilt seit dem Brexit auch für einen Datentransfer nach Großbritannien. (bw)