20. Juli 2020

Das EuGH-Urteil zum Datentransfer in die USA

Mainz, den 20. Juli 2020 – Mit Urteil vom 16. Juli 2020 entschied der EuGH, dass der Beschluss der EU-Kommission über die Angemessenheit des “Privacy Shield”-Regelwerks ungültig ist. Das Privacy Shield Programm bietet daher keine Rechtssicherheit bei der Übermittlung personenbezogener Daten in die USA mehr. Bezüglich der Verwendung der sog. “Standardvertragsklauseln”, stellt der EuGH ebenfalls hohe Anforderungen im Einzelfall. Wir erläutern die Hintergründe und Kernaussagen der Entscheidung und was diese für die Praxis in Ihrem Unternehmen bedeuten.

Was ist das Privacy Shield?

Das Privacy Shield Programm war vom US-Handelsministerium gemeinsam mit der Europäischen Kommission sowie der Schweizer Bundesverwaltung entwickelt worden. Zuvor hatte der EuGH bereits mit Urteil vom 6. Oktober 2015 das bis dahin noch geltende “Safe Harbor”-Regelwerk für ungültig erklärt. Die so entstandene Lücke sollte das neue “Privacy Shield Framework” füllen. Registrierte Unternehmen können sich zur Einhaltung des Regelwerks bekennen. Das Regelwerk bietet dann nach US-Recht einen durchsetzbaren Anspruch der Betroffenen zur Einhaltung des Privacy Shield. Dieser Mechanismus sollte den Unternehmen helfen, im Geschäftsalltag die Datenschutzanforderungen bei der Übermittlung personenbezogener Daten aus der Europäischen Union und der Schweiz in die USA einzuhalten. Das Programm wird weiterhin durch das US-Handelsministerium verwaltet, bietet jedoch nach dem EuGH-Urteil vom 16. Juli 2020 keine Rechtssicherheit in Bezug auf die Einhaltung der DSGVO mehr.

Was sind die Standardvertragsklauseln?

Eine weitere Alternative zum Vorgehen beim Datentransfer in sog. “Drittstaaten” außerhalb der EU (nicht nur die USA) bietet die Verwendung der seit dem Jahr 2010 bestehenden sog. “Standardvertragsklauseln” auf Grundlage des Beschlusses (EU) 2010/87 der EU-Kommission. Schließen der Datenexporteur und der Datenimporteur einen Vertrag unter Verwendung der Standardklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO), ist der darauf basierende Datentransfer ohne weitere Genehmigung durch die Aufsichtsbehörde grundsätzlich im Rahmen der DSGVO zulässig.

Was hat der EuGH entschieden?

  • Der EuGH betonte, dass bei der Durchführung von internationalen Datentransfers ein gleichwertiges Schutzniveau gewährleistet sein muss. Dabei ist neben den vertraglichen Regelungen, die zwischen dem Datenexporteur und dem Empfänger im Drittstaat vereinbart wurden, auch der gesetzliche Rechtsrahmen im Drittstaat, insbesondere bezüglich der Zugriffsmöglichkeiten der Behörden auf die übermittelten Daten ausschlaggebend.
  • Bezüglich des Regelwerks aus dem Privacy Shield Programm kommt der EuGH zu dem Schluss, dass die darin bestimmten Garantien und Maßnahmen für den Schutz personenbezogener Daten nicht zu einem gleichwertigen Schutzniveau führten. Zur Begründung stellt der EuGH darauf ab, dass die auf Section 702 des “Foreign Intelligence Surveillance Act” (FISA) und die Executive Order 12333 gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien. Zum anderen böte das Privacy Shield keine ausreichenden Rechtsschutzmöglichkeiten. Mit dieser Begründung erklärte der EuGH den Privacy Shield Beschluss für ungültig.
  • Bei der Prüfung der Standardvertragsklauseln der EU-Kommission gelangte der EuGH zu dem Ergebnis, diese seien grundsätzlich wirksam. Nach Einschätzung des EuGH enthalten diese entsprechende Klauseln, die in der Praxis gewährleisten, dass das erforderliche Schutzniveau eingehalten wird. Zu beachten ist hierbei, dass der Empfänger dem Datenexporteur mitteilen muss, wenn er die vertraglichen Garantien nicht einhalten kann. In diesem Falle ist die Datenübermittlung sofort auszusetzen.

Was bedeutet das für mein Unternehmen?

  • Für Geschäftsprozesse, in denen personenbezogene Daten bisher ausschließlich auf Basis des Privacy Shield in die USA übermittelt wurden, müssen Unternehmen aufgrund der Unwirksamkeit des Privacy Shields auf andere Garantien umsteigen:
    • Vereinbarung der Standardvertragsklauseln: Es sollten die bestehenden Standardvertragsklauseln mit dem US-Vertragspartner vereinbart werden. Die großen US-Dienstleister wie z.B. Microsoft, Google und Amazon bieten den Abschluss der Standardvertragsklauseln für Unternehmenskunden unverändert an
    • Ausnahmeregelungen: Möglicherweise lassen sich einzelne Datenübermittlungen auch auf einen der Ausnahmefälle nach Art. 49 DSGVO stützen. Zu beachten ist dabei, dass die dort aufgelisteten Ausnahmefälle in aller Regel eng auszulegen sind. Zudem  sind sie nicht auf regelmäßige und wiederkehrende Datentransfers (wie bei klassischem IT-Outsourcing z.B. bei Cloud-Speicher) übertragbar.
  • Die in Kürze zu erwartenden Stellungnahmen der jeweils für das Unternehmen zuständigen lokalen Aufsichtsbehörden sollten berücksichtigt werden. Der Datenschutzbeauftragte des Landes Rheinland-Pfalz hat beispielsweise bereits eine erste Stellungnahme vom 16. Juli 2020 veröffentlicht, wonach dieser die Notwendigkeit einer Abstimmung zwischen den Aufsichtsbehörden betont, um eine einheitliche Rechtsanwendung zu erreichen.
  • In einer Meldung vom 16. Juli 2020 hat die EU-Kommission bestätigt, an aktualisierten Standardvertragsklauseln sowie an einer politischen Lösung mit den USA zu arbeiten. Diese Entwicklungen, sowie der Fortgang des Hauptsacheverfahrens vor dem Irish High Court sollten beobachtet werden.

 

Bildnachweise:

Business photo created by onlyyou and natanaelginting – www.freepik.com