Mit seinem jüngsten Urteil kippt der Europäische Gerichtshof (EuGH) eine Entscheidung der Europäischen Kommission und schafft damit erheblichen Handlungsbedarf für Unternehmen. Die Kommissionsentscheidung hatte dem EU-U.S.-Privacy Shield einen angemessenen Schutz für personenbezogene Daten bescheinigt. Gleichzeitig stellt der EuGH klar, dass die so genannten Standardvertragsklauseln grundsätzlich weiterhin verwendet werden dürfen, wenn das Recht des Bestimmungslandes ausreichenden Schutz bietet.
Die weitreichenden Auswirkungen des Urteils
Das EuGH-Urteil hat weitreichende Auswirkungen. Es betrifft in erster Linie die mehr als 5.000 Unternehmen in den USA, die sich dem Privacy Shield-Mechanismus unterworfen haben. Daneben besteht aber auch Handlungsbedarf für sämtliche Unternehmen außerhalb der USA, die sich an die Datenschutz-Grundverordnung (DSGVO) halten müssen und bisher Daten an Privacy Shield-zertifizierte US-Empfänger übermittelt haben. Abgesehen davon sind auch alle Datenverarbeitungen zu überprüfen, die auf die Standardvertragsklauseln gestützt werden.
Das bedeutet, dass jetzt nicht nur der interne Datentransfer multinationaler Konzerne überprüft werden sollte, sondern sogar jeder Datentransfer mit Dienstleistern und anderen Dritten, der den strengen Regeln der DSGVO unterliegt. Werden zum Beispiel Mitarbeiterdaten über einen Cloud-Dienst verarbeitet, der entweder selbst in einem Drittstaat (z.B. den USA) niedergelassen ist, oder der wiederum auf Unternehmen zurückgreift, die in einem Drittstaat niedergelassen sind, besteht Handlungsbedarf. Das Gleiche gilt für Kundendaten, die z.B. zur Abwicklung von Dienstleistungs- oder Warenkaufverträgen in die USA oder einen anderen Drittstaat übersandt werden.
Die Begründung EuGH
Wie im Falle des Vorläufers des Privacy Shield (das sog. "Safe Harbor" Abkommen), den der EuGH bereits 2015 kassiert hatte, kritisiert der EuGH in seinem aktuellen Urteil, dass weder das US-Recht noch der Privacy Shield wirksame Rechtsmittel gegen die weitreichenden Rechte der US-Geheimdienste vorsehen. Daher erfülle der Privacy Shield nicht die strengen Anforderungen des Datenschutzrechts in der EU.
Die gute Nachricht: EuGH bestätigt Standardvertragsklauseln
Erfreulicherweise bestätigt das Urteil die grundsätzliche Gültigkeit der Standardvertragsklauseln (zwischen einem Verantwortlichem und einem Verarbeiter). Der EuGH betont jedoch, dass die Parteien des Transfers dafür verantwortlich sind, im Einzelfall zu beurteilen, ob die Standardvertragsklauseln einen geeigneten Rechtfertigungsmechanismus darstellen oder nicht. Je nach Schutzniveau im Bestimmungsland kann es für die Einhaltung der Standardvertragsklauseln erforderlich sein, dass die Parteien zusätzliche Maßnahmen ergreifen. Letzten Endes darf der Schutz für die Daten durch einen solchen Transfer nicht sinken. Kann das im Einzelfall nicht gewährleistet werden, ist der Transfer einzustellen. Erfolgt dies nicht, so der EuGH, muss die zuständige Aufsichtsbehörde den konkreten Datenverkehr unterbinden – gegebenenfalls unter Einbeziehung des Europäischen Datenschutzausschusses, um eine einheitliche Entscheidung in allen EU-Staaten zu gewährleisten.
Was nun?
Unternehmen, die der DSGVO unterliegen, sollten zunächst sämtliche ihrer direkten und indirekten Datenflüsse in die USA überprüfen, sowie den jeweiligen rechtlichen Mechanismus für solche Übermittlungen. Falls die eigene Übermittlung oder diejenige von Dienstleistern in die USA auf den Privacy Shield gestützt wurde, ist ein anderer Transfermechanismus zu wählen.
Die weitreichenden Auswirkungen des Urteils
Das EuGH-Urteil hat weitreichende Auswirkungen. Es betrifft in erster Linie die mehr als 5.000 Unternehmen in den USA, die sich dem Privacy Shield-Mechanismus unterworfen haben. Daneben besteht aber auch Handlungsbedarf für sämtliche Unternehmen außerhalb der USA, die sich an die Datenschutz-Grundverordnung (DSGVO) halten müssen und bisher Daten an Privacy Shield-zertifizierte US-Empfänger übermittelt haben. Abgesehen davon sind auch alle Datenverarbeitungen zu überprüfen, die auf die Standardvertragsklauseln gestützt werden.
Das bedeutet, dass jetzt nicht nur der interne Datentransfer multinationaler Konzerne überprüft werden sollte, sondern sogar jeder Datentransfer mit Dienstleistern und anderen Dritten, der den strengen Regeln der DSGVO unterliegt. Werden zum Beispiel Mitarbeiterdaten über einen Cloud-Dienst verarbeitet, der entweder selbst in einem Drittstaat (z.B. den USA) niedergelassen ist, oder der wiederum auf Unternehmen zurückgreift, die in einem Drittstaat niedergelassen sind, besteht Handlungsbedarf. Das Gleiche gilt für Kundendaten, die z.B. zur Abwicklung von Dienstleistungs- oder Warenkaufverträgen in die USA oder einen anderen Drittstaat übersandt werden.
Die Begründung EuGH
Wie im Falle des Vorläufers des Privacy Shield (das sog. "Safe Harbor" Abkommen), den der EuGH bereits 2015 kassiert hatte, kritisiert der EuGH in seinem aktuellen Urteil, dass weder das US-Recht noch der Privacy Shield wirksame Rechtsmittel gegen die weitreichenden Rechte der US-Geheimdienste vorsehen. Daher erfülle der Privacy Shield nicht die strengen Anforderungen des Datenschutzrechts in der EU.
Die gute Nachricht: EuGH bestätigt Standardvertragsklauseln
Erfreulicherweise bestätigt das Urteil die grundsätzliche Gültigkeit der Standardvertragsklauseln (zwischen einem Verantwortlichem und einem Verarbeiter). Der EuGH betont jedoch, dass die Parteien des Transfers dafür verantwortlich sind, im Einzelfall zu beurteilen, ob die Standardvertragsklauseln einen geeigneten Rechtfertigungsmechanismus darstellen oder nicht. Je nach Schutzniveau im Bestimmungsland kann es für die Einhaltung der Standardvertragsklauseln erforderlich sein, dass die Parteien zusätzliche Maßnahmen ergreifen. Letzten Endes darf der Schutz für die Daten durch einen solchen Transfer nicht sinken. Kann das im Einzelfall nicht gewährleistet werden, ist der Transfer einzustellen. Erfolgt dies nicht, so der EuGH, muss die zuständige Aufsichtsbehörde den konkreten Datenverkehr unterbinden – gegebenenfalls unter Einbeziehung des Europäischen Datenschutzausschusses, um eine einheitliche Entscheidung in allen EU-Staaten zu gewährleisten.
Was nun?
Unternehmen, die der DSGVO unterliegen, sollten zunächst sämtliche ihrer direkten und indirekten Datenflüsse in die USA überprüfen, sowie den jeweiligen rechtlichen Mechanismus für solche Übermittlungen. Falls die eigene Übermittlung oder diejenige von Dienstleistern in die USA auf den Privacy Shield gestützt wurde, ist ein anderer Transfermechanismus zu wählen.