EuGH erklärt Privacy Shield für ungültig – Was heißt dies für Unternehmen?
von Bettina Backes, HAVER & MAILÄNDER Rechtsanwälte Partnerschaft mbB
Download PDF

Mit seinem neuen Urteil zum Privacy Shield vom 16.07.2020 (Maximilian Schrems ./. Facebook Ireland - C-311/18) stellt der Europäische Gerichtshof (EuGH) den transatlantischen Datentransfer vor neue Herausforderungen. Nicht nur Unternehmen und Aufsichtsbehörden, sondern auch die EU-Kommission stehen vor schwierigen Aufgaben.

Was sagt das Privacy Shield-Urteil?

Mit Urteil vom 16.07.2020 (C-311/18) hat der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield für ungültig erklärt. Bisher war die Übertragung personenbezogener Daten durch ein in der EU ansässiges Unternehmen an ein Unternehmen in den USA, welches sich dem Privacy Shield unterworfen hatte, erlaubt. Dies gilt fortan nicht mehr. Des Weiteren hat sich der EuGH mit dem Datentransfer an US-Unternehmen unter Zugrundelegung der EU-Standardvertragsklauseln beschäftigt. Grundsätzlich erklärte der EuGH diese Standardvertragsklauseln für zulässig, legte dem Verwender jedoch umfangreiche Prüfpflichten auf. Laut EuGH können die Standardvertragsklauseln nur dann als Rechtsgrundlage dienen, wenn in dem Zielstaat (Drittland) auch tatsächlich das Datenschutzniveau der Europäischen Union gewahrt ist. Dies muss der Exporteur personenbezogener Daten prüfen. Da der EuGH das Datenschutzniveau in den USA im Rahmen seiner Prüfungen des Privacy Shields für unzureichend hielt, kann hieraus geschlossen werden, dass auch der Datentransfer auf der Grundlage der Standardvertragsklauseln kaum als wirksam angesehen werden dürfte. Faktisch dürfte dies derzeit dazu führen, dass auch auf dieser Grundlage ein Datentransfer in die USA nicht zulässig ist. Dies stellt Unternehmen vor erhebliche Schwierigkeiten.

Wie begründet der Europäische Gerichtshof seine Entscheidung?

Der EuGH begründet seine Entscheidungen im Wesentlichen mit den umfassenden Zugriffsrechten amerikanischer Sicherheitsbehörden auf personenbezogene Daten. So stellte der EuGH fest, dass die amerikanischen Behörden auf die aus der Europäischen Union in die Vereinigten Staaten übermittelten personenbezogenen Daten auf der Grundlage der auf Section 702 des FISA (Foreign Intelligence Surveillance Act) beruhenden Überwachungsprogramme PRISM und UPSTREAM als auch auf der Grundlage der E.O. 12333 zugreifen und diese verwenden dürfen. Der EuGH vertritt die Auffassung, dass das Recht der Vereinigten Staaten insoweit die in der Charta der Europäischen Union verbürgten Grundrechte nicht gewährleiste, da die einschlägigen Regelungen nicht die erforderlichen Einschränkungen und Garantien vorsähen und keinen effektiven Rechtschutz vor solchen Eingriffen gewährleisteten. Auch die Ombudsperson des Datenschutzschildes (Privacy Shield) könnte diesem Mangel nicht abhelfen. Ein der Europäischen Union angemessenes Datenschutzniveau könne insofern nicht garantiert werden. In diesem Zusammenhang ist zwar zu berücksichtigen, dass der FISA sich primär an Telekommunikationsunternehmen und somit nicht an alle US-Unternehmen richtet. Allerdings kann der Zugriff auf Daten auf Basis der Überwachungsprogramme gemäß FISA sich mittelbar auch auf die Kommunikation anderer US-Unternehmen ausdehnen, wenn diese Dienstleistungen von Telekommunikationsunternehmen in Anspruch nehmen, auf deren Daten die US-Behörden zugreifen können. Es erscheint daher fraglich, ob US-Unternehmen diesen Datenzugriff tatsächlich gänzlich ausschließen können.

Welche Auswirkungen hat das Urteil auf die Praxis?

Das Urteil wird viele Unternehmen vor erhebliche praktische Probleme stellen.

Unternehmen dürfen personenbezogene Daten in ein Drittland, d.h. ein Land außerhalb der EU, nur transportieren, wenn eine der folgenden Garantien eines angemessenen Datenschutzniveaus vorliegt:

• Die EU hat mittels eines Angemessenheitsbeschlusses festgestellt, dass das sogenannte Drittland über ein angemessenes Datenschutzniveau verfügt. Zu diesen Staaten gehören z.B. die Schweiz, Japan, Neuseeland, Andorra, Argentinien, Kanada und Israel, nicht jedoch zum Beispiel China, Russland und viele weitere Staaten.
  
• Datentransfers in die Vereinigten Staaten von Amerika hatte die Europäische Kommission bisher mittels eines Angemessenheitsbeschlusses, nämlich des Durchführungsbeschlusses (EU) 2016/1250 der Kommission vom 12.07.2016 gemäß der Richtlinie 95/46 EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (Privacy Shield) unter bestimmten Bedingungen für zulässig erklärt. Bei dem Privacy Shield handelte es sich um ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Personenbezogene Daten durften an ein US-Unternehmen übertragen wurden, wenn es sich dem sogenannten Privacy Shield unterworfen hatte und in diesem Zusammenhang bestimmte Schutzmaßnahmen ergriffen und Garantien für den Schutz personenbezogener Daten gegeben hatte. Dieses Privacy Shield wurde nun für ungültig erklärt.
  
• Die Vertragspartner in der Europäischen Union und den Vereinigten Staaten unterzeichnen sogenannte EU-Standardvertragsklauseln. Die von der Europäischen Union entwickelten Vertragsvorlagen verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus. Sie erlauben allerdings die Datenübertragung nur, wenn das Datenschutzniveau auch tatsächlich gewahrt wird. Das schlichte Versprechen der Vertragspartner reicht nicht aus. Dies hat der EuGH nun nochmals klargestellt.
  
• Ferner können sich Unternehmen in Drittländern selbst verbindliche Datenschutzregeln (Binding Corporate Rules) geben. Diese sind eher selten, da sie extern zu genehmigen oder zu zertifizieren sind. Diese Rechtsgrundlage existiert hauptsächlich bei größeren Konzernen.
  
• Die Übermittlung der Daten ist aus bestimmten, in der DSGVO abschließend bezeichneten Gründen erforderlich und für die Betroffenen erkennbar, z.B. Hotel- und Flugbuchungen, E-Mail-Kommunikation, öffentliche oder lebenswichtige Interessen.
  
• Die betroffene Person hat in den Datentransfer eingewilligt. Eine solche Einwilligungserklärung ist schwer zu erlangen, da hohe Anforderungen an die Transparenz (Aufklärung des Betroffenen), die ausdrückliche Abgabe und die Freiwilligkeit gestellt werden (Die Freiwilligkeit wirft insbesondere bei Beschäftigten Schwierigkeiten auf; § 26 BDSG).
  
• Als weitere Grundlagen kommen nach der DSGVO branchenspezifische Verhaltensregeln, die genehmigt werden müssen, sowie Zertifizierungen in Betracht, die bisher kaum praktische Bedeutung erlangt haben.
  

Mit der aktuellen Entscheidung des Europäischen Gerichtshofes sind die beiden in der Praxis häufigsten und unkompliziertesten Grundlagen des Datentransfers in die USA - nämlich das Privacy Shield und die Standardvertragsklauseln - praktisch weggefallen. Zwar können Standardvertragsklauseln dem Datentransfer formal noch zugrunde gelegt werden, das Gericht legt den Unternehmen allerdings erhebliche Prüfpflichten auf. So konstatiert der EuGH, dass es vor allem dem Verantwortlichen bzw. seinem Auftragsverarbeiter obliegt, in jedem Einzelfall – ggfls. in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlandes nach Maßgabe des Unionsrecht einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet und ob erforderlichenfalls noch mehr Garantien als durch die Klausel geboten zu gewähren sind. Kann auch durch zusätzliche Garantien dieser Schutz nicht gewährleistet werden, wovon im Falle der USA nach dem Urteil des EUGH auszugehen ist, ist eine rechtswirksame Übertragung von personenbezogenen Daten in das Drittland nicht möglich.

Ein wichtiger Zusammenhang ist noch zu beachten. Das einschlägige Urteil des Europäischen Gerichtshofs beschäftigt sich zwar lediglich mit dem Transfer zwischen der Europäischen Union und den USA, also nicht mit dem Datentransfer in sonstige Drittländer, wie z.B. Indien, China oder Russland, dennoch hat das Urteil mittelbar Auswirkungen auch auf den Datentransfer in diese Drittstaaten. Zwar hat sich der EuGH zu diesen Staaten nicht geäußert, aber auch hier stellt sich die Frage, ob ein Datentransfer in diese Staaten überhaupt möglich ist. So bürdet das Urteil dem Datenexporteur schwierige Prüfpflichten auf, die er ohne Hilfestellungen kaum erfüllen kann, da er tief in das Recht des jeweiligen Bestimmungslandes eintauchen muss.

Klar ist, dass die Unternehmen ganz auf sich allein gestellt sind und sich derzeit auf Unterstützung von staatlicher Seite oder von Seiten der Europäischen Union nicht verlassen können. Wie zu hören ist, soll sich die EU-Kommission bereits auf das ablehnende Urteil vorbereitet haben. Es wird angekündigt, dass mit der Regierung der USA wieder Gespräche aufgenommen würden, um Mechanismen zu erarbeiten, wie der Datentransfer rechtssicher erfolgen könne. Die Erfahrung zeigt, dass die Verhandlungen zum Teil für die Unternehmen zu lange dauern. Bereits nachdem im Jahr 2015 auch das Safe-Harbour-Abkommen als Vorgängerin des Privacy Shields vom EuGH aufgehoben worden war (EuGH vom 06.10.2015 – C-362/14), dauerten die Verhandlungen sechs Monate. Die derzeitigen politischen Konstellatio-nen sprechen eher dagegen, dass schnellere und deutlichere Fortschritte erzielt werden können.

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) fordert daher die EU-Aufsichtsbehörden auf, etwaige Sanktionsmaßnahmen im Hinblick auf den Export personenbezogener Daten zunächst auszusetzen, damit Unternehmen genügend Zeit für die Evaluation ihrer Datenflüsse erhalten. Außerdem verlangt die GDD, dass der Europäische Datenschutzausschuss Hinweise erarbeitet, nach welchen Kriterien der Datenexport in ein Drittland auszusetzen ist, und darauf hinzuwirkt, dass Alleingänge nationaler Aufsichtsbehörden vermieden werden.

Was ist zu tun?

Folgende Maßnahmen sind Unternehmen anzuraten:

a) Vorrangig ist zu prüfen, ob Datentransfers in den USA vermieden werden können und bestehende Verträge ersetzt werden können durch entsprechende Vereinbarungen mit in der Europäischen Union ansässigen Unternehmen, insbesondere ist darauf zu achten, dass die Standorte der Server und Rechenzentren, die in Anspruch genommen werden, sich innerhalb der Europäischen Union befinden. Mindestens sollten die Unternehmen entsprechende Vorbereitungen treffen, um auf Prüfungen der Aufsichtsbehörden vorbereitet zu sein. Auch der Einsatz vom Dienstleistern mit US-Subunternehmern ist zu unterbinden.
b) Sämtliche Verträge (Auftragsverarbeitung, gemeinsame Datenverarbeitung) sind anzupassen. Gleiches gilt für Datenschutzhinweise und Datenschutzerklärungen.
c) Zur Sicherheit sind EU-Standardvertragsklauseln zu vereinbaren, wo dies noch nicht geschehen ist. Insbesondere sind sämtliche Empfänger in den USA zu befragen, wie der Datenschutzstandard der EU sichergestellt werden kann. Bei negativen Rückäußerungen muss dann allerdings sofort eine Umstellung vorgenommen werden. Sollte sich herausstellen, dass der Empfänger nicht in der Lage ist, den Datenschutzstandard sicherzustellen, kann der Datentransfer ausgesetzt werden. Auch ist zu prüfen, ob ein Rücktritt vom Vertrag oder eine Kündigung des Vertrages in Betracht kommt. Sämtliche Daten sind dann zurückzusenden bzw. zu vernichten. Auch die Geltendmachung von Schadensersatzansprüchen kann im Einzelfall in Erwägung gezogen werden. Gegebenenfalls kann sich eine Meldepflicht gegenüber den Aufsichtsbehörden ergeben.
d) Wenn irgend möglich, ist mit Einwilligungen der Betroffenen zu arbeiten. Hier ist besonderer Wert darauf zu legen, die Betroffenen transparent und umfassend aufzuklären und sicherzustellen, dass die Einwilligung freiwillig erfolgt. Zu beachten ist jedoch stets, dass die Einwilligung widerruflich ist, sodass mit dem Widerruf die Datenverarbeitung einzustellen ist, wenn keine anderweitige Rechtsgrundlage vorliegt, die die weitere Verarbeitung erlaubt.

Was droht den Unternehmen bei unzulässigem Datentransfer in die USA bzw. in ein sonstiges Drittland?

Den Unternehmen droht Ungemach von Seiten der Aufsichtsbehörden wie von Betroffenen und Konkurrenten.

• Der Verantwortliche muss mit Maßnahmen der Datenschutzaufsichtsbehörden rechnen. Diese können von Mahnungen über die Verhängung von Geldbußen (bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens) bis zu einem Verbot der Datenübermittlung reichen. Das Erfordernis des Tätigwerdens der Aufsichtsbehörden wird ausdrücklich in dem Urteil des Europäischen Gerichtshofs erwähnt.
  
• Die Verantwortlichen müssen mit Abmahnungen Betroffener rechnen, durch welche sie zur Unterlassung und zur Leistung von Schadensersatz aufgefordert werden. Zu erstatten sind in diesen Fällen auch die Abmahnkosten und etwaige Vertragsstrafen bzw. Ordnungsgelder bei erneutem Verstoß.
  
• Auch Mitbewerber und insbesondere Verbraucherschutzorganisationen könnten entsprechende Abmahnungen aussprechen. Streitig ist, ob dies auf Grundlage des Wettbewerbsrechts möglich ist. Die deutschen Instanzgerichte sind sich bisher uneinig (siehe zuletzt OLG Stuttgart, Urteil vom 27.02.2020 – 2 U 257/19). Höchstrichterliche Rechtsprechung liegt hierzu noch nicht vor. Gerade angesichts der jüngsten Rechtsprechung ist das Risiko nicht gering, dass Wettbewerber bzw. Verbraucherschutzorganisationen hiermit durchdringen könnten.
  

Fazit

Wenn irgend möglich sollte auf den Datentransfer in die Vereinigten Staaten verzichtet und auf Unternehmen mit Sitz innerhalb der EU oder des EWR, insbesondere auf europäische Dienstleister einschließlich Subunternehmer zurückgegriffen werden.