EuGH kippt PrivacyShield – was ist jetzt zu tun?

Datenübermittlungen in die USA werden künftig risikobehaftet sein.

21.07.2020

Die letzte Woche endete in Sachen Datenschutz mit einem ziemlichen Knall. Am Donnerstag, dem 16.07.2020, fiel die lange erwartete Entscheidung in der Rechtssache C‑311/18 (Data Protection Commissioner [das ist die irische Aufsichtsbehörde für den Datenschutz, Anm. d. Autors] gegen Facebook Ireland Ltd und Maximilian Schrems). Worum es im Detail ging ersparen wir Ihnen hier näher auszuführen – letztlich sind das Urteil und dessen Folgen das Entscheidende.

Was wurde entschieden?

Der brisante Teil der Entscheidung des EuGH lautet kurz zusammengefasst: Das EU-U.S.-PrivacyShield-Abkommen ist ungültig. Wer das Urteil im Wortlaut nachlesen möchte, findet dieses hier.

Damit fehlt allen Verarbeitungen, in deren Rahmen personenbezogene Daten aus der EU in die USA übermittelt werden die notwendige Garantie gemäß Art. 44 ff DSGVO. Das heißt selbst mit gültiger Rechtsgrundlage sind solche Übermittlungen schlagartig rechtswidrig.

Jetzt aber doch vielleicht eins nach dem anderen… 

Das Urteil des EuGH kam einerseits nicht ganz unerwartet. Die massenhafte und anlasslose Überwachung und Datensammelei der amerikanischen Behörden und Geheimdienste und der vollkommen ausgehölte Rechtsschutz, den Nicht-US-Bürger diesbezüglich „genießen“, legen nahe, dass einmal in die USA übermittelte Daten nicht mehr zu kontrollieren sind. Darüber hinaus sind auch die Möglichkeiten für betroffene Personen aus der EU, überhaupt zu erfahren, wer ihre Daten verarbeitet, eher gering.

Andererseits hatte der Generalanwalt des EuGH, H. Saugmandsgaard Øe, im Rahmen seiner Schlussanträge empfohlen, sich gar nicht zur Wirksamkeit des EU-U.S.-PrivacyShield zu äußern. In der Mehrzahl der Entscheidungen berücksichtigt der EuGH solche Empfehlungen in den Schlussanträgen der Generalanwälte.

Daher war die Entscheidung des EuGH, das PrivacyShield-Abkommen für ungültig zu erklären umso überraschender.

Was bedeutet diese Entscheidung?

Diese Entscheidung des EuGH hat direkte Auswirkungen auf nahezu alle Verantwortlichen in der gesamten EU. Letztlich besagt sie (siehe oben), dass Übermittlungen personenbezogener Daten in die USA, welche auf dem PrivacyShield-Abkommen basieren in der bisherigen Form nicht mehr stattfinden dürfen.

Alternativen?

Das PrivacyShield-Abkommen war letztlich nur eines mehrerer möglichen Mittel, um für ein angemessenes Datenschutzniveau in den USA zu sorgen. Daher ist es auch möglich, nach Wegfall des Abkommens auf andere sogenannte Garantien umzuschwenken. Zur Auswahl stehen hier Standardvertragsklauseln (Standard contractual clauses, SCC) oder Bindende Unternehmensrichtlinien (Binding corporate rules, BCR).

Standardvertragsklauseln

Standardvertragsklauseln sind von der EU-Kommission vorgegebene Vertragstexte, die inhaltlich nahezu gar nicht verändert werden dürfen und den Datenempfänger außerhalb der EU an die EU-Gesetzgebung zum Datenschutz binden. Die Vertragstexte kann man sich bei der EU-Kommission herunterladen. Diese müssen an einigen Stellen noch ergänzt werden, dürfen ansonsten aber nicht wesentlich verändert werden. Wir empfehlen grundsätzlich, ausschließlich mit Ergänzungen und Anhängen zu arbeiten, niemals jedoch die vorgegebenen Texte auch nur in der Kommasetzung abzuändern. Letztlich jedoch sind Standardvertragsklauseln immer „nur“ ein Vertrag und damit recht einfach herzustellen, weil außer den Vertragsparteien kein Dritter (zum Beispiel eine Aufsichtsbehörde) einbezogen werden muss.

Die Standardvertragsklauseln entstammen noch den Vor-DSGVO-Zeiten und passen eigentlich nicht mehr so richtig zur DSGVO. Deshalb sollten sie eigentlich auch durch eine neue Version ersetzt werden. Diese gibt es allerdings auch über zwei Jahre nach Anwendbarkeit der DSGVO noch nicht. Art. 46 Abs. 5 DSGVO regelt daher recht verklausuliert, dass sie übergangsweise weiter gelten dürfen, bis die neue Version von der EU-Kommission verabschiedet wurde. Wie lange dies noch dauert, oder wie weit die Kommission überhaupt hierbei fortgeschritten ist, entzieht sich aktuell unserem Kenntnisstand.

Da sich der EuGH auch zu den Standardvertragsklauseln geäußert hat, hierzu gleich noch mehr.

Binding corporate rules

Binding corporate rules werden in Art. 47 DSGVO geregelt. Es handelt sich hierbei um verbindliche Regelungen, die innerhalb einer Unternehmensgruppe gelten müssen. Damit scheiden Sie aus, um zum Beispiel Dienstleister zu beauftragen, die nicht zu eigenen Unternehmensgruppe gehören. Darüber hinaus steht direkt im ersten Satz des Art. 47 DSGVO das Kriterium, welches vermutlich bei den meisten Unternehmen zum Ausschluss von BCR führen dürfte: „Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern […]„.

BCR müssen also stets durch die Aufsichtsbehörden genehmigt werden. Dies führt dazu, dass Unternehmen sich häufig abgeschreckt fühlen, da damit große Teile der Zusammenarbeit, der internen Regelungen zum Datenschutz und sogar die technischen und organisatorischen Maßnahmen (TOM, siehe Art. 32 DSGVO) gegenüber der Aufsicht offengelegt und im Zweifelsfall mit dieser verhandelt werden müssen. Dabei besteht natürlich immer die Möglichkeit, sich Grundsatzdiskussionen mit der Aufsicht ins Haus zu holen.

EuGH bestätigt Standardvertragsklauseln grundsätzlich

In seiner Entscheidung hat sich der EuGH auch zu den Standardvertragsklauseln geäußert. Deren Gültigkeit hat er glücklicherweise grundsätzlich bestätigt. Allerdings hat er sich auch dahingehend geäußert, dass diese Klauseln nicht bedingungslos gelten könnten. Vielmehr müsse in jedem Einzelfall geprüft werden, ob die Regelungen der Verträge auch realistisch umsetzbar seien. In seiner Pressemitteilung liest sich das dann wie folgt:

Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes

Wir lesen hier ganz klar die Andeutung heraus, dass der EuGH die Standardvertragsklauseln in Bezug auf die USA (und gegebenenfalls weiterer Länder) ebenso kritisch sieht, wie das PrivacyShield-Abkommen. Offenbar wollte man aber vermeiden, beide Garantien auf einmal für ungültig zu erklären. Ansonsten hätte man sich bezüglich der USA vermutlich deutlich direkter geäußert.

Was machen wir denn jetzt?

Die wichtigste Frage in dieser Angelegenheit ist jetzt: „Und nun?“ Wir empfehlen kurzfristig die folgenden Schritte:

  1. Prüfen Sie, mit welchen Empfängern in den USA (Achtung: Aktuell interessieren hier ausschließlich die USA, andere Länder waren vom PrivacyShield nicht abgedeckt) Sie direkt personenbezogene Daten austauschen.
  2. Prüfen Sie, bei welchen dieser Empfänger das EU-U.S.-PrivacyShield der Übermittlung als Garantie zugrunde liegt. Die eigentliche Rechtsgrundlage bleibt dabei unverändert und muss daher auch nicht erneut geprüft werden (sofern Sie das in der Vergangenheit bereits getan haben)
  3. Nehmen Sie mit allen diesen Empfängern Kontakt auf und klären Sie, ob kurzfristig auf Standardvertragsklauseln umgestellt werden kann. Bitte beachten Sie, dass diese Umstellung das Risiko verringert und zeitlich verschiebt, aber nicht aufhebt. Mehr dazu im nächsten Abschnitt.
  4. Sofern die Empfänger dies verweigern oder die Umstellung zu lange dauern sollte, stoppen Sie die Übermittlung. Gleiches gilt, sofern Sie jegliche Risiken (insbesondere Bußgelder durch die Aufsichtsbehörden) aufgrund der Übermittlung in die USA ausschließen möchten.

Prüfen Sie darüber hinaus, mit welchen Empfängern in beliebigen Ländern (einschließlich der EU und auch Deutschland!) Sie Daten austauschen, bei denen Subdienstleister oder weitere Empfänger in den USA existieren. Hier erfolgt der Datenaustausch mit den USA zwar nicht direkt durch Sie, aber Sie bleiben beispielsweise bei allen Auftragsverarbeitern, welche Sie einsetzen, verantwortlich. Daher müssen Sie auch hier tätig werden und Ihre Empfänger dazu bringen, auf gültige Garantien umzusteigen oder sich andere Subdienstleister zu suchen. Gelingt das nicht: Siehe Nr. 4.

Die Aufsichtsbehörden könnten noch dazwischenfunken

Wichtig ist unseres Erachtens auch, dass Sie nach der ersten Aufregung und dem Abschluss von Standardverträgen mit Empfängern in den USA weiter am Ball bleiben. Die Aufsichtsbehörden haben vom EuGH einen klaren Auftrag erhalten (siehe ebenfalls Pressemitteilung): 

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.

Das bedeutet, dass von Seiten der Aufsichtsbehörden für den Datenschutz jederzeit eine Anordnung kommen kann, Übermittlungen in die USA, die auf Standardvertragsklauseln basieren, einzustellen.

Darüber hinaus könnten die Aufsichtsbehörden dieses Mal weniger Entgegenkommen zeigen als im Jahr 2016, nachdem das Safe Harbour Abkommen vom EuGH gekippt wurde. Dies wird sich voraussichtlich in den nächsten Tagen (maximal Wochen) zeigen.

Verantwortliche, die personenbezogene Daten in die USA übermitteln, haben also aktuell und in der nächsten Zukunft stets das Risiko, dass rechtmäßige Übermittlungen von heute auf morgen unrechtmäßig werden können und dann sofort (oder mit etwas Glück innerhalb einer von der Aufsicht festgelegten Frist) eingestellt werden müssen.

Fazit

Die Situation ist nicht ausweglos, aber dennoch nicht schön. Prüfen Sie alle Ihre Übermittlungen und handeln Sie kurzfristig. Aktuell gewinnen Dienstleister innerhalb der EU gerade wieder etwas an Attraktivität hinzu. Vielleicht ist das EuGH-Urteil ja der Anstoß für die Stärkung europäischer Dienstleister…

Benötigen Sie Unterstützung bei der Prüfung Ihrer Übermittlungen oder bei den Verhandlungen mit Ihren Dienstleistern? Rufen Sie uns an, wir helfen Ihnen gerne!