NEWS

Europäischer Gerichtshof kippt EU-US Privacy Shield – Was nun?

In einer richtungsweisenden Entscheidung des EuGH, wurde das EU-US Privacy Shield für ungültig erklärt. (Schrems-II-Urteil EuGH Az. C-311/18) Damit wurde eine der wichtigsten Rechtsgrundlagen für den Datentransfer zwischen der EU und den USA erneut gekippt. Die Gerichte stellten fest, dass das Privacy Shield die Privatsphäre der EU-Bürger nicht ausreichend schütze.

Diese Entscheidung wird sich auf viele international tätige Unternehmen auswirken und sie zwingen, ihre Datentransfers in die USA neu zu bewerten. Glücklicherweise gibt es andere Rechtsgrundlagen, um derartige Datentransfers datenschutzrechtlich abzusichern.

 

Ein Rückblick zur Geschichte der Datenschutzabkommen zwischen den USA und der EU

Auch wenn das Thema „Datenschutz“ in den frühen 2000er Jahren noch nicht so einen hohen Stellenwert hatte, entschloss sich die EU damals dazu die Persönlichkeitsrechte und somit die persönlichen Daten Ihrer Bürger im Ausland zu schützen. Daher wurde bereits im Jahre 2000 das erste transatlantische Datenschutzabkommen „Safe Harbor“ zwischen der EU und den USA abgeschlossen. Dieses regelte 15 Jahre lang zu großen Teilen den Datenverkehr zwischen den beiden Kontinenten.

Schon früh wurde Kritik an dem Abkommen geäußert, da dessen Wirksamkeit auf Grund diverser Sicherheitsgesetze in den USA und der eigentlichen Umsetzung bezweifelt wurde. US-amerikanische Unternehmen, die sich auf das Safe Harbor Abkommen stützen wollten, mussten lediglich offiziell erklären, dass Sie sich an die sieben Grundsätze der Regelung halten würden.  Eine externe Zertifizierung oder gar Prüfung gab es de facto nicht. Trotzdem wurden „selbstzertifizierte“ Unternehmen auf einer offiziellen Liste veröffentlicht und diesen automatisch ein ausreichendes Datenschutzniveau zugeschrieben.

Darüber hinaus wurden in den USA diverse Sicherheitsgesetze, wie der Patriot Act, erlassen, die den staatlichen Behörden Zugriff auf personenbezogene Daten Betroffener – ohne deren Wissen oder gar Einwilligung – ermöglichte. Als weitere Enthüllungen zu den eingreifenden Überwachungsmaßnahmen der amerikanischen Regierung durch Whistleblower wie Edward Snowden ans Licht kamen, geriet das Safe Harbor Abkommen immer weiter in die Kritik.

Schlussendlich klagte der  österreichische Datenschutzaktivist Maximilian Schrems gegen den Konzern Facebook, Inc., was zum Safe-Harbor-Urteil im Jahre 2015 führte. Durch das Urteil erklärte der EuGH das Safe-Harbor-Abkommen für unzulässig. Damals hatte der EuGH argumentiert, dass das Abkommen schlichtweg kein ausreichendes Schutzniveau gewährleisten könne (EuGH Az.: C-362/14).

Schon damals führte diese Entscheidung zu einer unklaren Rechtslage bei der Übermittlung personenbezogener Daten in die USA. Mittlerweile war die weltweite Übermittlung personenbezogener Daten Grundlage für viele Unternehmen, allen voran große internationale Konzerne wie Facebook, Google, Microsoft, Apple und Co. Auch Unternehmen in der EU waren daher auf ein wirksames Abkommen angewiesen. Deshalb wurde wenige Monate später, im Juli 2016, das EU-US Privacy Shield erlassen.

Das Privacy Shield beruhte insbesondere auf Zusicherungen der US-amerikanischen Regierung, keine unrechtmäßigen Datenverarbeitungen mehr durchzuführen und einem Angemessenheitsbeschluss der EU-Kommission, die den USA dadurch ein adäquates Sicherheitsniveau beglaubigte. Auch das Privacy Shield wurde von Anfang an bemängelt, da es laut Datenschützern immer noch kein ausreichendes Schutzniveau biete.

Daher ist es umso verblüffender, dass das Abkommen trotz Einführung der Datenschutzgrundverordnung (DSGVO) in 2018 und damit einhergehender weitaus strengerer Datenschutzvorschrifte, sowie diverser Skandale bezüglich unzulässiger Überwachungsmaßnahmen der US-amerikanischen Regierung, bis zum Schrems-II-Urteil des EuGH in 2020 standhielt.

In dem Schrems-II-Verfahren hatte der EuGH sowohl über die Rechtmäßigkeit des EU-US Privacy Shields als auch über diese der EU-Standardvertragsklauseln zu entscheiden. In seiner Stellungnahme vom Dezember 2019 hielt der EU-Generalanwalt Henrik Saugmandsgaard Øe die EU-Standardvertragsklauseln für rechtmäßig. Er äußerte zwar seine Bedenken hinsichtlich der Rechtmäßigkeit des Privacy Shields, seiner Ansicht nach sollte aber diese Frage nicht innerhalb des Schrems-II-Verfahrens geklärt werden. Der EuGH ist seinem Vorschlag nur zum Teil gefolgt. Das Gericht erklärte die EU-Standardvertragsklauseln zwar – so wie der EU-Generalanwalt vorgeschlagen hat - für rechtmäßig. Entgegen dem Vorschlag des EU-Generalanwalts entschied der EuGH aber auch über die Rechtmäßigkeit des Privacy Shields und erklärte dieses für ungültig.

 

Datentransfer nach dem Urteil – die EU-Standardvertragsklauseln als Alternative?

Erneut stehen nun viele verantwortliche Unternehmen vor einer rechtlichen Herausforderung, dieses Mal jedoch mit Ansage.  Seit Langem war vielen Datenschützern klar, dass das Abkommen früher oder später gekippt wird. Selbst die EU Kommission bereitete sich Wochen vor der Verkündung des EuGH-Urteils auf Alternativen zum Privacy Shield vor. Im Gegensatz zur Safe Harbor Entscheidung 2015 drohen jedoch auf Grund der DSGVO, bei Missachtung der geltenden Vorschriften, weitaus höhere Bußgelder.  Glücklicherweise bietet die DSGVO in Artikel 46 Absatz 2 weitere Rechtsgrundlagen, um eine Datenübermittlung in die USA rechtssicher zu gestalten.

Hierzu gehören insbesondere die zuvor erwähnten EU-Standarddatenschutzvertragsklauseln, die von der EU-Kommission erlassen wurden und bereits seit Jahren von vielen Unternehmen genutzt werden. Die Standarddatenschutzvertragsklauseln können (ähnlich wie Auftragsverarbeitungsvereinbarungen) mit Dienstleistern außerhalb der EU abgeschlossen werden und verpflichten diese ein angemessenes Datenschutzniveau aufrecht zu erhalten. Da die Standarddatenschutzvertragsklauseln allerdings teilweise noch aus dem Jahr 2001 stammen und nur bestimmte Vertragskonstellationen bzw. Datenübermittlungen abdecken, können diese nur bedingt zum Einsatz kommen. Darüber hinaus hat der EuGH in seiner Schrems-II Pressemitteilung erwähnt, dass die Aufsichtsbehörden verpflichtet sind, „eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können“.

Gerade bei komplexeren Datenströmen, zum Beispiel innerhalb eines international agierenden Konzerns, sind Standarddatenschutzvertragsklauseln meist nicht geeignet. Der Gesetzgeber hat zwar in der DSGVO weitere mögliche Rechtsgrundlagen, wie verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“) vorgesehen, allerdings müssen diese erst von der zuständigen Aufsichtsbehörde genehmigt werden. Deren Einsatz beinhaltet daher auch eine umfangreiche Prüfung der internen datenschutzrechtlichen Vorgänge eines Unternehmens. Eine zeit- und kostenaufwändige Maßnahme, die sich meist nur wenige Unternehmen leisten können. Auch kommt hinzu, dass viele Aufsichtsbehörden überlastet sind und die Prüfung teils Jahre in Anspruch nimmt.

Die DSGVO sieht darüber hinaus noch weitere mögliche Rechtsgrundlagen in Artikel 46 Absatz 2 DGSVO vor, jedoch sind viele davon auch zwei Jahre nach Inkrafttreten  der Verordnung nicht verfügbar.

Das EuGH-Urteil zum EU-US Privacy Shield stellt daher nicht nur Unternehmen, sondern auch Aufsichtsbehörden und den Gesetzgeber unter Druck und somit vor neue Herausforderungen. Es bleibt fraglich, ob die EU-Kommission nun tatsächlich schnellstmöglich Alternativen aufzeigt, um Unternehmen weiterhin eine rechtskonforme Möglichkeit für die Datenübertragung in die USA zu ermöglichen. In einer immer stärker vernetzten Welt, die insbesondere auf Grund der Covid-19 Pandemie auf Online-Lösungen großer US-Konzerne angewiesen ist, ist und bleibt der internationale Datentransfer ein Muss.


Die Datenschutzexperten von CLARIUS.LEGAL beraten Sie hierzu gerne. Sprechen Sie uns an.