Goodbye EU-US-Privacy Shield – Auswirkungen auf den Datentransfer in die USA

Beitrag verfasst von RA Alexander Höller, LL.M. – KTR-Newsletter Juli 2020

In seiner Entscheidung C-311/18 vom 16.7.2020 hat der Europäische Gerichtshof (EuGH) das „EU-US-Privacy Shield“ – konkret den Angemessenheitsbeschluss der Europäischen Kommission (Durchführungsbeschluss [EU] 2016/1250) – ersatzlos aufgehoben. Die Aufhebung erfolgte als ein weiterer Höhepunkt in der seit Jahren andauernden Auseinandersetzung des Datenschutzaktivisten Max Schrems mit Facebook.

1. Was war das EU-US-Privacy Shield?

Die Datenschutz-Grundverordnung (DSGVO) normiert in Kapitel V (Art 44 ff) verschiedene Instrumente zur Übermittlung personenbezogener Daten in Drittländer. Bislang haben sich dazu die Übermittlung auf Basis eines Angemessenheitsbeschlusses (Art 45 DSGVO) sowie der Abschluss von Standardvertragsklauseln (Art 46 Abs 2 lit c und d DSGVO) etabliert.

Im Rahmen von Angemessenheitsbeschlüssen beurteilt die Europäische Kommission das datenschutzrechtliche Schutzniveau in verschiedenen Staaten und spricht aus, dass dieses jenem der Europäischen Union gleichwertig ist. Aktuell liegen Angemessenheitsbeschlüsse für folgende Drittländer vor: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay (Liste abrufbar bei der Europäischen Kommission).

Besonderheiten galten dabei für die USA: Aufgrund der US-Gesetzgebung und insbesondere der sicherheitsbehördlichen und geheimdienstlichen Befugnisse konnte die Europäische Kommission keinen umfassenden Angemessenheitsbeschluss erlassen. Im Rahmen eines politischen Deals haben die EU und USA daher eine freiwillige Möglichkeit der Selbsverpflichtung von US-Unternehmen geschaffen. Unternehmen, die sich den Regeln des EU-US-Privacy Shields unterworfen hatten, galten als Empfänger mit angemessenem Schutzniveau. Überdies garantierte die US-Regierung den Datenzugriff durch Behörden bei solchen Unternehmen zu beschränken. Nahezu alle großen IT-Unternehmen waren nach dem EU-US-Privacy Shield zertifiziert.

2. Was waren die Gründe für die Aufhebung?

Der EuGH beschäftigt sich in seiner Entscheidung ausführlich mit den sicherheitsbehördlichen und geheimdienstlichen Befugnissen und den hierzu geschaffenen Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte. Die Zusagen der US-Regierung, den Datenzugriff durch Behörden bei EU-US-Privacy Shield zertifizierten Unternehmen zu beschränken, seien zu unbestimmt und wage. Außerdem wurde der nicht ausreichende Rechtsschutz bei Verstößen gegen die Verpflichtungen des EU-US-Privacy Shields bemängelt. Im Ergebnis hat der EuGH dem Datenschutzniveau in den USA ein vernichtendes Urteil ausgestellt.

3. Sind Standardvertragsklauseln ein Ausweg?

Bei Standardvertragsklauseln handelt es sich um standardisierte Verträge, die von der Europäischen Kommission erlassen und in denen die datenschutzrechtlichen Pflichten der beteiligten Unternehmen festgelegt werden.

Aufgrund von Bedenken der irischen Aufsichtsbehörde hat der EuGH auch die Zulässigkeit der Standardvertragsklauseln geprüft und diese als grundsätzlich geeignetes Instrument zur Übermittlung von personenbezogenen Daten in Drittländer bestätigt. Dies darf jedoch keinesfalls derart verstanden werden, dass Standardvertragsklauseln jedwede Drittlandsübermittlung rechtfertigen können. Vielmehr ist das datenübermittelnde Unternehmen verstärkt in die Pflicht genommen: Während sich das Unternehmen bei Vorliegen eines Angemessenheitsbeschlusses auf die Angemessenheit des Schutzniveaus im Empfängerstaat verlassen darf, so muss es diese bei der Nutzung von Standardvertragsklauseln selbst beurteilen und den Rechtsrahmen im Empfängerstaat laufend evaluieren (vgl zB Punkt 4.b. und 5.b der Standardvertragsklauseln im Beschluss [EU] 2010/87). Dies gilt unabhängig von der Befugnis nationaler Aufsichtsbehörden, den Datentransfer im Einzelfall zu beschränken oder ganz zu untersagen.

Für die USA wurde der Rechtsrahmen bereits durch den EuGH beurteilt: Die unter Punkt 2. dargestellten Gründe, die zur Aufhebung des EU-US-Privacy Shields geführt haben, sind dieselben, die gegen die Zulässigkeit der Übermittlung auf Basis von Standardvertragsklauseln sprechen. Dies gilt zumindest für jene Empfänger, die den einschlägigen sicherheitsbehördlichen und geheimdienstlichen Befugnisgesetzen, wie dem Foreign Intelligence Surveillance Act (FISA) 702, das den Sicherheitsbehörden ohne richterlichen Beschluss Zugriff auf die Daten gewährt, unterliegen. Wenngleich dies im Einzelfall zu beurteilen ist, gilt als Faustregel: Telekommunikationsunternehmen sind jedenfalls von den Befugnisgesetzen betroffen; dies gilt auch für alle Unternehmen, die selbst wiederum Telekommunikationsunternehmen in Anspruch nehmen. Rein faktisch führt dies dazu, dass kaum Fälle denkbar sind, in denen die USA einen DSGVO-konformen Rechtsrahmen bieten, sodass es sich bei der Übermittlung personenbezogener Daten in die USA auf Basis von Standardvertragsklauseln mehr um eine theoretische Ausnahme als um eine praxistaugliche Vorgehendweise handelt.

Im Ergebnis sind Standardvertragsklauseln typischerweise kein Ausweg, um personenbezogene Daten (weiterhin) in die USA zu übermitteln.

4. Kann man trotzdem noch personenbezogene Daten in die USA übermitteln?

Ja, es gibt dennoch Möglichkeiten zur Übermittlung personenbezogener Daten in die USA.

Die gute Nachricht für die private Nutzung von IT-Services: Art 2 Abs 2 lit c DSGVO nimmt Verarbeitungen zu ausschließlich persönlicher oder familiärer Tätigkeit überhaupt vom sachlichen Anwendungsbereich der DSGVO aus. Für diese Zwecke bedürfen Drittlandsübermittlungen überhaupt keiner Rechtsfertigung gemäß Kapitel V der DSGVO.

Aber auch für die nicht private Nutzung gibt es weiterhin Möglichkeiten zur Übermittlung personenbezogener Daten in die USA: Der EuGH selbst geht davon aus, dass die Aufhebung des EU-US-Privacy Shields nicht zur Entstehung eines „rechtlichen Vakuums“ führe (C-311/18, Rn 202). Begründet wird dies durch den Ausnahmetatbestand des Art 49 DSGVO, der – ausweislich seiner Überschrift – eine „Ausnahme für bestimmte Fälle“ normiert. Demnach ist die Übermittlung weiterhin zulässig:

  • auf Basis einer Einwilligung;
  • aufgrund der Erforderlichkeit zur Erfüllung eines Vertrages;
  • bei Vorliegen wichtiger Gründe des öffentlichen Interesses;
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
  • zum Schutz lebenswichtiger Interessen einer Person; und
  • wenn es sich um eine Datenübermittlung aus einem Register, das zur Information der Öffentlichkeit bestimmt ist, handelt.

Wenngleich der EuGH zum Umfang dieses Ausnahmetatbestandes nicht Stellung genommen hat, ist dieser nach Ansicht des Europäischen Datenschutzausschusses dahingehend eingeschränkt, dass es sich dabei bloß um eine gelegentliche und nicht wiederholte Übermittlung handeln darf. Daher kommt diese Ausnahme nach Ansicht des Europäischen Datenschutzausschusses nicht für laufend in Anspruch genommene Dienstleister in Frage. In Hinblick auf die Einholung einer Einwilligung sind überdies die strengen Wirksamkeitsvoraussetzungen des Art 7 DSGVO, insbesondere die Freiwilligkeit und das Verbot der Koppelung, zu berücksichtigen.

Folgt man dieser Ansicht können die Ausnahmen des Art 49 DSGVO zwar in ausgewählten Fällen die Übermittlung von personenbezogenen Daten in die USA rechtfertigen – eine Lösung für typische Übermittlungstätigkeiten bieten sie jedoch nicht (siehe dazu auch 5. d.).

Weitere Möglichkeiten der Rechtfertigung von Drittlandsübermittlungen sind die Einführung von Binding Corporate Rules (Art 47 DSGVO), die Genehmigung von Verhaltensregeln (Art 40 DSGVO) und die Zertifizierungen (Art 42 DSGVO). Aufgrund des damit verbundenen zeitlichen Aufwands bei der Erstellung und behördlichen Genehmigung, bietet dies jedoch keine zeitnahe Abhilfe.

Die Systematik der Rechtsgrundlagen bei Drittlandsübermittlungen stellt sich dar wie folgt (eingeschränkte Darstellung):

5. Was ist jetzt zu tun?

Bei der Vielzahl von global agierenden IT-Dienstleitern ist zu erwarten, dass kaum ein Unternehmen von der Aufhebung des EU-US-Privacy Shields nicht betroffen ist, weil auch nahezu jedes europäische Unternehmen auf solche zurückgreift. Um dadurch nicht in das datenschutzrechtliche Sanktionsregime zu fallen, sollten Unternehmen zumindest folgende Maßnahmen ergreifen:

  1. Prüfen Sie, ob und wenn ja im Rahmen welcher Datenverarbeitungen personenbezogene Daten in die USA übermittelt werden. Diese Informationen sollten (im Idealfall) aus dem Verzeichnis von Verarbeitungstätigkeiten ersichtlich sein.
  2. Gruppieren Sie die Datenverarbeitungen nach der Rechtsgrundlage für den Datentransfer:
    1. Widmen Sie sich zuerst allen Übermittlungen auf Basis des EU-US-Privacy Shields: Für diese Gruppe von Drittlandsübermittlungen muss eine andere Rechtsgrundlage gefunden werden.
    2. Bei Übermittlungen auf Basis der Standardvertragsklauseln prüfen Sie, ob der Empfänger oder einer seiner Dienstleister den sicherheitsbehördlichen und geheimdienstlichen Befugnisgesetzen unterliegt. Ist dies der Fall, kann die Drittlandsübermittlung unserer Ansicht nach nicht auf diesen Rechtsgrund gestützt
    3. Finden Drittlandsübermittlung bloß gelegentlich und nicht wiederholt statt, so ist zu prüfen, ob eine der Ausnahmen gemäß Art 49 DSGVO vorliegt.
    4. Findet die Drittlangsüberittlung nicht bloß gelegentlich statt, könnte – auch wenn der Europäische Datenschutzausschuss dies anders sieht – versucht werden, die Übermittlung dennoch auf die Ausnahmetatbestände des Art 49 DSGVO zu stützen; in diesem Fall sollte argumentiert werden, dass der EuGH explizit auf diese besonderen Ausnahmen als Ausweg hinweist. Diese Rechtfertigung ist jedoch mit erheblichen rechtlichen Risken verbunden.
  3. Kann die Drittlandsübermittlung auf keinen Rechtsgrund gestützt werden, ist die Übermittlung auszusetzen und nach alternativen Anbietern zu suchen. Alternativ ist in wirtschaftlicher Hinsicht zu beurteilen, ob das Risiko einer datenschutzrechtlichen Sanktionierung durch die Datenschutzbehörde eingegangen werden will.
  4. In weiterer Folge sollte beurteilt werden, ob die Einführung von Binding Corporate Rules (Art 47 DSGVO), die Genehmigung von Verhaltensregeln (Art 40 DSGVO) und die Zertifizierungen gemäß Art 42 DSGVO gangbare Wege sind; dies kann jedoch kaum kurzfristig umgesetzt werden.
  5. Schaffen Sie standardisierte Verfahren, um sicherzustellen, dass die Rechtsgrundlage für eine Übermittlung in Drittländer systematisch erhoben und das Vorliegen eines angemessenen Schutzniveaus bei Anwendung von Standardvertragsklauseln konsequent geprüft wird.
  6. Vergessen Sie nicht, Ihre datenschutzrechtliche Dokumentation (Datenschutzinformationen, Betriebsvereinbarungen, Einwilligungserklärungen, Verzeichnis von Verarbeitungstätigkeiten) sowie Ihre Prozesse zur Abwicklung der Betroffenenrechte zu aktualisieren.

Hinweis: 

Einen aktuellen Artikel zum Thema finden Sie unter diepresse.com:

Digitaler Lock-Down: Datentransfer in die USA (weitgehend) unzulässig
Was die EuGH-Entscheidung Schrems II genau besagt und wie Unternehmen darauf reagieren sollten.

Artikel drucken

Beiträge

Newsletter Juli 2020

Goodbye EU-US-Privacy Shield – Auswirkungen auf den Datentransfer in die USA

In seiner Entscheidung C-311/18 vom 16.7.2020 hat der Europäische Gerichtshof (EuGH) das „EU-US-Privacy Shield“ – konkret den Angemessenheitsbeschluss der Europäischen Kommission (Durchführungsbeschluss [EU] 2016/1250) – ersatzlos aufgehoben.

ISO-konforme Datenschutzinformation und Einwilligung im Onlinebereich

Die Welt der internationalen Normung ist einen ISO/IEC-Standard reicher. Letzte Woche wurde für die Themenbereiche der Datenschutzinformation und der konformen Einwilligung im Onlinebereich der internationale Standard ISO/IEC 29184:2020 06 veröffentlicht.