Update vom 04.03.2022: Nachdem das Privacy Shield mit dem Urteil vom 16.07.2020 für unzulässig erklärt wurde, veröffentlichte die Europäische Kommission am 04.06.2021 die neuen Standardvertragsklauseln. Mit deren Hilfe soll nun wieder Datentransfer in die USA ermöglicht werden. In unserem Artikel vom 19.11.2021 informieren wir Sie umfassend zu den neuen Standardvertragsklauseln, insbesondere wie diese abzuschließen und welche weiteren Maßnahmen zu ergreifen sind, um einen sicheren Datentransfer zu ermöglichen.
Mit Urteil vom 16.07.2020 (Az. C-311/18) hat der EuGH den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield für ungültig erklärt. Der Europäische Gerichtshof hatte sich nach der Vorlagefrage des irischen High Courts insbesondere mit der Frage zu befassen, ob das EU-US Privacy Shield und die EU-Standardvertragsklauseln einen adäquaten Schutz personenbezogener Daten von EU-Bürgern, die in die USA übermittelt werden, bieten. Dies wurde nun vom EuGH verneint. Den Volltext des Urteils finden Sie hier: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1
Um welches Problem geht es genau?
Es geht um die Frage, ob Unternehmen, die ihren Sitz in der EU haben, personenbezogene Daten von Kunden oder Nutzern in die USA übertragen dürfen und wenn ja wie.
Was genau das Problem ist?
Das Problem ist, dass in den USA in puncto Datenschutz andere Regeln gelten. Insbesondere ist Abschnitt 702 des amerikanischen Foreign Surveillance Acts zu beachten. Aufgrund dieser Vorschrift dürfen US-Geheimdienste – ohne richterlichen Beschluss – die Daten ausländischer Nutzer und somit von EU-Bürgern durchstöbern. Dieses Vorgehen in den USA verstößt gegen das Recht auf Privatsphäre der EU und wurde von dem bekannten Datenschützer Max Schrems schon lange moniert.
Ursprünglich wurde die irische Datenschutzbehörde von ihm aufgefordert, Datenflüsse von Facebook Irland zu Facebook USA zumindest in bestimmten Fällen zu unterbinden. Daraufhin wandte sich die irische Datenschutzaufsichtsbehörde an den irischen High Court, der die Frage wiederum dem EuGH zur Klärung vorlegte.
Die Hauptfrage, mit der sich der EuGH zu befassen hatte, war, auf welcher gesetzlichen Grundlage eine Datenübertragung von der EU in die USA überhaupt stattfinden könne. Zuletzt konnten sich Unternehmen auf das Privacy-Shield-Abkommen und zusätzlich auf Standarddatenschutzklauseln stützen.
Was regelt das Privacy-Shield-Abkommen?
2016 schlossen die EU und die USA ein informelles transatlantisches Datenschutzabkommen zur Regelung von Schutzvorkehrungen für die Datenübertragung von Mitgliedsstaaten der Europäischen Union in die USA – das Privacy Shield.
Wieso war das überhaupt notwendig?
Gemäß DSGVO dürfen Unternehmen personenbezogene Daten nur dann in ein Drittland (= Land außerhalb der EU) übermitteln, wenn dieses Land vergleichbare datenschutzrechtliche Regelungen vorweisen kann. In der Privacy-Shield-Vereinbarung verpflichteten sich Unternehmen, Betroffene über die Verarbeitung ihrer personenbezogenen Daten zu informieren und insgesamt den Datenschutz zu beachten. Diese Selbstverpflichtung erkannte die EU als vergleichbare Regelung zum europäischen Datenschutz an.
Was genau bedeutet das EuGH-Urteil?
Wichtig zu erwähnen ist, dass es „nur“ um personenbezogene Daten geht. Ausgeschlossen von dem Urteil sind auch freiwillige Datenübertragungen von EU-Bürgern in die USA. Bucht man also beispielsweise eine Reise unter Zuhilfenahme amerikanischer Websites und gibt dort personenbezogene Daten an, ist dies unproblematisch weiter möglich.Wichtig zu erwähnen ist, dass es „nur“ um personenbezogene Daten geht. Ausgeschlossen von dem Urteil sind auch freiwillige Datenübertragungen von EU-Bürgern in die USA. Bucht man also beispielsweise eine Reise unter Zuhilfenahme amerikanischer Websites und gibt dort personenbezogene Daten an, ist dies unproblematisch weiter möglich.
Lediglich auf Grundlage des Privacy-Shield-Abkommens dürfen Unternehmen Daten mit Personenbezug nun allerdings nicht mehr in die USA transferieren. Ausdrücklich ausgenommen von dem Urteil sind die Standardvertragsklauseln.
Einschub: Was sind die „Standardvertragsklauseln“? Es handelt sich hier um spezifische, vorformulierte Vertragsklauseln , die aufgrund eines Beschlusses der EU-Kommission bereitgestellt werden. Sie sollen Datentransfers in Drittländern, die kein vergleichbar hohes Datenschutzniveau haben wie die EU, rechtfertigen. Datenex- und datenimportierende Unternehmen beziehen also die sog. Standardvertragsklauseln in ihre Vereinbarungen mit ein, um ein entsprechendes Nieveau an Datenschutz zu gewährleisten.
Die Richter des EuGH wiesen zwar darauf hin, dass auch unter Anwendung der Standardvertragsklauseln ein Risiko für Betroffene besteht, dass Geheimdienstbehörden in den USA Zugriff auf deren Daten nehmen. Allerdings seien die Schutzmechanismen in den Standardvertragsklauseln individuell erweiterbar. Es müssen also bei der Datenübermittlung in die USA zusätzliche Maßnahmen ergriffen werden, sodass der Verantwortliche sicherstellen kann, dass die Rechte betroffener Personen im Drittland einen gleichwertigen Schutz, wie in der Europäischen Union , genießen. Gleichzeitig wurden europäische Datenschutzaufsichtsbehörden dazu aufgerufen, genauer hinzuschauen und gegebenenfalls Datenübertragungen in Drittländer zu unterbinden, sollte sich herausstellen, dass dort das geforderte Schutzniveau nicht eingehalten werden kann.
Und jetzt?
Jetzt gibt es natürlich große Verunsicherung. Ab dem 16.07.2020 dürfen Verantwortliche und Auftragsverarbeiter keine Daten mehr aufgrund des Privacy Shields an die USA übermitteln. Dies hat nicht nur politische, sondern natürlich auch wirtschaftliche Auswirkungen. Weder die EU noch die USA werden ein Interesse daran haben, dass Datentransfers zwischen den beiden Parteien zukünftig nicht mehr möglich sein werden. Dies erfordert allerdings Reformen in Sachen Datenschutz auf Seiten der USA (oder auch anderer Drittländer wie China). Neue Vereinbarungen müssen getroffen werden. Zwischenzeitlich wurde von der DSK (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) eine Pressemitteilung herausgegeben (Link: https://tinyurl.com/y2sbm2mp ). Auch der EDSA (Europäischer Datenschutzausschuss) hat ein FAQ zu den Auswirkungen des Urteils des EuGH veröffentlicht (Link: https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf). Es bleibt also spannend beim Thema „Transatlantischer Datentransfer“.
Weiterführende Linkshttp://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1https://tinyurl.com/y2sbm2mphttps://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf
[…] im Juli 2020 das Privacy Shield gekippt wurde (wir berichteten hier und hier), stellte man Datentransfers in die USA mit einem Schlag vor hohe […]