Der EuGH hat mit seiner „Schrems II“ genannten Entscheidung das Privacy Shield für unwirksam erklärt. Damit stehen Datentransfers in die USA vor hohen Hürden. Auch die Standardvertragsklauseln können nur noch unter bestimmten Anforderungen eingesetzt werden.
Grundsätzlich ist die Übermittlung von personenbezogenen Daten in Drittstaaten nach der DSGVO unzulässig, wenn das dortige Datenschutzniveau nicht von der EU als gleichwertig anerkannt ist. Eine solche Anerkennung gibt es bisher aber nur für den EWR, die Schweiz und einige wenige Ländern, wie z.B. Neuseeland und Uruguay.
Für die Übermittlung in Drittstaaten, wie die USA, China oder Indien, verwenden Unternehmen daher regelmäßig Standardvertragsklauseln (SCC). Hierbei handelt es sich um vorformulierte Klauseln, die von der EU-Kommission beschlossen wurden und einen ausreichenden Datenschutz gewährleisten sollen, wenn sie unverändert abgeschlossen werden.
Unternehmen in den USA konnten sich bislang alternativ für das „Privacy Shield“ zertifizieren und so eine Übermittlung ermöglichen. Das Privacy Shield war eine Vereinbarung zwischen USA und EU mit dem Ziel, eine Übermittlung personenbezogener Daten zwischen den USA und der EU zu gewährleisten. Diese Vereinbarung hat der EuGH nun für unwirksam erklärt.
Hintergrund des Urteils war ein mehrjähriger Rechtsstreit zwischen dem Österreicher Maximilian Schrems und Facebook. Der Österreicher machte dabei geltend, dass eine Datenübermittlung in die USA auf der von Facebook genutzten Grundlage gegen die DSGVO verstößt.
Bereits 2015 entschied der EuGH in seinem „Schrems I“ genannten Urteil, dass das damalige „Safe Harbor“-Abkommen zwischen den USA und der EU unwirksam ist und eine Verarbeitung auf dieser Grundlager daher nicht in Betracht kommt. Als Reaktion darauf wurde zwischen der EU und den USA das Privacy Shield ausgehandelt. Darauf beruhte nun die Datenübermittlung von Facebook.
Schrems legte dagegen erneut Beschwerde ein. Diesmal machte er geltend, dass es gegen die Bestimmungen der DSGVO verstößt, wenn die irische Facebook-Tochtergesellschaft an den US-Mutterkonzern Daten weiterleitet, obwohl dieser zu einer Offenlegung der Daten gegenüber den US-Behörden verpflichtet sei, ohne dass sich Betroffene dagegen wehren könnten.
Mit Urteil vom 16.7.2020 (Rs. C-311/18, Facebook Ireland / Schrems II) entschied der EuGH nun, dass auch das Privacy Shield EU-rechtswidrig und damit unwirksam ist.
Begründet hat der EuGH seine Entscheidung im Wesentlichen damit, dass das Privacy Shield keinen ausreichenden Schutz der Betroffenen vor einer unrechtmäßigen Verarbeitung seiner Daten bietet. Problematisch wäre hier vor allem, dass das Privacy Shield lediglich die beitretenden Unternehmen verpflichtet, aber einen Zugriff etwa von Sicherheitsbehörden nicht einschränkt. Hierin sah der EuGH einen Verstoß gegen die Vorgaben der DSGVO.
Zum Beispiel sieht das amerikanische Recht etwa mit dem FISA Act, der Auslandsaufklärung und Spionageabwehr betrifft, Regelungen vor, die Sicherheitsbehörden Zugriff auf Daten gewähren, ohne dass der Betroffene sich dagegen verteidigen könne, so der EuGH.
Vor diesem Hintergrund sind die datenschutzrechtlichen Anforderungen nicht erfüllt und das Privacy Shield daher unwirksam.
Die SCC, die der EuGH gleichermaßen prüfen musste, sind laut EuGH hingegen grundsätzlich weiterhin ein geeignetes Mittel, um eine Datenübermittlung ins Drittland zu ermöglichen.
Dies gilt allerdings nur, wenn sichergestellt ist, dass lokale Gesetze des Drittlandes den Schutz der SCC nicht vereiteln. Ist dies der Fall, ist eine Datenübermittlung trotz SCC unzulässig, es sei denn, es wurden zusätzliche Sicherheitsvorkehrungen getroffen, die vor einem unberechtigten Zugriff schützen.
Ansonsten können die nationalen Aufsichtsbehörden eine Übermittlung auf Basis der SCC untersagen und sanktionieren. Hier drohen Bußgelder bis 20 Mio Euro oder 4% Konzernjahresumsatz.
Aufgrund der Feststellungen zu FISA Act für die USA, ist davon auszugehen, dass gerade für die Übermittlung in die USA somit weitergehende Sicherheitsvorkehrungen getroffen werden müssen, um eine Datenschutzverletzung zu vermeiden.
Als Reaktion auf die Entscheidung hat der Europäische Datenschutzbeauftragten-Ausschuss bereits eine FAQ-Liste bzw. Empfehlungen herausgegeben. Hier ist klar statuiert, dass Übermittlungen in die USA den zuständigen Aufsichtsbehörden angezeigt werden müssen, wenn keine geeigneten Schutzmaßnahmen getroffen werden können.
Unternehmen sollten prüfen, ob sie Tools oder Dienstleister in den USA einsetzen und deren Nutzung ausschließlich auf dem Privacy Shield basiert. Falls ja besteht Handlungsbedarf.
Die Anbieter sollten kontaktiert werden, um abzuklären, ob die Nutzung der Dienste ausschließlich aus Europa erfolgen kann oder ob eine Umstellung auf die SCC möglich ist. Falls keine Nutzung mit europäischem Server oder SCC möglich ist, sollten angesichts der drohenden Sanktionen die Tools abgeschaltet werden und jede weitere Datenübermittlung gestoppt werden. Aber auch bei einer Umstellung auf SCC müssen weitere Sicherheitsmaßnahmen kritisch geprüft werden (z.B. Verschlüsselung).
Auch der Abschluss von SCC bzw. die bereits mit Dienstleistern vereinbarte SCC müssen den neuen Anforderungen des EuGH entsprechen. Bestehende SCC müssen daher ebenfalls überprüft werden.
So sollten nach Ansicht der lokalen Aufsichtsbehörden Abfragen bei den Dienstleistern im Ausland erfolgen, ob es dort lokale Gesetze gibt, die der Einhaltung der SCC entgegenstehen könnten. Falls ja, besteht auch hier Handlungsbedarf: Die Datenverarbeitung muss dann zusätzlich abgesichert werden (z.B. Verschlüsselung der Daten). Die weiteren Sicherungsmaßnahmen sollten durch Ergänzung der SCC vertraglich vereinbart werden. Sind keine weiteren Sicherungsmaßnahmen möglich, oder zweckmäßig, muss die Übermittlung der lokalen Aufsichtsbehörde angezeigt werden.
Alternativ kann man auch prüfen, ob ggf. eine Ausnahme nach Art. 49 DSGVO greift. So kann eine Datenübermittlung ausnahmsweise erlaubt sein, wenn dies zwingend für eine Vertragsdurchführung erforderlich ist. Dies ist immer eine Einzelfallentscheidung.
Sollten SCC gänzlich neu vereinbart werden, sollte bei einer Kettenauftragsverarbeitung darauf geachtet werden, dass die SCC zwischen den jeweils richtigen Parteien vereinbart werden. Aber auch bei bestehenden SCC lohnt sich einer Überprüfung von Verarbeitungsketten.
Bereits unmittelbar nach dem Urteil mehrten sich die Fragen nach einer möglichen Übergangsfrist bzw. ab wann das Urteil umzusetzen ist. Der EuGH hat in einer offiziellen Stellungnahme mitgeteilt, dass es keine Übergangsfrist gibt und das Privacy Shield mit sofortiger Wirkung unwirksam ist. Unternehmen und andere Verantwortliche müssen daher unverzüglich handeln, um Wege für eine sichere und DSGVO-konforme Übermittlung und Verarbeitung von personenbezogenen Daten in die USA und andere Drittstaaten zu finden und zu implementieren.
Dies ist ein Gastbeitrag von
Philipp M. Kühn
Rechtsanwalt
Ebner Stolz
Philipp.Kuehn@ebnerstolz.de
www.ebnerstolz.de
Wenn Sie wissen möchten, wie Sie unter Einhaltung der europäischen Rechtsnormen Ihre Applikationen und Netzwerke gegen Cyber-Attacken schützen können, dann sprechen Sie mit den Cyber-Resilience-Experten von Link11. Wir freuen uns, Sie zu dem Thema zu beraten und Alternativen aufzuzeigen.
Aufgrund aktueller Nachfragen haben wir zusätzlich ein Webinar aufgezeichnet, um die technische Einordung inbesondere im Hinblick auf Content Delivery Networks (CDNs) zu beleuchten und rechtlich bewerten zu lassen.
