EuGH erklärt Privacy-Shield für ungültig
Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield-Abkommen für ungültig erklärt (Urteil vom 16.07.2020, Rechtssache C-311-/18 Facebook Ireland und Schrems).
Das Privacy-Shield, das bislang eine Übertragung personenbezogener Daten aus der EU in die USA ermöglichte, war das Nachfolgeabkommen des Safe-Harbor-Abkommens, welches der EuGH bereits 2015 für ungültig erklärte.
Hintergründe zur Privacy Shield Entscheidung
Eine Übermittlung von personenbezogenen Daten in Länder außerhalb der EU oder des EWR ist gemäß Art. 44 DSGVO nur zulässig, wenn garantiert werden kann, dass im Zielland ein angemessenes Datenschutzniveau existiert. Eine solche Garantie kann nach Art. 45 DSGVO aus einem Angemessenheitsbeschluss der EU-Kommission bestehen, d.h. wenn die EU-Kommission verbindlich feststellt, dass dieses Schutzniveau in Bezug auf ein spezielles Land gegeben ist. Das Privacy Shield stellte einen solchen Beschluss zu den USA dar. US-Firmen konnten sich daher unter dem Privacy-Shield zertifizieren lassen mit der Folge, dass das Datenschutzniveau bei diesen Firmen als ausreichend angesehen wurde.
Alternativ zu einem Angemessenheitsbeschluss der Kommission kann eine Datenübermittlung auch auf die sogenannten EU-Standardvertragsklauseln gestützt werden. Das sind Verträge, die die EU-Kommission erarbeitet und veröffentlicht hat. Schließen die beteiligten Unternehmen diese Verträge ohne sie abzuändern, gilt dies ebenfalls als Garantie für ein angemessenes Datenschutzniveau.
Der Fall
Wie auch schon im Safe-Harbor-Fall klagte der Datenschutzaktivist Max Schrems gegen die Datenverarbeitung bei Facebook und die Übertragung der Daten von der irischen Tochter Facebook Ireland Ltd. an den Mutterkonzern in den USA. Facebook stützte die Übertragung auf die EU-Standardvertragsklauseln und die irische Datenschutzbehörde verwies auf die Zulässigkeit der Übertragung aufgrund des Privacy-Shield. Max Schrems hingegen machte geltend, in den USA bestehe generell kein angemessenes Schutzniveau, da das amerikanische Recht einen weitreichenden Zugriff der amerikanischen Behörden auf dorthin übermittelte Daten biete.
Die Entscheidung des EuGH zum Privacy Shield
Aus dem Urteil geht hervor, dass der EuGH der Ansicht des Klägers gefolgt ist und das Privacy-Shield aufgrund der Zugriffsmöglichkeiten der US-Behörden auf personenbezogene Daten innerhalb von US-Firmen für ungültig erklärt hat. Grund: Auch nach dem Privacy Shield zertifizierte Unternehmen seien nach US-Recht verpflichtet, personenbezogene Daten an die Behörden herauszugeben. Dies betreffe auch personenbezogene Daten von EU-Bürgern.
Gleichzeitig urteilte der EuGH, dass die Standardvertragsklauseln nicht per se ungültig sind, bei der Verwendung jedoch Prüfpflichten auf diejenigen Unternehmen zukommen, die sich auf solche Klauseln berufen.
Konkret müssten Unternehmen bei Verwendung der Standardvertragsklauseln vor der Datenübermittlung überprüfen, ob das Datenschutzniveau, das mit den Vertragsklauseln festgeschrieben werde, auch tatsächlich eingehalten werden könne. Bei Datenübermittlungen in die USA würde das laut EuGH jedoch bedeuten, dass die Standardvertragsklauseln gar nicht eingehalten werden können, sobald ein beteiligtes Unternehmen in den USA unter ein US-Aufsichtsgesetz, wie etwa FISA, fällt. Stellen die Unternehmen bei der Prüfung fest, dass die Standardvertragsklauseln in der Praxis tatsächlich nicht eingehalten werden können, ist die Datenübermittlung auszusetzen.
Die Folgen des Urteils
Das Urteil hat weitreiche Folgen für sämtliche Unternehmen, die US-Dienstleister für ihre Datenverarbeitungen nutzen. Wer bisher Daten auf Grundlage des Privacy-Shields in die USA übermittelt hat, muss nun tätig werden und die Prozesse anpassen. Problematisch ist, dass keine kurzfristige praktische Lösung in Sicht ist.
Nach aktuellem Stand kann für eine Datenübermittlung in die USA auf folgende Lösungen zurückgegriffen werden:
- Binding-Corporate-Rules: Unternehmen können sich in einem recht aufwändigen Verfahren selbst interne Datenschutzvorschriften geben (Art. 47 DSGVO). Hierbei handelt es sich um verbindliche Richtlinien, die Unternehmen zusammen mit den Aufsichtsbehörden aufstellen, bzw. die von den Aufsichtsbehörden genehmigt werden müssen. Das Verfahren ist jedoch mit einem hohen wirtschaftlichen und bürokratischen Aufwand verbunden, sodass diese Option eher großen Konzernen offensteht.
- Ausdrückliche Einwilligung: Auch die ausdrückliche, informierte Einwilligung der Betroffenen kann eine Rechtsgrundlage für die Übermittlung in ein Drittland darstellen, wenn es an einem Angemessenheitsbeschluss fehlt, vgl. Art. 49 DSGVO. Allerdings gilt diese Ausnahme nur für einzelne Datenübertragungen und kommt daher als Alternative für dauerhafte Datentransfers nicht in Betracht.
- „Notwendige“ Übermittlungen: Die Übermittlung ist zudem auch zulässig, wenn sie für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist. Hier fallen jedoch bereits alle Analyse- und Marketingdienste heraus, da diese in der Regel nicht notwendig zur Erfüllung eines Vertrages sind.
- EU-Standardvertragsklauseln: Die Standardvertragsklauseln sind nicht grundsätzlich unzulässig. Gegebenenfalls kann eine Datenübermittlung in die USA nach einer zusätzlichen Prüfung auf die Standardvertragsklauseln gestützt werden. Nach den bisher verfügbaren Informationen ist dies jedoch äußerst fraglich.
Fazit zum Privacy Shield Urteil
Datenübermittlung auf Grundlage des Privacy-Shields sind nicht mehr zulässig. Wir gehen aktuell nicht davon aus, dass die Aufsichtsbehörden direkt Bußgelder in großem Stil verhängen werden, solange die Lage noch unübersichtlich ist. Dennoch besteht aktuell ein rechtliches Risiko. Unternehmen sollten daher prüfen, ob sie weiterhin Daten in die USA übertragen müssen und überlegen, auf welche alternative Rechtsgrundlage sie diese Datenübertragung stützen könnten. Gegebenenfalls muss der Dienstleister gewechselt werden.
Bildnachweis für diesen Beitrag: © pixs:sell – stock. adobe. com