Lesen Sie auf Englisch/Read in English.
Die historische Entscheidung des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache Schrems II, die den EU-U.S.-Datenschutzschild (auch „Privacy Shield“) für ungültig erklärt hat, zwingt Unternehmen, den Mechanismus grundsätzlich zu überdenken, auf den sie die Übermittlung personenbezogener Daten aus der EU in die USA und andere Drittstaaten stützen. Wie die Entscheidung konkret durchgesetzt werden wird, bleibt jedoch ungewiss.
Trotz der Ungültigkeitserklärung des Privacy Shields hat das US-Handelsministerium erklärt, dass es das Privacy-Shield-Programm weiterhin fortführen, Einreichungen zu bestehenden Selbstzertifizierungen und Neuzertifizierungen bearbeiten und die Privacy-Shield-Liste weiter pflegen wird. Obgleich der EuGH die Standardvertragsklauseln aufrecht erhalten hat (ein weiteres Instrument, auf das der Datentransfer in Drittstaaten grundsätzlich gestützt werden kann), zog das Urteil Reaktionen verschiedener Datenschutzaufsichtsbehörden nach sich, von denen einige die Zulässigkeit der Verwendung von Standardvertragsklauseln für den Transfer in die USA in Frage stellen.
EDSA strebt neue Vereinbarung mit den USA an und verspricht Klarstellung bezüglich der Standardvertragsklauseln
Am Tag nach dem EuGH-Urteil veröffentlichte der Europäische Datenschutzausschuss (EDSA), das Gremium, dem unter anderem die nationalen Datenschutzbehörden aller EU-Mitgliedstaaten angehören, eine Erklärung, in der er das Urteil begrüßt und ihm "große Bedeutung" zuerkennt. EU und USA sollten, so der EDSA weiter, im Einklang mit dem Urteil einen vollständigen und wirksamen Rahmen schaffen, der gewährleistet, dass das in den USA gewährte Schutzniveau für personenbezogene Daten im Wesentlichen dem in der EU garantierten gleichwertig ist.
Der EDSA kündigt zudem an, die seitens des Gerichts angesprochenen „zusätzlichen Maßnahmen“ evaluieren zu wollen. Solche Maßnahmen könnten die Parteien ergreifen, um sich für eine Übermittlung auf die Standardvertragsklauseln zu stützen, deren Überprüfung im konkreten Fall gemäß den vom EuGH aufgestellten Grundsätzen eigentlich ergeben hat, dass das Schutzniveau des Bestimmungslandes aus Sicht des EU-Rechts nicht ausreichen würde.
Der EDSB stellt fest, dass Datenschutz ein globales Grundrecht ist
In seiner Erklärung im Anschluss an das Schrems II-Urteil sieht der Europäische Datenschutzbeauftragte (EDSB) die wachsende Zahl der weltweit verabschiedeten Datenschutzgesetze, einschließlich der neuen Konvention 108+ des Europarates, als Beweis dafür, dass der Datenschutz nicht nur ein "europäisches" Grundrecht ist, sondern ein Grundrecht mit beinahe weltweiter Anerkennung. Vor diesem Hintergrund sei er davon überzeugt, dass die Vereinigten Staaten alle möglichen Anstrengungen und Mittel einsetzen würden, um auf einen umfassenden Rechtsrahmen für den Datenschutz hinzuarbeiten, der die Anforderungen an angemessene Garantien wirklich erfüllt. Der EDSB bekräftigt in seiner Erklärung ferner die Pflicht der Datenschutzbehörden, die geltenden Datenschutzgesetze gewissenhaft durchzusetzen und gegebenenfalls die Übermittlung von Daten an ein Drittland auszusetzen oder zu verbieten.
Der britische ICO rät Unternehmen zur weiteren Verwendung des Privacy-Shields
Der ICO erklärt auf seiner Website: "Wenn Sie derzeit den Privacy Shield verwenden, fahren Sie bitte damit fort, bis neue Leitlinien verfügbar sind. Fangen Sie jedoch bitte während dieser Zeit nicht damit an, den Privacy Shield zu benutzen.“
Die irische DPC hält die Verwendung von Standardvertragsklauseln für Datenübermittlungen in die USA für fragwürdig
Die irische Datenschutzkommission (DPC), die an dem Verfahren beteiligt war, das zu dem EuGH-Urteil führte, zeigt sich erfreut darüber, dass der EuGH ihrer Position gefolgt sei. Die Anwendung der Standardvertragsklauseln auf die Übermittlung personenbezogener Daten in die USA sei nunmehr fragwürdig und erfordere von Fall zu Fall weitere und sorgfältige Prüfungen. In Zukunft spielten die Aufsichtsbehörden eine "zentrale Rolle" und müssten eine Position entwickeln, die dem Urteil eine sinnvolle und praktische Wirkung verleiht.
In Deutschland melden sich gleich mehrere Datenschutzbehörden zu Wort:
- Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, der u.a. für die Aufsicht über Telekommunikationsanbieter und Bundesbehörden zuständig ist, bringt überarbeitete Standardvertragsklauseln der Europäischen Kommission ins Gespräch und verspricht weitere Orientierungshilfen zum Thema.
- Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit stellt fest, dass die Entscheidung des EuGH, die Standardvertragsklauseln aufrecht zu halten, nicht konsequent gewesen sei. Das Gericht hätte seiner Ansicht nach zumindest in diesem speziellen Fall für Privacy Shield und Standardvertragsklauseln zu der gleichen Schlussfolgerung gelangen müssen, nämlich dass beide keine angemessenen Transfermechanismus darstellen. Die Datenschutzbehörden der EU müssten - so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit - nun kritisch hinterfragen, ob Übermittlungen auf Grundlage von Standardvertragsklauseln in die USA, nach China und im Lichte des Brexit vielleicht sogar in das Vereinigte Königreich zulässig sind. Da Datenübermittlungen in Länder ohne ausreichenden Schutz nicht mehr zulässig seien, müssten die Datenschutzbehörden in Deutschland und in Europa jetzt eine rasche Einigung darüber erzielen, wie mit der Situation umzugehen ist.
- Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz betont in ausführlichen FAQ, dass die DSGVO keine Schonfrist für Situationen wie die aktuelle kenne. Die Behörde nennt Beispiele, bei denen Standardvertragsklauseln nach ihrer Auffassung Datenübermittelungen in die USA nicht als Grundlage dienen könnten, z.B. bei Telekommunikationsunternehmen und Unternehmen, die deren Dienste in Anspruch nehmen. In Ermangelung einer Grundlage müsse die Übermittlung ausgesetzt werden, da andernfalls ein Verstoß gegen Art. 44 DSGVO vorliege. Obgleich Das Schrems II-Urteil die sogenannten Binding Corporate Rules (ein individuelles, verbindliches Regelwerk, dem sich eine Unternehmensgruppe für den internen Datenverkehr in Drittstaaten unterwerfen kann) nicht ausdrücklich anspreche, stelle sich dennoch die Frage der indirekten Auswirkung. Dieser Frage gingen die Datenschutzbehörden derzeit nach.
- Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit zeigt sich wenig überrascht von dem Urteil. Fraglich bleibe aber, wie die weiterhin anwendbaren Standardvertragsklauseln künftig mit „Leben erfüllt“ werden sollten. „Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll.“
- Die Berliner Beauftragte für Datenschutz und Informationsfreiheit erhöht den Druck. In ihrer Pressemitteilung vom 17. Juli 2020 begrüßt sie die Deutlichkeit des Urteils und geht noch einen Schritt weiter, indem sie datenverarbeitende Stellen in Berlin auffordert, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, seien nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.
Die Berliner Behörde betont, dass der EuGH klargestellt habe, „dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.“
Weiter erklärt die Berliner Aufsichtsbehörde: „Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.“
Die Prognose bleibt unsicher
Es ist ungewiss, welche Schritte die Datenschutzbehörden der EU in Bezug auf die Verwendung von Standardvertragsklauseln für die Übertragung in die USA und andere Länder ohne anerkanntes adäquates Schutzniveau unternehmen werden und wann/ob der EDSA einen einheitlichen Standpunkt in Form weiterer Leitlinien zur Verfügung stellen wird. Da es nun jedoch Aufgabe der einzelnen Datenschutzbehörden ist, im Einzelfall zu entscheiden, ob Standardvertragsklauseln weiterhin verwendet werden dürfen, steht fest, dass sich US-Unternehmen erneut in einem "Graubereich" des Datenschutzrechts befinden und mit dieser Rechtsunsicherheit zu kämpfen haben werden. Selbst eine einheitliche Positionierung des EDSA wird nur Einzelfälle klären können und allenfalls eine bestimmte Richtung weisen, ohne jedoch Bindungswirkung für spätere Fällen zu entfalten.
Für weitere Informationen zum EUGH-Urteil in der Rechtssache Schrems II lesen Sie bitte unseren Kommentar auf Englisch und auf Deutsch.