EuGH erschwert internationale Datentransfers und kippt das Privacy Shield
In der Entscheidung „Schrems II“ hat der EuGH über die Zulässigkeit internationaler Datentransfers geurteilt und Unternehmen vor große Herausforderungen gestellt. Folge des Urteils wird sein, dass Unternehmen außerhalb der EU ein deutlich höheres Datenschutzniveau als bislang anbieten und Zugriffe von nationalen Behörden (zumeist: „Sicherheits“behörden) beschränkt werden müssen. Zudem haben sie Dokumentationspflichten gegenüber EU-Unternehmen. Unternehmen mit Sitz in der EU können Transfers in die USA nicht mehr ohne weiteres mit Verweis auf die Teilnahme des jeweiligen Unternehmens an dem Privacy Shield rechtfertigen (besonders für Online-Dienste problematisch). Aufsichtsbehörden werden verpflichtet, den Transfer in einen Drittstaat zu untersagen, wenn die Anforderungen zum Schutz der Betroffenen nicht eingehalten werden.
Kurzfazit: Bei der Übermittlung von personenbezogenen Daten in die USA stehen Verantwortliche in der EU vor gewaltigen Herausforderungen, die wohl nur durch eine grundlegende Änderung von US-Innenpolitik und Einschränkungen beim sog. CLOUD-Act bewältigt werden können, wenn man nicht die Einwilligung der Betroffenen vorab einholen kann oder will. EU-Unternehmen können sich vor Risiken wohl nur dadurch schützen, dass sie in der Mehrzahl der Fälle Übermittlungen in die USA nur nach Einholung einer Einwilligung vornehmen oder Dienstleister und Vertragspartner auswählen, welche personenbezogene Daten nicht in den USA verarbeiten: International haben die Unternehmen einen klaren Vorteil, für deren Land ein Angemessenheitsbeschluss besteht. Japan beispielsweise kann sich glücklich schätzen, den ersten EU-Beschluss unter Geltung der DSGVO erreicht zu haben – die Verhandlungen mit anderen Ländern, wie z.B. Südkorea, werden sicherlich an Fahrt aufnehmen.
Handlungsempfehlungen: Akuter Handlungsbedarf dürfte nur bei der Übermittlung von personenbezogenen Daten in die USA bestehen, ggf. auch bei Ländern wie China oder Russland; andere Länder werden vermutlich erst im Laufe der Zeit näher unter die Lupe genommen werden. Soweit Unternehmen derzeit auf Basis von Standardvertragsklauseln Daten international exportieren, besteht insbes. in den Ländern, die Datenschutzgesetze haben (z.B. nun auch Südafrika, Brasilien) ein klarer Vorteil. Von US-Unternehmen wird wohl eine ausdrückliche Bestätigung anzufordern sein, dass diese die Daten nicht beliebig weiterverarbeiten und nicht an deren lokale „Sicherheits“behörden herausgeben. Es ist davon auszugehen, dass eine pauschale und damit unüberprüfbare Bestätigung nicht ausreichen wird, vielmehr sollte sie durch das EU-Unternehmen individuell überprüfbar sein. Zudem kann überlegt werden, ob von den Betroffenen eine Einwilligung eingeholt werden kann (in der freilich die Risiken beschrieben werden müssen). Anzudenken sein wird daher, ob man eher zu Nicht-US-Unternehmen wechseln sollte.
Bewertung zu Standardvertragsklauseln: Ein Pyrrhus-Sieg. Zwar erklärt der EuGH die (noch von 2010 stammenden) EU-Standardvertragsklauseln (SCC) für wirksam. Allerdings stellt der EuGH klar, dass selbst bei Abschluss der SCC sichergestellt werden muss, dass in dem Zielland ein zur EU vergleichbares Datenschutzniveau vorliegt. Dabei seien die vertraglichen Regelungen nur der eine Teil der Bewertung. Der andere Teil sei die Frage, inwieweit Behörden des Ziellands Zugriff auf die Daten erhalten können und inwieweit das ausgeschlossen werden könne. Das EU-Unternehmen sei daher verpflichtet, vor dem Datentransfer zu prüfen und den Nachweis zu dokumentieren, ob das Zielunternehmen alle Vorgaben einhalten kann (effektive Prüfung von Nachweisen nötig!). Das Zielunternehmen sei zudem verpflichtet, dem EU-Unternehmen mitzuteilen, wenn es das hohe Datenschutzniveau, z.B. wegen Zugriffs lokaler Sicherheitsbehörden nicht erfüllen könne. Diese Vorgaben folgen aus dem Grundsatz der Rechenschaftspflicht („Accountability“, Art. 5 Abs. 2, Art. 24 DSGVO), so dass es für alle Unternehmen bei internationalen Datentransfers erforderlich sein wird, die Dokumentationen vorzunehmen.
Bewertung zu Privacy Shield: Der EuGH erklärte den Safe Harbor-Nachfolger für unzulässig. Die schon in der Safe Harbor-Entscheidung (eine größere „Bombe“ als das jetzige Urteil) festgelegten Grundsätze seien auch im neuen Privacy Shield nicht angemessen berücksichtigt worden. Daher wurde das neue Abkommen für unzulässig erklärt. Es ist davon auszugehen, dass EU-Kommission und das US FTC ein neues oder verbessertes Abkommen aushandeln werden. Bis dahin bleibt abzuwarten, wie die Datenschutzaufsichtsbehörden mit dem Urteil umgehen. Soweit möglich sollten Übermittlungen in die USA aber nicht mehr auf das Privacy Shield gestützt werden. Hier sind vor allem die US-Unternehmen am Zug, Alternativen zu bieten.
Ihr Ansprechpartner: Dr. Matthias Lachenmann, Rechtsanwalt und Partner, Tel.: +49 221 / 270 956 – 180; E-Mail: matthias.lachenmann@bho-legal.com
Pressemitteilung des EuGH (en): https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf
Volltext des Urteils (en): https://curia.europa.eu/juris/document/document.jsf;jsessionid=FF7B2E3E8C8625CC73FF68B8BD00DAE0?text=&docid=228677&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=26396653
Hinweis: Diese Informationen sind vorerst eine erste Einschätzung des Urteils. Dieser Beitrag wird im Laufe des Tages aktualisiert und erweitert.