Urteil des EuGH zum Datentransfer in die USA

Sonja Dürager

20. Juni 2020 – need2know

Was ist passiert?

Wie bekannt ist, dürfen Daten nur dann in die USA transferiert werden, wenn die Anforderungen der DSGVO nach Kapitel V erfüllt sind und damit im Wesentlichen sichergestellt wird, dass die Daten im Ausland denselben grundrechtlich gebotenen Schutz erfahren wie in Europa. Ein parates Mittel zum Nachweis dieses angemessenen Datenschutzniveaus beim Datenempfänger in den USA war zuletzt das sogenannte EU-U.S. Privacy-Shield-Abkommen (zu Deutsch: „Datenschutz-Schild“; kurz: DSS- Beschluss), das von der EU-Kommission am 12. Juli 2016 (Beschluss (EU) 2016/1250) als angemessen erachtet worden war. Prekär daran ist, dass dieser DSS-Beschluss schon eine Nachfolgeregelung war, das den vom EuGH bereits am 6. Oktober 2015 (Rs C-362/14) .gekippten „Safe Harbor“-Angemessenheitsbeschluss zur Regelung des Datentransfer in die USA ablöste. Vor wenigen Tagen und zwar am 16.7.2020 erklärte der EuGH jetzt auch dieses „neue“ Abkommen für unwirksam (Rs C-311/18).

Unter einem prüfte der EuGH in dieser Entscheidung aber auch ein weiteres beliebtes alternatives Rechtsinstrument im transnationalen Datentransfer und zwar den Beschluss der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung von Daten in Drittländer (nunmehr: Standarddatenschutzklauseln; kurz: SDK-Beschluss). Der EuGH bestätigte in dem Fall zur Freude vieler die Gültigkeit; betonte jedoch die Eigenverantwortung der Verantwortlichen in Hinblick auf die Prüfung des angemessenen Datenschutzniveaus im Drittland.

Zurück bleibt wegen genau dieser Eigenverantwortung die Frage, ob es für europäische Datenexporteure eine effizient realisierbare und datenschutzkonforme Möglichkeit gibt, Daten weiterhin in die USA zu transferieren.

Wie kam es zu der Entscheidung?

Gelegenheit das von Anfang polarisierende Privacy-Shield-Abkommen zu kippen, bekam der EuGH, nachdem Max Schrems als Nutzer von Facebook vor der irischen Datenschutzbehörde die Rechtmäßigkeit der Weitergabe seiner Daten von Facebook Ireland an Facebook Inc. in Frage stellte. Ursprünglich war seine Beschwerde auf den Safe-Harbor-Beschluss als von Facebook bemühte Grundlage für den Transfer gestützt. Nachdem im Beweisverfahren hervorkam, dass die Übermittlungen überwiegend auf Grundlage der Standarddatenschutzklauseln vorgenommen wurden, formulierte Max Schrems die Beschwerde um, und wurde so von der Datenschutzbehörde in Irland die potentielle Ungültigkeit des SDK-Beschlusses aufgegriffen. Der im weiteren Verfahren an den EuGH vorlegende High Court hat dann auch indirekt die Frage der Gültigkeit des Privacy-Shield-Abkommens moniert, indem eine der Vorlagefragen war, ob der DSS-Beschluss für die Aufsichtsbehörde insoweit bindend sei, dass die Gewährleistung des angemessenen Datenschutzniveaus in den USA auf dieser Grundlage angenommen werden muss.

Wieso ist das Privacy-Shield-Abkommen ungülltig?

Der EuGH bejahte zwar die Bindung der Behörden an die in einem Angemessenheitsbeschluss getroffenen Feststellungen, jedoch hegte der EuGH in Entsprechung der vom High Court vorgebrachten Argumente zum System der Nachrichtendienste in den USA, Zweifel, ob das Recht in den USA tatsächlich das im Lichte der durch die in der Grundrechtecharta der EU verbürgten Grundrechte erforderliche Schutzniveau gewährleistete.

Der EuGH konstatierte aus zwei Gesichtspunkten, dass der DSS-Beschluss mit der Grundrechtecharta unvereinbar und daher ungültig sei. So wurden die Rechtsgrundlagen für Überwachungsprogramme wie PRISM und UPSTREAM als nicht mit der Grundrechtecharta konform qualifiziert, da eine gesetzliche Grundlage für Eingriffe in Grundrechte, um dem Grundsatz der Verhältnismäßigkeit zu genügen, den Umfang, in dem die Ausübung des betreffenden Rechts eingeschränkt wird, selbst festlegen, sowie klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen muss. Da die relevante US-Rechtsgrundlage keine solchen Rechte der betroffenen Person verleihen würde, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden könnte, seien die von der Charta verbürgten Garantien nicht erfüllt. Außerdem sei nach Meinung der EuGH der vorgeschriebene Ombudsmanmechanismus kein wirksamer Rechtsbehelf vor einem unabhängigen und unaprteiischen Gericht, um Zugang zu den Daten zu Erlangen oder die Löschung derselben zu erwirken. Nicht zuletzt weil der Ombudsman gegenüber den Nachrichtendiensten keine verbindlichen Entscheidungen treffen könnte.

Sind die Standarddatenschutzklauseln weiterhin gültig?

Zu den eigentlich in ihrer Gültigkeit relevierten Standardatenschutzklauseln kam der EuGH zu der Rechtsauffassung, dass diese nicht zu beanstanden seien, und es vielmehr Aufgabe der Aufsichsbehörde sei, eine auf den SDK-Beschluss gestützte Übermittlung auszusetzen oder zu verbieten, wenn die Behörde der Aufassung sei, dass die Klauseln in diesem Drittland nicht eingehalten werden und der erforderliche Schutz der übermittelten Daten nicht gewährleistet sei. Insbesondere verwies der EuGH jedoch auf die Eigenverantwortung des Verantwortlichen und/oder Auftragsvearbeiters, wenn dieses vertragliche Regime nach Art 46 Abs 2 lit c DSGVO einer Übermittlung in ein Drittland zugrunde gelegt wird. So habe der Verantwortliche zu prüfen, ob das Land des Empfängers nach Maßgabe des Unionsrechts einen angemessenen Schutz der übermittelten Daten gewährleistet. Wenn er außer Stande ist, solche ergänzenden Garantien zu vereinbaren, die das Datenschutzniveau sicherstellen, wäre er in letzter Konsequenz gezwungen, die Datenverarbeitung auszusetzen.

Das Ende des Privacy-Shields und was kommt jetzt?

Mit dieser Entscheidung des EuGH entfällt für eine Vielzahl von Datenübermittlungen in die USA die Rechtfertigung. Es liegt jetzt primär an den europäischen Unternehmen ohne Aufschub alternative Garantien im Sinne der DSGVO zu finden, um den Transfer in die USA zu legitimieren. Bis eine solche Lösung gefunden und implementiert ist, müsste, der Datenaustausch suspendiert werden, da der EuGH keine Übergangsfrist vorgesehen hat.

Welche Alternativen zum Privacy-Shield-Abkommen empfehlenswert sind, richtet sich vornehmlich nach dem konkreten Geschäftsmodell; ein Patentrezept für die Legitimation der Datenweitergabe in die USA gibt es nicht. So ist es zB für eine Datenübermittlung in einem multinationalen Konzern zielführend diese auf Basis von Binding Corporate Rules abzuwickeln, während für andere Übermittlungen mit nicht verbundenen Unternehmen Standarddatenschutzklauseln als schnell verfügbare Garantie sinnvoll sind.

Standarddatenschutzklauseln als geeignete Alternative mit Auflagen.

Soweit Standarddatenschutzklauseln als nunmehr sogar vom EuGH abgesegnetes Instrument für den internationalen Datenverkehr in Betracht gezogen werden, sollte speziell darauf geachtet werden, dass einerseits die notwendigen Individualisierungen sorgfältig vorgenommen werden, und andererseits, das Recht im Bestimmungsland auf die Konformität mit den vom Datenimporteuer abverlangten Zusicherungen geprüft wird. Gegebenenfalls müssen ergänzende Maßnahmen getroffen werden, um beispielsweise den Zugriff von ausländischen Nachrichtendiensten auf die Daten zu begrenzen (zB Sicherstellung von technischen Maßnahmen, so dass US-Unternehmen/US-Behörden keinen direkten Zugriff auf Daten der Betroffenen haben; Verschlüsselung beim Transport und bei der Speicherung von Daten).

Prüfung, ob ein Ausnahmetatbestand vom Genehmigungserfordernis vorliegt.

Nicht unerwähnt bleiben soll, dass die DSGVO auch materielle Ausnahmetatbestände vom Genehmigungserfordernis eines Drittlanddatentransfers vorsieht, deren Vorliegen im Einzelfall daher auch geprüft werden sollte. So ist neben der ausdrücklichen Einwilligung des Betroffenen (wobei dieser auch über die möglichen Risiken derartiger Datenübermittlungen informiert worden sein muss) die Übermittlung als Erfordernis für die Erfüllung eines Vertrages zwischen dem Betroffenen und dem Verantwortlichen zu erwähnen (Art 49 Abs 1 lit b DSGVO). Auch dann, wenn dieser Vertrag nicht mit dem Betroffenen abgeschlossen wurde, jedoch dem Interesse der betroffenen Person dient (zB Transportvertrag), soll die Übermittlung in ein Drittland gerechtfertigt sein (vgl Art 49 Abs 1 lit c DSGVO).

To Do: Neuorganisation des transatlantischen Datenverkehrs.

Auf viele Unternehmen kommt in den nächsten Tagen und Wochen im Lichte dieser Entscheidung eine große Herausforderung zu, da in vielen Fällen ein Insourcing oder Wechsel des Dienstleisters bzw Neuorganisation des Datenflusses ohne Involvierung der USA nicht in Frage kommt -– sei es, weil die größten und meisten technischen Dienstleister und Cloud-Anbieter dort ihren Sitz haben, oder weil viele US-amerikanische Konzerne Tochtergesellschaften in Europa haben –  und damit eine neue Garantie im Sinne der DSGVO gefunden werden muss. Das verlangt eine sorgfältige Sortierung der Ausgangslage und Analyse der verfügbaren Rechtsinstrumente. Erst wenn dies geschehen ist, kann der transatlantische Datenverkehr wieder ungehindert stattfinden.

Dieser Artikel gibt einen allgemeinen Überblick über die Rechtslage, ersetzt jedoch keine rechtliche Beratung und umfassende Abklärung im Einzelfall.