DSGVO: EuGH-Entscheidung Juli 2020 zum EU-US-Privacy-Shield
Das „EU-US-Privacy-Shield“ war ein durch die EU-Kommission getroffener Beschluss für die Übermittlungen personenbezogener Daten in die USA. Am 16. Juli 2020 hat der EuGH den Privacy-Shield-Beschluss jedoch für unwirksam erklärt! Dieser Artikel beschäftigt sich mit den Hintergründen dieser Entscheidung.
I. Datenübermittlung ins Ausland
Die DSGVO regelt nur die Datenübermittlung im europäischen Inland sowie zwischen Staaten der EU bzw. zwischen Mitgliedern des Europäischen Wirtschaftsraums (EWR). Fraglich ist, ob – und wenn ja, in welchem Umfang – das durch die DSGVO geleistete Datenschutzniveau auch im Datenaustausch mit Ländern außerhalb der EU und des EWR, also mit sogenannten EU-Drittländern, relevant ist.
Datenübermittlung in Drittländer
Als EU-Drittländer gelten alle Länder außerhalb der EU bzw. des EWR. Als große Player sind insbesondere die USA, aber auch China, Russland und nach vollzogenem Brexit das Vereinigte Königreich zu nennen.
Die EU-Kommission hatte für eine Datenübermittlung in die USA einen Beschluss erlassen, der „EU-US-Privacy-Shield“-Beschluss. Der Beschluss folgte auf das vom EuGH als ungültig erklärte „Safe-Harbour-Abkommen“.
EU-US-Privacy-Shield
Das „EU-US-Privacy-Shield“ war ein durch die EU-Kommission getroffener Beschluss für die Übermittlungen personenbezogener Daten in die USA. Amerikanische Unternehmen konnten das Zertifikat erwerben und waren auf der sogenannten Privacy-Shield-Webseite gelistet. Das Privacy-Shield gab EU-Bürgern, deren Daten an ein Privacy-Shield-zertifiziertes Unternehmen übermittelt wurden, verschiedene Möglichkeiten, u. a. das Recht auf Information und Auskunft, auf Widerruf der Datenverarbeitung oder gar Löschung der Daten. Ein Ansprechpartner musste von Unternehmensseite benannt sein und eine Beschwerde innerhalb von 45 Tagen bearbeitet werden.
II. Problemstellung
Der EuGH hat mit seiner am 16. Juli 2020 gefällten Entscheidung (C-311/18, „Schrems II“) das Privacy-Shield als Rechtsfertigung für Datenübermittlung in die USA für unwirksam erklärt. Aus dieser Entscheidung erwächst die Frage, ob – und wenn ja, auf welcher Rechtsgrundlage – personenbezogene Daten in Zukunft in die USA oder sonstige Drittländer übermittelt werden können.
III. EuGH-Urteil zum EU-US-Privacy-Shield
Das Urteil des EuGHs (C-311/18, „Schrems II“) erging aufgrund eines Ersuchens des irischen High Courts. Gegenstand der Vorlagefrage war eine Beschwerde des österreichischen Datenschützers Max Schrems darüber, dass die Übermittlung seiner Daten durch Facebook Ireland (der europäische Sitz von Facebook) an die Facebook Inc. in den USA nicht hinreichend durch das Privacy-Shield abgesichert sei und der europäische Datenschutzstandard nicht eingehalten werde.
Der EuGH bestätigte die Beschwerde im Hinblick auf das EU-US Privacy-Shield und erklärte dieses für unwirksam. Als Begründung führte er an, dass die Zugriffsbefugnisse staatlicher Stellen durch die Überwachungsprogramme § 702 FISA und Executive Order 12333 in den USA nicht auf das für den europäischen Datenschutz erforderliche Maß beschränkt seien. Insbesondere die Rechtsschutzmöglichkeiten für EU-Bürger durch eine Kontaktperson in den USA entsprächen nicht Art. 47 DSGVO. EU-Bürger haben keine Möglichkeit, ihre datenschutzrechtlichen Persönlichkeitsrechte in den USA gegen die US-Behörden durchzusetzen.
Dagegen erklärt der EuGH, dass Standardvertragsklauseln weiterhin eine taugliche Rechtsgrundlage für die Übermittlung personenbezogener Daten darstellen können. Es sei jedoch im Einzelfall zu prüfen, ob ein in der EU vergleichbares Schutzniveau durch die Standardvertragsklauseln gewährleistet ist, oder ob es darüber hinaus weitergehender Regelungen bedarf.
IV. Einordnung
Die herrschende Meinung folgt der Auffassung, dass Standardvertragsklauseln auch weiterhin als Rechtsgrundlage für die Datenübermittlung dienen können – mit der Einschränkung, dass insbesondere eine Einzelfallprüfung hinsichtlich der Möglichkeit der Einhaltung des in der EU geltenden Datenschutzes im Empfängerland erfolgen muss.
Als Prüfungskriterien für die Einzelfall-Evaluierung, welche unbedingt detailliert dokumentiert werden sollte, wird nach herrschender Auffassung empfohlen, insbesondere auf die Zugriffsmöglichkeiten von Daten durch staatliche Stellen zu achten. Hierbei kann der Übertragungsweg der Daten relevant sein, ebenso wie die generelle aber auch eine branchenspezifische Gesetzgebung im Empfängerland. Des Weiteren gilt es, die Rechtsschutzmöglichkeit für EU-Bürger im Drittland zu begutachten. Auch hier muss, wie oben angeführt, ein im Wesentlichen mit dem Rechtsschutz in der EU vergleichbarer Standard gewährleistet sein. Als Orientierungshilfe könnten Art. 49 DSGVO und die von der EU dazu herausgegeben Leitlinien dienen.
Art. 49 DSGVO kann nach weit vertretener Ansicht für einzelne Datenübertragungen auch selbst als Rechtsgrundlage dienen, jedoch keinesfalls für systematische Datenübermittlungen.
Ebenso ist zu beachten, dass die gleichen Prüfungskriterien auch für interne Vereinbarungen wie Binding Corporate Rules gelten, wobei ihre Belastbarkeit aufgrund des hohen Individualisierungsgrades noch stärker in Frage steht.
Zumindest für die USA können aufgrund der geltenden Verordnungen § 702 FISA und Executive Order 12333 die von der EU geforderten Mindeststandards insbesondere im Hinblick auf staatliche Zugriffsmöglichkeiten und den Rechtsschutz wohl nicht angenommen werden.
V. Fazit und Handlungsanweisung
Standardvertragsklauseln können – im Gegensatz zum EU-US Privacy-Shield – als Rechtsgrundlage für Datenübermittlungen in Drittländer dienen. Ob ein der EU im wesentlichen vergleichbarer Datenschutzstandard im Empfängerland vorliegt, ist dabei vom Datenversender zu prüfen und nachzuweisen, ggf. unter Zuhilfenahme des Datenempfängers. Dabei kommt es auf die tatsächliche Gewährleistung des Datenschutzes im Einzelfall an.
Um neben den Zugriffsmöglichkeiten staatlicher Stellen und den Rechtsschutzmöglichkeiten im Empfängerland weitere Prüfungspunkt an die Hand zu geben und so die jeder Einzelfallprüfung inhärente Rechtsunsicherheit zu minimieren, wird außerdem empfohlen, bei der Dokumentation der Prüfung die Art der Daten sowie das Ausmaß der Datenübermittlung und bereits getroffene oder vereinbarte technische und organisatorische Schutzmaßnahmen (wie Ende-zu-Ende-Verschlüsselung oder Pseudonymisierung) zu erfassen. Auch Beobachtungs- und Meldepflichten sollten geprüft werden.
Darüber hinaus sollte neben der generellen Möglichkeit eines staatlichen Zugriffs auch die Wahrscheinlichkeit eines solchen beurteilt werden, beispielsweise anhand der gewählten Übertragungswege oder branchenspezifischer Charakteristika und Gesetzgebung.
Des Weiteren sollten sämtliche EDV-Lösungen begutachtet werden, bei denen nicht eindeutig ist, ob Daten auch außerhalb des EWR verarbeitet oder gespeichert werden.
Sollte eine Datenübermittlung trotz negativ beschiedener eigener Prüfung erforderlich sein, kann eine Einwilligung des Kunden eingeholt werden. Dabei gibt es immer noch ein anderes Risiko, nämlich den Widerruf durch den Kunden. Daher ist die Einwilligung die letzte unpraktische Möglichkeit.
Eine Genehmigung über Art. 46 III lit. a DSGVO bei der zuständigen Aufsichtsbehörde zu ersuchen, hätte wenig Sinn, weil sie im Zweifelsfall die Übertragung/Übermittelung für rechtswidrig erklären würden. Wenn solch eine Absage vorliegt, dann darf das Unternehmen auf keinen Fall mehr eine Übermittelung durchführen.
Was können also Unternehmen nun tun? Wer weiterhin Tools und Plattformen von US-Dienste nutzen möchte, sollte bei den Diensten anfragen, ob sie Standardvertragsklauseln anbieten, die als Rechtsgrundlage für Datenübermittlungen in Drittländer dienen können. Google beispielsweise bietet diese schon an.
Wenn eine Datenübermittlung ohne Standardvertragsklauseln erfolgen sollen, könnte auch eine Einwilligung des Kunden weiterhelfen. Dies muss jedoch im Einzelfall geprüft werden, ob und wie die Einwilligung helfen kann.