Suchen

Schrems II, „Privacy Shield“ und die Folgen Was wird aus der transatlantischen Datenübermittlung?

Autor / Redakteur: Sven Schlotzhauer, Fachanwalt für IT-Recht / Heidemarie Schuster

Der Europäische Gerichtshof hat entschieden, dass die Übermittlung von personenbezogenen Daten in die USA rechtswidrig ist, wenn dies auf Basis des „Privacy Shield“ erfolgt. Was ist also von Unternehmen zu tun, die davon betroffen sind?

Firmen zum Thema

Mit dem EuGH-Urteil vom 16. Juli 2020 (C-311/18) wurde die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten für rechtswidrig erklärt, wenn dies auf Basis des „Privacy Shield“ erfolgt. Gleichzeitig wurde ein zweites, weitverbreitetes Instrument der Absicherung der Datenübermittlung, die EU-Standardvertragsklauseln, in Frage gestellt.
Mit dem EuGH-Urteil vom 16. Juli 2020 (C-311/18) wurde die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten für rechtswidrig erklärt, wenn dies auf Basis des „Privacy Shield“ erfolgt. Gleichzeitig wurde ein zweites, weitverbreitetes Instrument der Absicherung der Datenübermittlung, die EU-Standardvertragsklauseln, in Frage gestellt.
(Bild: © XuBing - stock.adobe.com)

Wieder einmal Schrems: Der österreichische Jurist und Datenschutzaktivist beschäftigt seit Jahren Facebook und die europäischen Gerichte. Hatte er sich zunächst in einem Verfahren gegen das sog. Safe-Harbor-Abkommen gewandt und dieses zu Fall gebracht (EuGH vom 6. Oktober 2015, C-362/14 – Schrems), so wurde nun das seitens der EU-Kommission eilig zusammengezimmerte Nachfolgeabkommen „Privacy Shield“ für unwirksam befunden. Vor allem aber befasste sich der EuGH mit einer weiteren Möglichkeit der Absicherung von EU/US-Datenübermittlungen: Die sogenannten Standardvertragsklauseln. Diese wurden zwar nicht als ungültig angesehen, das Gericht zeigte aber deutliche Grenzen auf, die in der Praxis nur schwer einzuhalten sein dürften.

Hintergrund: Grenzüberschreitende Datenübermittlung

Stellt sich im Unternehmen die Frage einer Datenübermittlung in die USA oder in das Nicht-EU-Ausland allgemein, dann sind seit jeher zwei Fragen zu untersuchen:

  • Gibt es eine Rechtfertigung für die Datenübermittlung als solche und werden die Vorgaben der DSGVO dabei eingehalten?
  • Herrscht bei dem Empfänger ein angemessenes Datenschutzniveau?

Um letzteres abzusichern gibt es grundsätzlich verschiedene Wege. Für einige Länder wurde die Angemessenheit des Datenschutzniveaus seitens der EU-Kommission durch Beschluss festgestellt. Ungeachtet eines nicht ausreichenden Datenschutzniveaus im Empfängerland kann eine Datenübermittlung erfolgen, wenn eine Ausnahme einschlägig ist, wenn zum Beispiel der Betroffene der Datenübermittlung in das Zielland (freiwillig) zugestimmt hat. Weiter kann eine Datenübermittlung ausnahmsweise erfolgen, wenn diese für eine Vertragserfüllung erforderlich ist - beispielsweise bei der Buchung einer Reise, bei der im Zielland von der Einreisebehörde und dem Hotel die Daten des Reisenden verarbeitet werden.

Die Entscheidung

Es war absehbar, dass das „Privacy Shield“ genannte Abkommen vor dem EuGH keinen Bestand haben würde. In der Praxis wurde daher von anwaltlicher Seite seit langem davon abgeraten, die Angemessenheit der Datenübermittlung auf dieses Rechtsinstrument zu stützen. Mittel der Wahl war ein von der Kommission vorgestellter Standardvertrag, die sogenannten Standardvertragsklauseln. Diese hatten aus Sicht der Anwender den Charme, dass der Text grundsätzlich nicht verändert werden durfte, wenn man nicht seine Wirksamkeit gefährden wollte. Es gab also keinen Raum für lange Verhandlungen.

Der EuGH entschied nun, dass die Gültigkeit der Standardvertragsklauseln davon abhängt, ob diese „wirksame Mechanismen“ enthalten, die es in der Praxis ermöglichen, die Einhaltung des vom EU-Recht geforderten Schutzniveaus zu gewährleisten. Der EuGH entschied weiter, dass es Sache eines in der EU ansässigen für die Verarbeitung Verantwortlichen ist, von Fall zu Fall zu prüfen, ob das Recht des Ziellands nach EU-Recht einen angemessenen Schutz personenbezogener Daten gewährleistet, indem er erforderlichenfalls zusätzliche Garantien zu den von den Standardvertragsklauseln angebotenen vereinbart.

Das Problem: Im Fall der Übertragung in die USA stützte der EuGH die Unrechtmäßigkeit des „Privacy Shield“ gerade auf Defizite bei der Verhältnismäßigkeit und beim Rechtsschutz aufgrund zwingenden US-Rechts. So ließen die US-amerikanischen Regelungen keine Einschränkung der Überwachungsprogramme oder Garantien für Ausländer erkennen. Einige Regelungen verliehen keinerlei gegenüber den amerikanischen Behörden gerichtlich durchsetzbaren Rechte. Ein Präsidialdekret, auf das die Überwachung gestützt wird, unterfalle überhaupt keiner gerichtlichen Kontrolle. Insgesamt, so der EuGH, gebe es keine wirksamen Rechtsbehelfe gegen die Überwachungsmaßnahmen, wie es die DSGVO (Art. 45 Abs. 2a) jedoch erfordere.

Die Rechtsprechung des EuGH erscheint hier wie von einem anderen Stern: Während die EU allen Mitgliedsländern (also auch denjenigen mit massiven rechtsstaatlichen Defiziten) pauschal ein angemessenes Datenschutzniveau bescheinigt, spricht man dies den USA ebenso pauschal aufgrund der dortigen Geheimdienstaktivitäten ab.

Gerade die Aktivitäten von Nachrichtendiensten und fehlende Rechtsbehelfe hiergegen sind jedoch kein taugliches Argument. Denn die Aktivitäten einiger EU-Mitglieder dürften hier durchaus vergleichbar sein. Dem Autor ist bekannt, dass deutsche High-Tech-Unternehmen seitens deutscher Nachrichtendienste dezidiert vor den Wirtschaftsspionageaktivitäten eines französischen Geheimdienstes gewarnt wurden. Zudem hat das Bundesverfassungsgericht dem Bundesnachrichtendienst erst vor kurzem ins Stammbuch geschrieben, dass die Überwachung der Telekommunikation von Ausländern im Ausland an die Grundrechte des Grundgesetzes gebunden ist und nach der derzeitigen Ausgestaltung der Ermächtigungsgrundlagen gegen das Telekommunikationsgeheimnis und die Pressefreiheit verstößt. Anders ausgedrückt: Das schrankenlose Abschöpfen von Daten bei ausländischen Journalisten durch den BND im Ausland ist entgegen bisheriger Gewohnheiten nicht möglich.

Auch das Argument des fehlenden Rechtsbehelfs in den USA führt nicht weiter: Denn die überlange Verfahrensdauer in einigen EU-Mitgliedsstaaten dürfte faktisch bedeuten, dass dort eine Rechtsdurchsetzung ebenfalls unmöglich ist. In der Praxis machen die von einer Datenverarbeitung Betroffenen von Rechtsbehelfen gegen einen Datenzugriff praktisch keinen Gebrauch.

Angesichts dieser Inkonsistenzen erscheint es durchaus verwegen, mit dem Finger allein auf US-amerikanische Praktiken zu zeigen.

Konsequenzen aus dem Urteil

In ersten Reaktionen wurde geschrieben, der EuGH schneide die EU vom Internet ab. Ganz so ist es sicher nicht. Zunachst einmal sollte untersucht werden, ob die Übermittlung von personenbezogenen Daten in die USA tatsächlich erforderlich. Möglicherweise kann die Datenverarbeitung innerhalb der EU (zum Beispiel allein durch eine Tochtergesellschaft des US-Unternehmens) stattfinden. Bei vielen Wartungsverträgen, die einen Remotezugriff des Anbieters vorsehen, kann geprüft werden, ob wirklich auf die Datenbank des Nutzers mit den Produktivdaten zugegriffen werden muss oder ob Wartungsmaßnahmen nicht auch ohne diesen Zugriff erfolgen können.

Eine weitere Möglichkeit wäre die Anonymisierung personenbezogener Daten. Diese würde dazu führen, dass die DSGVO nicht zur Anwendung kommt. Dieses Mittel wird jedoch gerade bei internationalen Konzernen mit ihren Matrixstrukturen über Ländergrenzen hinweg selten umzusetzen sein.

Desweiteren bieten einige Cloud-Dienste eine Verschlüsselung an, die bewirkt, dass weder der Cloud-Anbieter noch Dritte tatsächlich auf die Inhalte zugreifen können. Eine solche Verschlüsselung kann ebenfalls bewirken, dass das Datenschutzrecht von vornherein keine Anwendung findet und dementsprechend die „Übermittlung“ auch nicht den oben genannten Regelungen unterliegt.

Eine weitere Alternative kann der Abschluss der genannten Standardvertragsklauseln mit weiteren Garantien sein. Das EuGH-Urteil besagt jedoch, dass die zuständigen Aufsichtsbehörden Datentransfers ungeachtet des Vorhandenseins der Klauseln ab sofort für unzulässig erklären und untersagen müssen, wenn sie die Garantien nicht für ausreichend halten. Einige Aufsichtsbehörden sehen es in ihren ersten Stellungnahmen weiter als möglich an, die Standardvertragsklauseln zu nutzen. Sie raten aber dazu, im Einzelnen zu prüfen, welchen Gesetzen der Datenempfänger in den USA in der speziellen Geschäftsbeziehung unterliegt und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Das dürfte für deutsche Datenexporteure in der Praxis in vielen Fällen keine Option sein.

Schließlich kann überlegt werden, eine Einwilligung für den Datentransfer zu implementieren. Dabei ist darauf zu achten, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erteilt werden muss.

In jedem Fall ist anschließend die dem Betroffenen erteilte Information (das heißt die Datenschutzerklärung) zu aktualisieren.

Ausblick

Die DSGVO wurde kürzlich seitens der EU-Kommission (erwartungsgemäß) als „Erfolgsgeschichte“ bezeichnet – ungeachtet der damit verbundenen überbordenden Bürokratie und den dadurch produzierten millionenfachen, mit massiven Bußgeldern bedrohten Datenschutzverstößen. Es bleibt zu hoffen, dass die Standardvertragsklauseln seitens der EU-Kommission jetzt wie geplant aktualisiert werden, damit Unternehmen zeitnah eine verlässliche Grundlage für einen Datentransfer in die USA haben.

(ID:46746711)