Mit Urteil vom 16.07.2020 („Schrems II“) hat der EUGH das zwischen den USA und der EU bestehende Privacy-Shield für ungültig erklärt.
Der personenbezogene Datentransfer in nicht sichere Drittländer, hierzu gehören auch die USA, ist nur zulässig, wenn den betroffenen Personen auch bei der dortigen Datenverarbeitung mindestens ein Schutzniveau, wie es die EU-DSGVO vorsieht, gewährleistet wird. Dies bedeutet insbesondere, dass die Daten nur für die Zwecke
ihrer Erhebung verarbeitet (hierzu gehört auch weitergeleitet) werden dürfen und dass sämtliche Betroffenenrechte gewährleistet sind. Ferner muss den betroffenen Personen bei einem möglichen Verstoß gegen diese Anforderungen ein effektiver und umfassender Rechtsschutz möglich sein.
Begründung
Bereits die Vorgängerregelung des Privacy Shield, das Safe Harbor-Abkommen wurde durch den EUGH im Oktober 2015 gekippt (Schrems I), da es diese Anforderungen nicht erfüllte. Insbesondere war US-Regierungsstellen und Geheimdiensten der Zugriff auf Daten ohne richterlichen Beschluss und ohne die Möglichkeit hiergegen Rechtsmittel einlegen zu können möglich. Die von der EU-Kommission zusammen mit der damaligen US-Regierung ausgehandelte Nachfolgerregelung sollte diese Missstände beseitigen und eine stabile rechtliche Grundlage für die Übermittlung personenbezogener Daten in die USA bilden, sofern das dortige Unternehmen dem Privacy Shield beigetreten war. Hieran bestanden von Anfang an Zweifel, die nunmehr vom EUGH bestätigt wurden. Bemängelt wurde neben den nach wie vor unkontrolliert möglichen Zugriffen auf Daten durch US-Geheimdienste und andere Behörden auch, dass der im Privacy Shield verankerte Ombutsmann zwar angerufen werden kann, aber lediglich Empfehlungen aussprechen kann, die keine rechtliche Bindungswirkung entfalten.
Weiterrechende Inhalte des Urteils
Darüber hinaus hat die Entscheidung einen weiteren Punkt aufgegriffen, der im Schrems I – Urteil noch unberücksichtigt blieb: die Vereinbarung von Standard-Vertragsklauseln stellt zwar auch weiterhin grundsätzlich eine zulässige Rechtsgrundlage für die personenbezogene Datenübermittlung in nicht sichere Drittstaaten dar, doch muss auch hier das DSGVO-Niveau sicher und rechtsverbindlich gewährleistet sein. Das bedeutet in der Praxis, dass der ausländische Datenempfänger auch in der Lage sein muss, seine Verpflichtungen aus den Standardvertragsklauseln zu erfüllen. Ggf. müssten die Inhalte um entsprechende, den Rahmenbedingungen des Empfängerlandes angepasste, Klauseln erweitert werden. Ferner müssen die rechtlichen Rahmenbedingungen des Empfängerlandes dahingehend geprüft werden, ob verbindliche gesetzliche Regelungen, die vom Empfänger nicht umgangen werden können, die Umsetzung der Klauseln verhindern. Für die USA wurde das im Urteil Schrems II mittelbar bereits festgestellt, so dass davon auszugehen ist, dass selbst erweiterte Standardvertragsklauseln ebenfalls keine Rechtsgrundlage für die Übermittlung personenbezogener Daten bilden können.
Mittelbar hat das Urteil aber auch Auswirkungen auf die Übermittlung personenbezogener Daten in andere nicht sichere Drittstaaten, wie z.B. Russland, China oder Indien. Auch wenn diese nicht direkt betroffen sind, muss hier die jeweilige Rechtslage des Landes geprüft und über die Zulässigkeit eines Datentransfers entschieden werden. Auch müssen etwaige Änderungen der Rechtslage festgestellt und entsprechend reagiert werden können. Ob und inwieweit das einem betrieblichen Datenschutzbeauftragten überhaupt möglich sein wird, sei dahingestellt.
Folgen für die Praxis
Das Urteil stellt nahezu alle personenbezogene Datenübermittlungen in die USA infrage. Ausgenommen bleiben lediglich
- Übermittlungen auf der Grundlage einer ausdrücklichen und vollständig informierten Einwilligung;
- Übermittlungen die für die Durchführung eines Vertrages mit der betroffenen Person erforderlich sind (z.B. Hotelbuchungen);
- Übertragungen auf der Grundlage verbindlicher und anerkannter Konzernregelungen (BCR);
- Übermittlungen auf der Grundlage des Art. 49 EU-DSGVO.
Handlungsbedarf und Handlungsempfehlungen
Es sollte zunächst geprüft werden, ob, wo und in welchem Umfange personenbezogene Daten in die USA übermittelt werden. Hierbei kommen nicht nur die unmittelbaren und zumeist leicht auffindbaren Prozesse in Betracht, sondern auch die Nutzung von Cloud- oder Softwarediensten, wenn Daten in den USA gespeichert werden oder aus den USA darauf zugegriffen werden kann. Ferner sollten auch Auftragsverarbeiter (nochmals) dahingehend geprüft werden, ob die Auftragsverarbeitung ganz oder teilweise in den USA erfolgt, oder ob Subunternehmer in den USA einbezogen sind.
Wie oben dargestellt, sind diese Übermittlungen nunmehr unzulässig, sofern sie sich auf das Privacy Shield oder auf Standard-Vertragsklauseln stützen. Rechtsfolge wäre dann, die Übermittlungen einzustellen, was häufig aus ökonomischer Sicht nicht oder zumindest nicht sofort möglich sein wird. Ein einfaches Weitermachen kann aber zu Abmahnungen, Unterlassungsverfügungen und/oder zu Bußgeldern führen. Welche Alternativen bestehen also?
- Die Umstellung auf Standard-Vertragsklauseln, die der EUGH im Schrems I – Urteil noch ausdrücklich empfohlen hat, scheidet aus den oben genannten Gründen aus. Darüber hinaus gibt es für das Verhältnis Auftraggeber – Subunternehmer keine solchen Klauseln.
- Es kann davon ausgegangen werden, das zwischen der EU-Kommission und den USA erneut Verhandlungen über eine Nachfolgeregelung aufgenommen werden, deren Ausgang aufgrund der hohen Anforderungen der EUGH und der Verhandlungsführung der gegenwärtigen US-Regierung aber, vorsichtig ausgedrückt, offen sein dürfte.
- Ob es, wie nach dem Ende des Safe-Harbor-Vertrages eine erneute Übergangsfrist zur Umstellung laufender Verfahren geben wird, ist noch nicht entschieden. Dafür sprechen die ökonomischen Erfordernisse, dagegen, dass die EU-DSGVO die Anforderungen an den Datenschutz gegenüber den 2015 geltenden Regelungen deutlich verschärft hat und dass die Aufsichtsbehörden unmittelbar durch den EUGH dazu aufgefordert wurden, unzulässige Datentransfers zu unterbinden.
Derzeit befinden sich auch die Aufsichtsbehörden national und innerhalb der EU noch in einem Abstimmungsprozess über das weitere Vorgehen. Ein kurzzeitiges Abwarten kann also unter diesem Gesichtspunkt sinnvoll sein, birgt jedoch auch ein Restrisiko. Ein Wechsel auf Anbieter und Partner innerhalb der EU oder in sichere Drittländer sollte also angestrebt und zumindest vorbereitet werden. Wer Cloud-Dienste nutzt kann alternativ auch auf eine (starke) Verschlüsselung der dort gespeicherten Daten setzten, um diese dem Zugriff Unbefugter zu entziehen.
In einem zweiten Schritt sollten auch die Übermittlungen in andere nicht sichere Drittstaaten ermittelt und in gleicher Weise geprüft werden. Da das Urteil sich unmittelbar nur auf den Datentransfer in die USA bezieht, kann dies aber nachrangig erfolgen.