Schrems kippt EU-US-Privacy-Shield: EuGH-Urteil zu Datentransfers

Schrems kippt EU-US-Privacy-Shield: EuGH-Urteil zu Datentransfers

Der österreichische Jurist Maximilian Schrems hat es wieder geschafft. Sensation, Paukenschlag und es hat Boom gemacht - kein Wort kann das Urteil so richtig beschreiben. Nachdem bereits durch seine erste Klage das sogenannte Safe-Harbor-Abkommen zu Fall gebracht wurde, musste jetzt auch das umstrittene EU-US-Privacy-Shield daran glauben. Der EuGH hat in der Rechtssache Schrems II sein abschließendes Urteil gefällt und sich in weiten Teilen den Abschlussanträgen des EU-Generalanwalt angeschlossen.

Wir hatten uns bereits im Dezember mit dem Fall Schrems in unserem Blogbeitrag Die Zukunft des EU-US-Privacy-Shields: Schrems vor dem EuGH befasst und Ihnen die aktuelle Rechtslage sowie die geschichtlichen Hintergründe des Rechtsstreits geschildert. Nun hat der EuGH am vergangenen Donnerstag sein abschließendes Urteil gefällt. Das Urteil grenzt an eine Sensation, denn es wird erhebliche Auswirkungen auf den internationalen Datentransfer haben. So viel bereits vorweg: Eine Datenübermittlung in die USA als einen der wichtigsten Handelspartner der EU wird in Zukunft nicht mehr ohne Überprüfung stattfinden können.

Rechtlichen Grundlagen allgemein

Bevor wir uns dem Urteil widmen, möchte ich Ihnen noch einmal ganz kurz die wichtigsten rechtlichen Grundlagen bei der Übermittlung personenbezogener Daten in ein Drittland aufzeigen.

Die Datenübermittlung in ein Drittland darf nicht ohne jegliche Überprüfung erfolgen. Schließlich erlangt die DSGVO in den Drittländern keine Gültigkeit und das allgemeine Datenschutzniveau, die nationalen Datenschutzgesetze, können lockerer als das der Europäischen Union sein.

Die Zulässigkeitsprüfung einer solchen Datenübermittlung erfolgt in zwei Schritten. Die Datenübermittlung muss zunächst einmal zulässig sein, d.h. es muss mindestens einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO oder Art. 9 Abs. 2 DSGVO vorliegen. Anschließend muss eine Zulässigkeit der Übermittlung in das Drittland überprüft werden. Dabei wird zwischen sicheren und unsicheren Drittländern unterschieden. Bei sicheren Drittländern hat die Europäischen Kommission ein angemessenes Schutzniveau ausgesprochen. Diese Länder gewährleisten mit ihren nationalen Gesetzen einen Schutz von personenbezogenen Daten, der mit dem des EU-Rechts vergleichbar ist.

Bei einer Datenübermittlung in ein unsicheres Drittland muss auf eine andere Weise sichergestellt werden, dass die personenbezogenen Daten beim Empfänger der Daten ausreichend geschützt werden. Möglichkeiten für eine Zusicherung eines angemessenen Datenschutzniveaus sind beispielsweise der Einsatz von Standardvertragsklauseln, bei Datenübertragungen innerhalb eines Konzerns durch Binding Corporate Rules, durch eine Verpflichtung zur Einhaltung von Verhaltensregeln, die von der Kommission für allgemeingültig erklärt worden sind oder durch die Zertifizierung des Verarbeitungsvorgangs geschehen.

Das EU-US-Privacy-Shield wurde von der EU-Kommission und den USA gesondert ausgehandelt, um Datenströme in die USA zu legalisieren. So konnte bisher auch eine Datenübermittlung aufgrund des EU-US-Privacy-Shields ablaufen.

Das Urteil des EuGH

In dem 50-seitigen Urteil erklärt der EuGH das bereits seit seiner Einführung im Jahr 2016 sehr umstrittene EU-US-Privacy-Shield für ungültig, trifft Aussagen zur Wirksamkeit der Standardvertragsklauseln sowie zu Verpflichtungen der Aufsichtsbehörden. Wer das Urteil in Kürze zusammengefasst haben möchte, sollte sich der Pressemitteilung des EuGH bedienen.

Ähnlich wie damals kritisiert der EuGH in seinem Urteil die Überwachungsmechanismen der USA sowie die fehlenden Rechtsschutzmöglichkeiten des Betroffenen. So wird in wenigen Sätzen die Unwirksamkeit des EU-US-Privacy-Shields festgestellt:

Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.

Für die Unwirksamkeit der Standardvertragsklauseln gäbe es nach Ansicht des EuGH aber keine Anhaltspunkte.

Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.

Zunächst einmal möchte ich trotzdem noch einmal die rechtlichen Grundlagen ansprechen. In Europa kommt seit dem 25. Mai 2018 die Datenschutzgrundverordnung zur Anwendung.

Wann wird eine allgemeine Datenübermittlung in die USA wieder möglich sein?

Noch einmal zur Verdeutlichung: Eine allgemeine Erlaubnis zum internationalen Datentransfer, insbesondere in die USA, gibt es nicht. Sie müssen bei jeder einzelnen Datenübermittlung in ein Drittland prüfen, ob das Datenschutzniveau in dem Land, der Organisation, dem Konzern oder dem Unternehmen mit dem der EU vergleichbar ist. Das EU-US-Privacy-Shield war ein Selbstzertifizierungsmechanismus, dem sich amerikanische Unternehmen unterwerfen konnten. Es musste sodann keine gesonderte Prüfung mehr stattfinden, wenn sich das amerikanische Unternehmen den Regeln des EU-US-Privacy-Shield unterworfen hat. Bitte beachten Sie, dass Sie dennoch für jede Übermittlung in die USA eine Rechtsgrundlage (Art. 6 DSGVO) benötigen.

Die EU-Kommission und die USA werden jetzt mit hoher Wahrscheinlichkeit an einem neuen Nachfolger arbeiten. Ob sich aber in kurzer Zeit an den Mechanismen in den USA etwas ändern wird, wage ich zu bezweifeln. Aber ein neuer Angemessenheitsbeschluss wird uns allen etwas Zeit einräumen, weiter Datenströme in die USA legalisiert ablaufen zu lassen, bis irgendwann der EuGH den betreffenden Beschluss wieder für ungültig erklärt.

Die Standardvertragsklauseln sind weiterhin wirksam, sodass jetzt viele Unternehmen die Klauseln als Basis für die Sicherstellung der Übermittlung nehmen werden. Allerdings müssen Sie auch beim Heranziehen der Standardvertragsklauseln bei jeder Übermittlung prüfen, ob Ihr Dienstleister Ihnen ein vergleichbares Datenschutzniveau gewährleisten kann. Dieser Prozess kann sich allerdings als sehr aufwändig herausstellen und durch gewisse Strukturen in den amerikanischen Riesenkonzernen auch sehr zweitaufwändig sein.

Wie sieht es mit der Datenübermittlung in andere Drittländer aus?

Das Privacy-Shield betrifft zwar nur die Datenübermittlung in die USA, allerdings können die Standardvertragsklauseln auch bei Datenübermittlungen in andere Drittländer wie beispielsweise China oder Russland zum Einsatz kommen. Bitte beachten Sie, dass hier die oben genannten Anführungen ebenfalls zur Anwendung kommen und Sie bei jeder Datenübermittlung eine Einzelprüfung vornehmen müssen.

Somit können wir Ihnen am heutigen Tag leider nicht den perfekten Ratschlag geben. Wir können Ihnen nur sagen, dass eine Übermittlung auf Grundlage des EU-US-Privacy-Shields ungültig ist und Sie dies unbedingt unterlassen sollten. Falls Sie sich nicht sicher sind, melden Sie sich doch gerne bei uns. Ich schaue mir gerne gemeinsam mit Ihnen Ihre Datenübermittlungen an und spreche Ihnen Handlungsempfehlungen aus.

Zusammenfassung Urteil:
Sie benötigen ab sofort bei jeder Datenübermittlung neben einer Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO oder Art. 9 Abs. 2 DSGVO ein angemessenes Datenschutzniveau bei Ihrem Dienstleister.

Schlussendlich kann man nur hoffen, dass es irgendwann EU-Dienstleister geben wird, die vergleichbare Produkte auf den Markt bringen. So könnte man auf die Dienste der amerikanischen Riesenkonzerne verzichten und eine Datenübermittlung wäre überflüssig.

Nachtrag vom 31.08.2020

In unserem neusten Blogbeitrag gehen wir auf die Entwicklungen nach dem EuGH-Urteil ein: Die Zukunft des internationalen Datentransfers sowie die konkrete Handlungsempfehlung der Aufsichtsbehörde Baden-Württemberg, die als erste Institution eine Orientierungshilfe herausgegeben hat. Ist ein internationaler Datentransfer trotz ungültigem EU-US-Privacy-Shield weiterhin möglich?

SchremsII EuUsPrivacyShield Datenschutz Standardvertragsklauseln EuGHUrteil

Maren Kübler

Maren Kübler

Datenschutz­beauftragte

veröffentlicht am

21. Juli 2020

Weitere Artikel lesen

In unserem Blog behandeln wir topaktuelle Themen rund um den Datenschutz und unsere Arbeit. Bleiben Sie immer informiert.

DSGVO-Verstoß: Beendet Millionenbußgeld den Abhör-Skandal?

23. Oktober 2020

DSGVO-Verstoß: Beendet Millionenbußgeld den Abhör-Skandal?

Auftragsverarbeitung oder doch gemeinsam verantwortlich?

28. September 2020

Auftragsverarbeitung oder doch gemeinsam verantwortlich?

Nach EuGH-Urteil: Zukunft des internationalen Datentransfers

31. August 2020

Nach EuGH-Urteil: Zukunft des internationalen Datentransfers

Noch Fragen offen?

Sie haben Anmerkungen oder Fragen zum Thema? Oder benötigen Sie unsere Expertise? Kontaktieren Sie uns mit Ihrem Anliegen, wir freuen uns, Sie kennenzulernen.

VELIT Consulting GmbH & Co. KG