Das Urteil:
Mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18: Schrems II) erklärt der Europäische Gerichtshof (EuGH) das bis dato geltende Datenschutzabkommen zwischen den USA und der EU (Beschluss 2016/1250: EU-US Privacy Shield = Datenschutzschild) für ungültig. Damit entfällt eine von vielen Unternehmen genutzte Rechtsgrundlage, die für die Übermittlung personenbezogener Daten in Drittländer notwendig ist.
Der Beschluss 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist laut EuGH hingegen trotz verschärfter Anforderung weiterhin wirksam. So müssen Unternehmen, die Standarddatenschutzklauseln verwenden, künftig sicherstellen, dass die Gesetze des Drittlandes, in das sie Daten übermitteln, nicht mit den Inhalten dieser Klauseln kollidieren.
Die Rechtsgrundlagen:
An die Datenübermittlung in EU-Drittländer sind spezielle Anforderungen geknüpft. Grundsätzlich ist bei Datentransfers dieser Art sicherzustellen, dass das Empfängerland über ein angemessenes Schutzniveau hinsichtlich der Übermittlung personenbezogener Daten verfügt. Maßstab hierfür ist das europäische Recht, insbesondere die EU-Grundrechtecharta.
Es gibt mehrere Möglichkeiten, ein solches Schutzniveau zu erreichen:
- Zunächst kann die EU-Kommission im Rahmen eines Angemessenheitsbeschlusses feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Datenübermittlungen sind dann ohne weiteres möglich (Art. 45 Abs. 1 DSGVO)
- Liegt ein solcher Beschluss nicht vor, kann die Übermittlung in ein Drittland gemäß Art. 46 Abs. 1 DSGVO nur dann erfolgen, wenn der Verantwortliche geeignete Garantien vorsieht und die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen. Zu den Garantien zählen gemäß Art. 46 Abs. 2 lit. c) DSGVO auch die von der Europäischen Kommission erarbeiteten Standarddatenschutzklauseln. Schließen Datenexporteur und -importeur einen Vertrag unter Einbeziehung dieser Klauseln, ist der hierauf basierende Datentransfer grundsätzlich zulässig.
- Eine weitere geeignete Rechtsgrundlage stellte bislang das EU-US-Datenschutzschild dar, nach dem sich US-Unternehmen zertifizieren lassen konnten, um so ein angemessenes Datenschutzniveau bei der internationalen Datenübertragung zu gewährleisten.
- Schließlich gibt es noch die sogenannten Binding Corporate Rules (BCR), die von einer europäischen Aufsichtsbehörde genehmigt werden müssen und den Datentransfer zwischen Konzernunternehmen rechtfertigen.
Liegt weder ein Angemessenheitsbeschluss noch eine geeignete Garantie vor, so ist die Datenübermittlung nur in den Sonderfällen des Art. 49 DSGVO möglich.
Schrems I:
Das EuGH-Urteil geht auf eine Beschwerde des österreichischen Datenschutzaktivisten Maximillian Schrems zurück. Als langjähriger Facebook-Nutzer beschwerte er sich bei der Irischen Aufsichtsbehörde darüber, dass Facebook Ireland seine Daten an die in den USA ansässige Facebook Inc. übermittelt. Sein Bedenken: Die von Facebook Ireland in die USA übermittelten Daten seien vor einem weitreichenden Zugriff der US-Behörden nicht ausreichend geschützt. Die Datenübermittlung erfolgte auf Grundlage des sogenannten Safe-Harbor-Abkommens zwischen den USA und der EU.
In einem ersten Urteil stellte der EuGH fest, dass die übermittelten Daten tatsächlich nicht vor Zugriffen geschützt seien und somit wurde das Safe-Harbor-Abkommen als ungültig erklärt (Urteil vom 6. Oktober 2015, Rechtssache C-362/14: Schrems I).
Schrems II:
Nach der Schrems-I-Entscheidung änderte Herr Schrems seine Beschwerde und zielte diesmal auf die Ungültigkeit der ebenfalls für Datenübermittlungen in die USA genutzten Standarddatenschutzklauseln ab. Die Irische Aufsichtsbehörde strengte daher ein Verfahren vor dem Irischen High Court an, damit dieser dem EuGH im Rahmen eines Vorabentscheidungsersuchens die Frage zur Gültigkeit des Beschlusses zu den Standarddatenschutzklauseln vorlegen könne. Inzwischen hatte die Europäische Kommission den Beschluss 2016/1250 über das EU-US-Datenschutzschild als Nachfolger des Safe-Harbor-Abkommens erlassen. Die Frage zur Wirksamkeit des EU-US-Datenschutzschilds wurde dem EuGH ebenfalls vorgelegt.
Zunächst betont der EuGH in seinem Urteil, dass bei jeder Datenübermittlung in ein Drittland europäisches Datenschutzrecht als Bewertungsmaßstab herangezogen werden muss. Das bedeutet, dass die Beteiligten stets sicherzustellen haben, dass ein nach dem Vorbild der Europäischen Datenschutzgrundverordnung (DSGVO) garantiertes Schutzniveau vorliegt. Die Einhaltung des EU-Datenschutzniveaus gilt selbst für in Drittländern ansässige Sicherheitsbehörden bei der Übermittlung von Daten, die zum Zweck der nationalen Sicherheit verarbeitet werden.
Unter Einbeziehung des vorgenannten Bewertungsmaßstabs erklärt der EuGH den Beschluss 2010/87/EU der Europäischen Kommission über Standardvertragsklauseln für grundsätzlich gültig. Allerdings stehen Datenexporteur und Datenempfänger in der Pflicht zu prüfen, ob ein angemessenes Schutzniveau in dem jeweiligen Drittland eingehalten werden kann. Dies ist insbesondere dann nicht der Fall, wenn nationale Sicherheitsgesetze der Einhaltung des garantierten Schutzniveaus entgegenstehen. Kommt der Datenempfänger zu dem Schluss, dass er nicht in der Lage ist, die Standarddatenschutzklauseln einzuhalten, so muss er gegebenenfalls zusätzliche Maßnahmen ergreifen und den Datenexporteur hierüber informieren. Kann trotz alledem kein ausreichendes Datenschutzniveau hergestellt werden, steht der Datenexporteur in der Pflicht, die Datenübermittlung auszusetzen bzw. zu beenden. Auch Datenschutzbehörden sind verpflichtet, rechtswidrige Datenübermittlung zu untersagen.
In der Praxis birgt die Auferlegung von Prüfpflichten für Verwender von Standarddatenschutzklauseln eine gewisse Rechtsunsicherheit. Zum einen stellt das Gericht nicht klar, welche Anforderungen an eine Einzelfallprüfung zu stellen sind, und zum anderen ist mit einer verschärften Prüfung durch die jeweiligen Datenschutzbehörden zu rechnen. In jedem Fall sollten Verwender die Rechtslage des Drittlandes, in das die Daten übermittelt werden, sorgfältig prüfen. Darüber hinaus sollte das Risiko der Datenübermittlung im Vorfeld analysiert, bewertet und dokumentiert werden. Nur so kann später nachgewiesen werden, dass Verwender ihre Prüfpflichten erfüllt und ein geeignetes Datenschutzniveau hergestellt haben.
Zusätzlich prüfte der EuGH auch die Gültigkeit des Beschlusses 2016/1250 zur Angemessenheit des EU-US-Datenschutzschilds. Das Gericht vertritt die Auffassung, dass das innerstaatliche Recht der USA nicht dazu in der Lage ist, ein geeignetes europäisches Schutzniveau zu gewährleisten, da insbesondere dem Zugriff auf personenbezogene Daten durch US-Behörden Vorrang gewährt wird. Zudem werden den betroffenen Personen keine Rechte eingeräumt, die ein gerichtliches Vorgehen gegen US-Behörden ermöglichen. Hieraus schließt der EuGH, dass der Angemessenheitsbeschluss zum EU-US-Datenschutzschild ungültig ist. Ferner räumt der Gerichtshof keine Schonfrist ein, sodass Datenübermittlungen, die sich allein auf das EU-US-Datenschutzschild stützen, derzeit ohne Rechtsgrundlage erfolgen und somit rechtswidrig sind.
Um möglichen Sanktionierungen zu entgehen, empfiehlt es sich daher für Unternehmen, die Übermittlung ab sofort auf andere Rechtsgrundlagen als das EU-US-Datenschutzschild zu stützen. Dies gilt im Übrigen auch für Auftragsdatenverarbeitungen i. S. d. Art. 28 DSGVO, bei denen Daten in die USA übermittelt bzw. in den USA verarbeitet werden. In Bezug auf Datenübermittlungen in die USA ist nun insbesondere auf den Abschluss von Standarddatenschutzklauseln zu verweisen. Aber auch BCR sowie in Einzelfällen die Sondervorschriften aus Art. 49 DSGVO können als Rechtsgrundlagen herangezogen werden, auch wenn diesen in der Praxis eher weniger Bedeutung zukommt. Hier ist der Einzelfall zu prüfen.
Ausblick:
Es ist davon auszugehen, dass die Nutzung von Standarddatenschutzklauseln bei Datentransfers in die USA weiterhin möglich sein wird. Dies bestätigt auch die Datenschutzkonferenz (DSK) in einer Pressemitteilung vom 28. Juli 2020. Die DSK merkt aber auch an, dass das bloße Vorliegen von Standarddatenschutzklauseln in der Regel noch keine vollwertige Garantie darstelle. Insbesondere bei Datentransfers in die USA sei darauf zu achten, dass zusätzliche Maßnahmen ergriffen werden, welche die Herstellung eines gleichwertigen Schutzniveaus begünstigen.
Insgesamt bleibt abzuwarten, welche Maßnahmen zukünftig grundsätzlich als geeignet angesehen werden können. Auch unklar ist, in welchem Ausmaß und in welcher Höhe Verstöße gegen die im Urteil genannten Prüfpflichten geahndet werden. Des Weiteren gab die EU-Kommission in einer Stellungnahme bekannt, dass sie bereits an einer Lösung arbeite, damit auch in Zukunft wieder eine sichere Datenübermittlung in Drittländer möglich sei. Die zeitnahe Umsetzung eines möglichen „Privacy Shield 2.0“ erscheint jedoch unwahrscheinlich.
Handlungsbedarf:
- Prüfen Sie Ihre Verarbeitungstätigkeiten auf Datenübermittlungen, die ausschließlich auf Grundlage des EU-US-Datenschutzschilds erfolgen und stützen Sie diese auf eine legitime Rechtsgrundlage. Insbesondere der Abschluss von Standarddatenschutzklauseln ist zu empfehlen. Dies gilt auch für etwaige Auftragsdatenverarbeitungen.
- Prüfen Sie bei Abschluss von Standarddatenschutzklauseln, ob der im Drittland ansässige Datenempfänger die Einhaltung des europäischen Datenschutzniveaus gewährleisten kann.
- Ergibt die Einzelfallprüfung, dass für die Datenübermittlung kein gleichwertiges Schutzniveau wie in der EU besteht, ist der Datentransfer unverzüglich zu stoppen.