Europäischer Gerichtshof kippt EU-U.S. Privacy Shield
Der Europäische Gerichtshof (EuGH) hat am 16.07.2020 den Durchführungsbeschluss der Europäischen Kommission zum „EU-U.S. Privacy Shield“ – ohne Übergangsfrist – für ungültig erklärt und damit dem transatlantischen Datentransfer einen herben Schlag versetzt.
In einer nicht weniger aufsehenerregenden Entscheidung hatte der EuGH 2015 bereits den Durchführungsbeschluss der Europäischen Kommission zum Vorgänger des „EU-U.S. Privacy Shield“, dem „US/EU Safe Harbor Framework“, für ungültig erklärt. Nur wenige Monate später hatte die Europäische Kommission dem Nachfolger des für ungültig erklärten „US/EU Safe Harbor Framework“, dem „EU-U.S. Privacy Shield“, durch einen neuen Durchführungsbeschluss ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten an Unternehmen in den USA bescheinigt. Auch dieser Nachfolger war jedoch bald scharfer Kritik ausgesetzt.
Mit der jüngsten Entscheidung des EuGH zur Ungültigkeit auch dieses neuen Durchführungsbeschlusses zum EU-U.S. Privacy Shield erlebt der transatlantische Datentransfer nun ein fatales Déjà-vu. Aufgrund diverser behördlicher Zugriffsbefugnisse von US-Behörden und mangelnder Rechtschutzmöglichkeiten für EU Bürger in den USA, so der EuGH, könne man den USA aktuell schlechterdings kein angemessenes Datenschutzniveau attestieren.
Zwar hat der EuGH in seiner Entscheidung auch klargestellt, dass die in der Praxis häufig für den internationalen Datentransfer verwendeten EU Standarddatenschutzklauseln (oder auch „Standardvertragsklauseln“) an sich nicht zu beanstanden sind.
Gleichzeitig winkt der EuGH in seinem Urteil aber unübersehbar mit dem nächsten Zaunpfahl: Die jeweils zuständige Aufsichtsbehörde sei verpflichtet, eine auf Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn die Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können. Vor dem Hintergrund der kritischen Ausführungen des EuGH zur Rechtslage in den USA drängt sich folglich die Frage auf, ob die Aufsichtsbehörden Datentransfers in die USA nicht auch dann unterbinden müssen, wenn diese Datentransfers auf Basis der Standardvertragsklauseln erfolgen und gleichzeitig auf der Hand liegt, dass die jeweiligen konkreten Datenimporteure US-Gesetzen unterliegen, die ihnen die Einhaltung der Standardvertragsklauseln im Ergebnis unmöglich machen. Die Entscheidung des EuGH stellt damit im Ergebnis die Rechtmäßigkeit der Übermittlung personenbezogener Daten in die USA auf Grundlage von Standardvertragsklauseln insgesamt in Frage.
Wie sich die europäischen Aufsichtsbehörden hierzu positionieren werden, bleibt abzuwarten. Vor allem stellt sich die Frage, ob die Aufsichtsbehörden Unternehmen eine gewisse „Gnadenfrist“ gewähren werden, um sich auf die neue Rechtslage einzustellen. Nach der Safe-Harbor-Entscheidung des EuGH hatten sich die Datenschutzbehörden seinerzeit auf eine wenige Monate dauernde „Schonfrist“ verständigt.
Erste Stellungnahmen deutscher Behörden zur Privacy-Shield-Entscheidung des EuGH deuten darauf hin, dass aus Sicht der Behörden Datentransfers in die USA zumindest im Einzelfall durchaus noch auf Basis von Standardvertragsklauseln zulässig sein können. Bis auf Weiteres hängt über den Standardvertragsklauseln jedoch das Damoklesschwert einer behördlichen Beanstandung oder gar der Verhängung von Bußgeldern. Es bleibt zu hoffen, dass die europäischen Aufsichtsbehörden hier rasch für Klarheit sorgen.
In jedem Fall kommen datenexportierende Unternehmen nun nicht mehr umhin, für sämtliche auf Standardvertragsklauseln gestützte Übermittlungen in Drittländer (also nicht nur in die USA) im Einzelnen zu prüfen, welchen Gesetzen der jeweilige Datenimporteur im Drittland, an den sie die Daten übermitteln möchten, und etwaige weitere Empfänger unterliegen und ob diese Gesetze die von ihnen mit Unterzeichnung der Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Hierzu dürfte es unabdingbar sein, die konkreten Datenexporte im Einzelnen zu analysieren und festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden. Der mit dem Abschluss von Standardvertragsklauseln in der Praxis verbundene Aufwand dürfte infolgedessen merklich steigen. Ob Standardvertragsklauseln vor diesem Hintergrund eine praktikable Lösung bleiben werden, steht in den Sternen.
Wir empfehlen daher vor allem auch sorgfältig zu prüfen, ob als Alternativlösungen für Übermittlungen in Drittländer anstatt von Standardvertragsklauseln andere geeignete Garantien (Art. 46 DS-GVO) oder Ausnahmetatbestände (Art. 49 DS-GVO) in Betracht kommen.
Weiterführende Links:
- EuGH - Pressemitteilung vom 16.07.2020 - Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig
- EuGH - Urteil vom 16.07.2020 - Rechtssache C 311/18 - Data Protection Commissioner gegen Facebook Ireland Ltd („Schrems II“)
- LfDI Rheinland-Pfalz - FAQs zum EuGH-Urteil vom 16. Juli 2020 (C-311/18)