Der Europäische Gerichtshof hat im Rahmen eines am 16. Juli 2020 verkündeten Urteils (C-311/18) die zwischen der EU und den USA geschlossene Vereinbarung über den Schutz personenbezogener Daten namens EU-US Privacy Shield für ungültig erklärt. In der Entscheidung führt der EuGH weiter aus, dass die verfügbaren Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten in Drittländer grundsätzlich weiter gelten können. Allerdings sind die Unternehmen, die den Datentransfer auf Standarddatenschutzklauseln stützen, verpflichtet, die Einhaltung der Vertragsklauseln zu überwachen.
Der EuGH wurde durch den High Court der irischen Republik um Vorabentscheidung zu einer Reihe von Fragen bezogen auf den Transfer personenbezogener Daten aus Irland in die USA gebeten. Hintergrund der Entscheidung ist eine ursprünglich bereits 2013 bei dem Data Protection Commissioner in Irland erhobene Beschwerde des österreichischen Datenschutzaktivisten Max Schrems. Darin wandte sich Herr Schrems gegen die Weitergabe seiner personenbezogenen Daten von einer irischen Gesellschaft an ihren amerikanischen Mutterkonzern. In diesem Zusammenhang urteilte der EuGH bereits 2015 in einem vorherigen Vorabentscheidungsverfahren über die Rechtmäßigkeit der Vorgängerregelung „Safe Harbor“, welche in diesem Zusammenhang ebenfalls für ungültig erklärt worden war.
Transfers personenbezogener Daten aus der EU in Drittstaaten sind nach der DSGVO nur dann zulässig, wenn sichergestellt ist, dass in den Empfängerstaaten das durch die DSGVO in der EU geltende Datenschutzniveau nicht unterschritten wird. Um ein entsprechendes Schutzniveau auch in den USA zu garantieren, diente das EU-US Privacy Shield. Dieses Abkommen erkannte die Europäische Kommission in Anwendung von Art. 45 DSGVO als im Hinblick auf das Schutzniveau mit der DSGVO gleichwertig an. Diese Entscheidung der Europäischen Kommission hat der EuGH am 16. Juli 2020 nun zunichtegemacht. In diesem Zusammenhang hat der EuGH festgestellt, dass keine wirksamen Schutzmechanismen für Nicht-US-Bürger bestehen, die transferierten personenbezogenen Daten vor dem Zugriff durch die amerikanischen Geheimdienste zu schützen. Diese haben nach den Feststellungen des EuGH und bezogen auf Daten von Nicht-US-Bürgern die Möglichkeit, auf diese ohne signifikante und wirksame Einschränkung ihrer Rechte zuzugreifen. Daher kommt es nach Auffassung des EuGH hierdurch zu massiven Einschränkungen der Grundrechte der betroffenen Personen, die im Geltungsbereich der DSGVO nicht hingenommen werden können. Insbesondere stellte der EuGH fest, dass die sehr umfangreichen Überwachungsprogramme der US-Geheimdienste nicht auf das zwingend erforderliche Maß beschränkt sind und es hierdurch bedingt durch das Ausspähen der transferierten, personenbezogenen Daten durch die Geheimdienste zu nicht gerechtfertigten Eingriffen in die Grundrechte der EU-Bürger kommen kann, welche durch die EU-Grundrechtecharta garantiert sind. Die DSGVO ist, so der EuGH, im Lichte der Grundrechtecharta auszulegen, weshalb eine derartige Unterschreitung des Schutzniveaus durch das nun für ungültig erklärte Abkommen nicht hinzunehmen ist.
In der gleichen Entscheidung hat der EuGH bestätigt, dass der Datentransfer in Drittländer, gestützt auf die zwischen den Parteien vereinbarten Standarddatenschutzklauseln in Anwendung des Art. 46 DSGVO, weiterhin möglich sein kann. Obwohl die derzeit verfügbaren Standarddatenschutzklauseln bereits viel älter sind als die aktuell geltende DSGVO, stünde dies nach dem EuGH jedoch ihrer Weitergeltung nicht entgegen.
Allerdings hebt der Gerichtshof hervor, dass Verantwortliche, die von den Standarddatenschutzklauseln Gebrauch machen, verpflichtet sind, das Datenschutzniveau des Landes, in das die Daten transferiert werden, zu überprüfen und sich nicht „blind“ auf die Standarddatenschutzklauseln zu verlassen. Konkret werden den Verantwortlichen durch den EuGH folgende Pflichten auferlegt:
- Die für die Datenverarbeitung Verantwortlichen sollen, soweit als möglich, feststellen, ob die Gesetze zum Schutz personenbezogener Daten des Empfängerlandes den betroffenen Personen keinen angemessenen Schutz bieten, und daraufhin Maßnahmen ergreifen, um ein mit der DSGVO gleichwertiges Datenschutzniveau sicherzustellen. So ist insbesondere sicherzustellen, dass die betroffenen Personen durchsetzbare Rechte und einen Zugang zu wirksamen behördlichen und/oder gerichtlichen Verfahren für die Durchsetzung ihrer Datenschutzrechte haben.
- Die Verantwortlichen müssen den Transfer von Daten in das Drittland aussetzen oder beenden, wenn der für die Datenverarbeitung Verantwortliche oder Auftragsverarbeiter diese zusätzlichen Maßnahmen nicht ergreifen kann, um ein angemessenes Schutzniveau zu gewährleisten.
Die unmittelbare Konsequenz der Entscheidung ist, dass Unternehmen, die derzeit auf der Basis des EU-US Privacy Shield den Datenaustausch vornehmen, nun keine adäquate Rechtsgrundlage hierfür haben. Dies eröffnet im schlimmsten Fall Beschwerden Betroffener den Weg und kann daher betroffene Unternehmen Sanktionen durch die zuständigen Datenschutzbehörden aussetzen. Andere, DSGVO-konforme Möglichkeiten zum Datentransfer wie die Einführung von Standarddatenschutzklauseln oder verbindlichen internen Datenschutzvorschriften sind in den meisten Fällen nicht innerhalb kürzester Zeit eingeführt und können eine Vielzahl zusätzlicher Probleme nach sich ziehen. Die von der Entscheidung betroffenen Unternehmen sollten allerdings kurzfristig ihre aktuelle Praxis überprüfen und klären, ob unmittelbar Handlungsbedarf besteht.
Abzuwarten bleibt derzeit, wie sich die Europäische Kommission bzw. das US-Handelsministerium zu den aktuellen Entwicklungen positioniert. Die EuGH-Entscheidung ist zwar unmittelbar wirksam, allerdings gehen wir davon aus, dass die EU-Kommission den Unternehmen, die dem EU-US Privacy Shield angehören, eine gewisse Umstellungsfrist einräumen wird (wie auch geschehen bei Ablösung der Vorgängervereinbarung „Safe Harbor“).
Am 23. Juli 2020 um 18 Uhr (deutscher Zeit – CEST) bietet Ogletree Deakins ein Webinar zu der aktuellen Entscheidung des EuGH und ihren Auswirkungen auf Unternehmen an. Gerne begrüßen wir Sie unter den Teilnehmern.
© Foto: Shutterstock / mixmagic