EuGH kippt Privacy Shield
Am 16. Juli 2020 hat das höchste europäische Gericht in der Rechtssache Maximilian Schrems gegen Facebook und die irische Datenschutzbehörde (C-311/18) sein Urteil gesprochen. Das dem Rechtsstreit zugrunde liegende US-EU-Datenschutzabkommen wurde für unwirksam erklärt und die Anforderungen an Unternehmen, die sich der Standarddatenschutzklauseln (SCC) bedienen, wurden verschärft.
Hintergrund:
Bereits das erste US-EU-Datenschutzabkommen „Safe Harbour“ wurde nach einer Klage von Max Schrems im Jahr 2015 durch den EuGH (C-362/14) gekippt. Anlass war die Beschwerde über den Transfer von europäischen Facebook-Nutzerdaten in die USA. Aufbauend auf „Safe Harbour“ vereinbarte die europäische Kommission mit den USA im Jahr 2016 das Nachfolgeabkommen „Privacy Shield“. Inhaltliche Neuerungen umfassten unter anderem die Schaffung einer Ombudsstelle im US-Außenministerium, die für datenschutzrechtliche Beschwerden europäischer Nutzer zuständig sein sollte. Allerdings sah der EuGH auch in diesem Abkommen den Grundsatz, dass Daten europäischer Nutzer auch in Drittstaaten entsprechend europäischer Datenschutzbestimmungen geschützt sein müssen, verletzt.
Begründung:
US-amerikanische Behörden (zum Beispiel FBI, NSA) verfügen über weitreichende Zugriffsrechte für persönliche Daten. Es gibt, insbesondere für Nicht-US-Bürger, keine oder nur eingeschränkte gerichtliche Kontrollen dieser Zugriffsrechte und keine Möglichkeit sich gegen etwaige Zugriffe zur Wehr zu setzen. Auch der Ombudsmann ist nicht in der Position ausreichend Abhilfe zu schaffen, da er nicht unabhängig ist und keine für US-Sicherheitsbehörden bindenden Entscheidungen treffen kann.
Dieser Umstand widerspricht der europäischen DSGVO. Diese sieht vor, dass das Schutzniveau für in Drittstaaten – Staaten außerhalb der EU – transferierte Daten, in der Sache gleichwertig wie in der EU gegeben sein muss.
Auswirkungen in der Praxis:
Für Unternehmen, die Daten in Drittstaaten exportieren, sind die Konsequenzen erheblich. Privacy Shield fällt ersatzlos weg. Jene, die ihren Datenaustausch bisher ausschließlich darauf gestützt haben, müssen umgehend handeln.
Standardvertragsklauseln:
Eine Möglichkeit wäre, auf die Einbindung von Standarddaten-schutzklauseln umzusteigen. Auch über diese hatte der EuGH in oben genanntem Verfahren zu entscheiden. Bei der Verwendung dieser Standardvertragsklauseln, sichert der Datenimporteur aus dem Drittland gegenüber einem europäischen Datenexporteur vertraglich zu, europäische Datenschutzstandards bei der Verwendung der Daten zu wahren. Laut EuGH ist das Zurückgreifen auf derartige Vertragslösungen weiterhin zulässig. Allerdings birgt das aktuelle Urteil eine Verschärfung. Unternehmen, die sich dieser Standardvertragsklauseln bedienen, müssen im Einzelfall prüfen, ob in dem jeweiligen datenimportierenden Drittland tatsächlich ein angemessenes Datenschutzniveau herrscht. Das Ergebnis der Prüfung ist nach Artikel 5 Absatz 2 DSGVO zu dokumentieren. Kein angemessenes Schutzniveau liegt beispielsweise vor, wenn es dem Empfänger der Daten nach den Gesetzen des Ziellandes unmöglich ist, Pflichten aus Standarddatenschutzklauseln einzuhalten. Gerade für Datenübermittlungen in die USA ist genau das der Fall, da staatlichen Behörden auf deren Verlangen Daten offengelegt werden müssen. Somit birgt diese Forderung zur Einzelfallprüfung eine große rechtliche Unsicherheit für Unternehmen. Verantwortlich für den rechtmäßigen Einsatz von Standarddatenschutzklauseln sind nun die Unternehmen und Datenschutzbehörden.
Ein anderer Ausweg wurde vom EuGH hervorgehoben:
Datentransfers können weiterhin nach Artikel 49 DSGVO stattfinden. Darunter fällt, wenn der Dateninhaber seine ausdrückliche Einwilligung in die vorgeschlagene Datenübermittlung nach Unterrichtung über mögliche Risiken gibt oder die Übermittlung der Daten ist zur Erfüllung eines Vertrages mit der betroffenen Person erforderlich.