Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 erneut ein spektakuläres Urteil zur Übermittlung personenbezogener Daten in die USA gefällt. Unternehmen in der EU können Datentransfers an Empfänger in den USA ab sofort nicht mehr auf das zwischen der EU Kommission und der US Regierung ausgehandelte „Privacy Shield“-Programm stützen. Demgegenüber bleiben die als alternative Grundlage für Datentransfers in Drittstaaten weitverbreiteten „Standardvertragsklauseln“ zwar grundsätzlich wirksam. Der EuGH stellt aber hohe Anforderungen an die Vertragsparteien, die ihren Datenaustausch auf diese Vertragsklauseln stützen wollen.
Der Austausch von Arbeitnehmer-, Kunden- und Lieferantendaten mit Konzernunternehmen Dienstleistern und Geschäftspartnern außerhalb der EU ist nach der Datenschutz-Grundverordnung (DS-GVO) nur zulässig, wenn ein „angemessenes Datenschutzniveau“ im Drittland gewährleistet ist. Das ist nach Auffassung des EuGH in den USA aufgrund der weitreichenden Zugriffsbefugnisse der US-Sicherheitsbehörden auf elektronisch gespeicherte Daten von Ausländern und der fehlenden Rechtsschutzmöglichkeiten nicht der Fall. Die anderslautende „Angemessenheitsentscheidung“ der EU-Kommission, wonach bei Datentransfers unter dem sog. „Privacy Shield“ ein hinreichendes Datenschutzniveau sichergestellt ist, hat der EuGH mit sofortiger Wirkung für ungültig erklärt.
Das „Privacy Shield“ war seit 2016 in Kraft und sollte das „Safe Harbour“-Abkommen ablösen, das 2015 vom EuGH aus weitgehend identischen Gründen gekippt worden war. Beide Programme sahen vor, dass sich US-amerikanische Unternehmen, die Daten von EU-Partnern verarbeiten wollten, zur Einhaltung bestimmter Datenschutzstandards verpflichten und so selbst als „datenschutzkonform“ zertifizieren konnten. Auch in den verbesserten Standards des Privacy Shield will der EuGH jedoch kein angemessenes Datenschutzniveau erkennen, weil zum einen umfangreiche Datenzugriffe von US-Sicherheitsbehörden möglich bleiben, und zum anderen die Rechtsschutzmöglichkeiten der Betroffenen auf ein Ombudsverfahren beschränkt sind, das dem europäischen Verständnis von einem unabhängigen Richter nicht entspricht.
Unmittelbare Konsequenz des heutigen Urteils ist, dass Unternehmen, die für den Datenaustausch mit den USA bisher nur auf die Privacy Shield-Zertifizierung ihrer US-Partner gesetzt haben, keine Grundlage mehr für solche Datenübermittlungen haben. In diesen Fällen besteht also kurzfristiger Handlungsbedarf.
Eine häufig genutzte Alternative zum Privacy Shield war es bisher, mit den US-Empfängern so genannte Standardvertragsklauseln abzuschließen, in denen sich die Vertragsparteien bei der Verarbeitung von personenbezogenen Daten auf ein angemessenes Datenschutzniveau verpflichten. Diese Standardvertragsklauseln sind von der EU Kommission noch auf der Grundlage der EU-Datenschutzrichtlinie verabschiedet worden und nach der heutigen Entscheidung des EuGH auch weiterhin wirksam.
Allerdings sieht der EuGH die Vertragsparteien bei der Verwendung dieser Standardvertragsklauseln in der Pflicht zu prüfen, ob die nationale Rechtslage im Empfängerland die Einhaltung der Datenschutzverpflichtungen aus den Vertragsklauseln auch tatsächlich zulässt. Insbesondere sollen Datenübermittlungen trotz Abschluss der Standardvertragsklauseln nicht zulässig sein, wenn der Empfänger aufgrund des für ihn geltenden nationalen Rechts dazu verpflichtet ist, den – nach europäischen Maßstäben – unverhältnismäßigen Zugriff von staatlichen Akteuren auf die Daten von EU Bürgern zu dulden. Stellen die Vertragsparteien fest, dass unter den gegebenen Umständen im Empfängerland die Einhaltung der Datenschutzgarantien der Standardvertragsklauseln nicht möglich ist, sind sie laut EuGH verpflichtet, den Datenaustausch einzustellen. Kommen sie ihren Prüf- und Handlungspflichten nicht nach, verstößt die Datenübermittlung gegen die DS-GVO.
Wie genau und in welcher Tiefe Unternehmen, die die Standardvertragsklauseln für den Datentransfer in ein Drittland nutzen wollen, das dortige Datenschutzniveau prüfen sollen, sagt der EuGH nicht. Das ist nicht zuletzt deshalb misslich, weil die EU Kommission trotz der ihr zur Verfügung stehenden juristischen Expertise nun schon zum zweiten Mal daran gescheitert ist, die Angemessenheit des Datenschutzniveaus in den USA zutreffend zu bewerten. Auch drückt sich der EuGH um eine klare Antwort auf die Frage, ob es trotz der von ihm festgestellten Mängel in der US-Rechtsordnung eigentlich vorstellbar ist, dass Datenempfänger in den USA die Einhaltung der Datenschutzgarantien der Standardvertragsklauseln gewährleisten können.
Es ist davon auszugehen, dass diese Fragen schon in Kürze die Datenschutzaufsichtsbehörden beschäftigen werden. Die Aufsichtsbehörden sind durch den EuGH ausdrücklich aufgerufen, im Falle von Beschwerden durch betroffene Personen zu überprüfen, ob die Einhaltung der Standardvertragsklauseln im Drittstaat tatsächlich möglich ist. Ist das Ergebnis negativ, müssen die Behörden die Datenübermittlung untersagen.
Die EU Kommission hat bereits am Tag der Entscheidung angekündigt, neue Standardvertragsklauseln auf den Weg zu bringen. Bis dahin sollten EU-Unternehmen, die personenbezogene Daten regelmäßig in Drittländer übermitteln und sich dabei der aktuellen Standardvertragsklauseln bedienen, die weitere Entwicklung genau beobachten. In jedem Fall sollten sie dokumentieren können, dass sie sich um eine Prüfung der Rahmenbedingungen im Empfängerland und eine Kontrolle der Einhaltung der Vertragsbedingungen durch den Vertragspartner bemüht haben.
Weiterleiten