Datentransfers in die USA: EuGH zerschlägt Privacy Shield

Die DSGVO erlaubt die Übermittlung personenbezogener Daten in sog. „Drittstaaten“, wie z. B. die USA, nur in Ausnahmen, etwa wenn im Empfängerstaat ein der EU angemessenes Datenschutzniveau garantiert werden kann.

Bislang waren Übermittlungen in Drittstaaten, wie die USA, möglich, wenn im Wesentlichen eine der folgenden drei Bedingungen erfüllt war:

  1. Es existiert ein EU-Angemessenheitsbeschluss, dass in einem bestimmten Staat generell ein der DSGVO angemessenes Datenschutzniveau garantiert wird. Dies ist z. B. bei der Schweiz, Neuseeland, Andorra, Argentinien, den Färöer Inseln, Guernsey, Japan und im Wesentlichen bei Kanada und Israel der Fall. Solche Staaten gelten dann nicht mehr als „Drittstaaten“.
  2. Das Empfängerunternehmen (z. B. in den USA) und der Datenexporteur (z. B. ein deutsches Unternehmen) haben einen von der EU vorgegebenen Vertrag nach EU-Standardvertragsklauseln (häufig auch als Standard Contractual Clauses (SCC) bezeichnet) abgeschlossen oder verwenden andere genehmigte vertragliche Vereinbarungen, die das Datenschutzniveau absichern.
  3. Das Empfängerunternehmen hat sich dem Privacy-Shield-Abkommen zwischen der EU und den USA unterworfen, welches betroffenen Personen ausreichende Datenschutzrechte zur Durchsetzung ihrer in der DSGVO zugesicherten Rechte einräumen sollte.

In der am 16. Juli 2020 in den Medien als „Schrems II“ bezeichneten Rechtssache C-311/18 hatte der EuGH über die Punkte 2 (Standardvertragsklauseln) und 3 (Privacy-Shield-Beschluss) zu entscheiden.

Ohne hier näher auf die konkrete juristische Argumentation des Gerichts einzugehen, hier das Ergebnis:

Die Standardvertragsklauseln werden vom Gericht nach wie vor als ein gültiges Regelwerk angesehen, um Datentransfers in die USA zu legitimieren, allerdings mit der Einschränkung, dass Verarbeitungen, die sich auf diese Klauseln stützen, ggf. einer Überprüfung der Einhaltung des in den Standardvertragsklauseln festgelegten Regelwerks standhalten müssen.

Anders beim Privacy-Shield-Abkommen: Hier wurde festgestellt, dass das „(Privacy-Shield-Abkommen) … den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären …“. Damit aber sei das Abkommen der EU-Kommission mit der DSGVO unvereinbar und in der Folge rechtswidrig.

Was konkret heißt dies für deutsche (europäische) Unternehmen?

Bereits aus den ersten Reaktionen von Datenschutzaufsichtsbehörden wird deutlich, dass Bedarf besteht, möglichst schnell eine rechtskonforme Regelung mit den USA zu finden (im Prinzip der gleiche Vorgang, aus dem 2016 der Privacy-Shield-Beschluss „geboren“ wurde, nachdem der EuGH den Vorgänger „safe harbor“ 2015 für ungültig erklärt hatte). Das allerdings scheint politisch unwahrscheinlich – zu gering dürfte im Moment das Interesse der Trump-Administration sein, den Europäern in einer ganz grundsätzlichen Frage, wie dem Umgang mit personenbezogenen Daten und Rechten von Ausländern gegen US-Sicherheitsbehörden, nachzugeben.

Das Urteil dürfte damit diejenigen bestärken, die schon in der Vergangenheit dafür plädiert haben, dass Unternehmen am besten auf deutsche bzw. europäische Dienstleister zurückgreifen sollten, statt Kunden- oder Mitarbeiterdaten in Drittländer, speziell in die USA, zu übermitteln.

Was ist nun zu tun, was kann man tun?

  • Auf jeden Fall sollte jeder Verantwortliche alle Verarbeitungen identifizieren, die allein auf Grundlage des Privacy Shield Daten in die USA übermitteln. Bei jedem dieser Verfahren lohnt die Überlegung, ob nicht die Möglichkeit besteht, eine andere, sicherere Rechtsgrundlage zu wählen oder zu einem Dienstleister zu wechseln, der seinen Sitz nicht in einem Datenschutz-Drittstaat hat.
  • Ist ein Wechsel des US-Dienstleisters nicht möglich, sollte überprüft werden, ob dieser eine Datenspeicherung in Europa anbietet, und eine Verlagerung des Datenspeicherungsorts nach Europa beauftragen. Viele US-Anbieter bieten diese Möglichkeit an. Ob dieses den Datenschutzaufsichtsbehörden genügt, bleibt allerdings abzuwarten – entlastet jedoch mindestens für den Moment.
  • Darauf achten, ob die eigenen Auftragsverarbeiter/Dienstleister ihrerseits Unterauftragnehmer einsetzen, die Daten in den USA verarbeiten. Diesbezüglich ist jedoch schon bald mit entsprechenden Modifikationen der EU-Vertragsbestimmungen zu rechnen.
  • Unbedingt Datenschutzerklärungen (Webseite) aber auch ggf. andere Informationen gem. Art. 13, 14 DSGVO anpassen, wenn diese noch Bezug auf „Privacy Shield“ nehmen. Bis zu neuen Regelungen der EU sind im Moment nur noch die Rechtsgrundlagen aus Art. 49 DSGVO für Datentransfers in Länder wie die USA „sicher“.

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.

Datenschutz & Datensicherheit
Das Fachinformationsportal

Zum Bestellbereich

  • Aktuelles Fachwissen
  • Rechtssichere Entscheidungen
  • Praktische Arbeitshilfen
  • Übersichtliche Prozessdarstellungen
  • Sofort einsetzbare Schulungen
Jetzt 4 Wochen testen