Mit Urteil vom 16.07.2020 (C-311/18) erklärte der EuGH das EU-US-Privacy-Shield für unwirksam. Dieses war bislang für zahlreiche US-Dienstleister Grundlage einer DSGVO konformen Übermittlung von personenbezogenen Daten von EU-Bürgern. Das Urteil macht es für alle international tätigen Unternehmen aber auch für Unternehmen, die lediglich mit Dienstleistern außerhalb der EU zusammenarbeiten, erforderlich, die Datentransfers in Drittländer, insbesondere in die USA, einer tieferen Prüfung zu unterziehen.
Mit Urteil vom 16.07.2020 (C-311/18) hat der EuGH das EU-US-Privacy-Shield, welches für zahlreiche US-Dienstleister Grundlage einer DSGVO konformen Übermittlung und Verarbeitung von personenbezogenen Daten von EU-Bürgern war, für unwirksam erklärt. Auch bezüglich der Standardvertragsklauseln der Europäischen Kommission, die ein alternatives Instrument zur Sicherstellung eines angemessenen Datenschutzniveaus im Verkehr mit Drittstaaten wie den USA darstellen, wirft die Entscheidung Fragen auf. Der Gerichtshof stellt klar, dass der bloße Abschluss der Standardvertragsklauseln kein Garant (mehr) für eine DSGVO konforme Datenverarbeitung sein kann. Das Urteil macht es damit für alle international tätigen Unternehmen aber auch für Unternehmen, die in Bezug auf personenbezogene Daten lediglich mit Dienstleistern außerhalb der EU zusammenarbeiten, erforderlich, die Datentransfers in Drittländer einer tiefergehenden Prüfung zu unterziehen.Dies gilt für die USA aber auch für alle anderen Drittstaaten, für welche kein Angemessenheitsbeschluss der Kommission existiert.
Hintergrund
Die DSGVO schützt die personenbezogenen Daten von EU-Bürgern nicht nur innerhalb der Europäischen Union. Die DSGVO verlangt auch, dass personenbezogene Daten nur dann in Länder außerhalb des Geltungsbereichs der DSGVO (sogenannte Drittländer) übermittelt werden dürfen, wenn in diesen Drittländern ein mit der DSGVO vergleichbares, angemessenes Datenschutzniveau gewährleistet ist. Für eine Reihe von Ländern ist dieses angemessene Datenschutzniveau durch einen Angemessenheitsbeschluss der Kommission positiv festgestellt. Dies galt bislang auch für die USA, allerdings mit der Besonderheit, dass der Angemessenheitsbeschluss nicht per se für die gesamte USA galt, sondern nur für Unternehmen, die sich nach den Regelungen des EU-US-Privacy-Shield zertifiziert und damit den Regelungen dieses Abkommens unterworfen hatten. Das EU-US-Privacy-Shield folgte im Jahr 2016 auf das sogenannte „Safe Harbor Abkommen“, welches der EuGH mit Urteil vom 6. Oktober 2015 (Az.: C-362/14) aufgrund Unvereinbarkeit mit den europäischen Datenschutzstandards für unwirksam erklärt hatte.
Alternativ zu einem solchen Angemessenheitsbeschluss sieht die DSGVO weitere Mechanismen vor, mit denen ein angemessenes Datenschutzniveau sichergestellt werden kann. Eine praktisch besonders bedeutsame Alternative sind die Standardvertragsklauseln der Europäischen Kommission (auch Standarddatenschutzklauseln genannt), die unmittelbar zwischen dem Daten exportierenden Unternehmen und dem Daten importierenden Unternehmen abgeschlossen werden.
Das Urteil
Mit Urteil vom 16.07.2020 erklärte der EuGH nun auch den Angemessenheitsbeschluss zum EU-US-Privacy-Shield für unwirksam und entzieht damit einem Großteil der aktuell stattfindenden Datentransfers in die USA die rechtliche Grundlage. Auch in Bezug auf die alternativ nutzbaren Standardvertragsklauseln sind dem Urteil Ausführungen zu entnehmen, welche die Tauglichkeit dieses Instrumentes zur Sicherstellung eines angemessenen Datenschutzniveaus in Bezug auf Datentransfers in die USA in Frage stellen.
In Bezug auf das EU-US-Privacy-Shield kommt der EuGH zusammengefasst zu dem Schluss, dass dieses nicht mit den Vorgaben der DSGVO in Einklang zu bringen ist, da es insbesondere die den amerikanischen Sicherheitsbehörden gesetzlich zuerkannten Zugriffsrechte auf personenbezogene Daten nicht in verhältnismäßiger Weise beschränkt. Darüber hinaus eröffnet es den betroffenen Personen keinen wirksamen Rechtsweg, gegen unrechtmäßige Eingriffe durch amerikanische Behörden vorzugehen.
Im Ergebnis wurde der Angemessenheitsbeschluss zum EU-US-Privacy-Shield damit für unwirksam erklärt, so dass auf dieser Grundlage ein rechtmäßiger Datentransfer in die USA nicht mehr möglich ist.
Im Gegensatz dazu stellte der Gerichtshof zum Beschluss der Kommission über die Standardvertragsklauseln explizit fest, dass die rechtliche Prüfung keine Anhaltspunkte ergeben habe, die die Gültigkeit des Beschlusses berühren könnten. Die Standardvertragsklauseln bleiben damit als potentielle Grundlage für Datentransfers in Drittländer erhalten. Allerdings stellt das Urteil auch in Bezug auf die Standardvertragsklauseln fest, dass die Beurteilung, ob auf Grundlage der Standardvertragsklauseln ein angemessenes Datenschutzniveau besteht, sich sowohl nach den vertraglichen Verpflichtungen als auch danach richtet, ob die Rechtsordnung des Drittlandes, insbesondere im Hinblick auf den Zugriff auf Daten durch Behörden, ein angemessenes Datenschutzniveau gewährleistet. Gleichzeitig läge es in der Verantwortung der datenverarbeitenden Unternehmen zu prüfen, ob das Daten importierende Unternehmen rechtlich überhaupt in der Lage ist, die vertraglichen Verpflichtungen einzuhalten und im Zweifel den Datentransfer auszusetzen und zu unterbinden. Betrachtet man die grundsätzlichen Bedenken des Gerichtshofs, die zu der Unwirksamkeit des Privacy Shield geführt haben, bestehen damit grundlegende Zweifel an der Tauglichkeit der Standardvertragsklauseln, faktisch ein angemessenes Datenschutzniveau für Datentransfers in die USA zu gewährleisten.
Schließlich statuiert der Gerichtshof für die nationalen Datenschutzaufsichtsbehörden eine Verpflichtung, die Einhaltung der vertraglichen Regelungen zwischen den beteiligten Unternehmen zu prüfen und einzuschreiten, sollten diese nicht eingehalten werden (können).
Folgen des Urteils
Das Urteil betrifft nicht nur die Datenübermittlung in die USA, sondern alle Datenübertragungen in Drittländer, für die kein Angemessenheitsbeschluss der Kommission existiert.
Einzelvereinbarungen zwischen den beteiligten Unternehmen, Binding Corporate Rules (Verbindliche unternehmensinterne Datenschutzvorschriften) und Standardvertragsklauseln können zwar weiterhin als Grundlage für Datentransfers in Drittstaaten genutzt werden. Allerdings sollte zukünftig ein stärkeres Augenmerk darauf geworfen werden, ob die rechtlichen Vorgaben am Sitz des Datenimporteurs die Einhaltung der vereinbarten Regelungen zum Datenschutz überhaupt zulassen. In Umsetzung des Urteils des EuGH werden auch die zuständigen Datenschutzaufsichtsbehörden hierauf einen stärkeren Fokus setzen, wobei im Sinne einer einheitlichen Rechtsanwendung und höheren Rechtssicherheit die Erarbeitung einer gemeinsamen Position im Hinblick auf einzelne Drittsatten wünschenswert wäre.
Was jetzt zu tun ist
- Es ist zwar zu erwarten, dass sich die europäischen Datenschutzbehörden zeitnah zu dem Urteil des EuGH positionieren; dennoch ist schnelles Handeln geboten, denn es gibt keine Übergangsfrist.
- Jegliche Datenübermittlung, die sich allein auf das EU-US-Privacy-Shield stützt, ist seitdem 16.07.2020 unrechtmäßig und sollte umgehend ausgesetzt werden, bis eine alternative Grundlage für den Datentransfer in die USA gefunden wurde.
- Bei einem Datentransfer auf Grundlage vertraglicher Regelungen, wie den Standardvertragsklauseln der Kommission, ist insbesondere im Hinblick auf die USA kritisch zu prüfen, ob die vertraglichen Verpflichtungen im Drittland überhaupt eingehalten werden können. Eventuell kann jedenfalls für eine Übergangszeit, bis sich eine abgestimmte Position der Datenschutzbehörden herauskristallisiert, versucht werden, durch zusätzliche vertragliche Regelungen den Bedenken des Gerichtshofs gezielt entgegen zu wirken.
- Gegebenenfalls kann ein Datentransfer auch aufgrund des Ausnahmetatbestands des Art. 49 DSGVO, insbesondere auf Grundlage einer ausdrücklichen Einwilligung erfolgen, wobei die rechtlichen Anforderungen an eine wirksame Einwilligung eingehalten werden müssen, soweit kein anderer Ausnahmetatbestand einschlägig sein sollte.
Nicht zuletzt aufgrund des klaren Auftrags zum Tätigwerden, den der EuGH an die zuständigen Datenschutzaufsichtsbehörden richtet, sollte die praktische Relevanz des Urteils nicht unterschätzt werden.