EuGH erklärt EU-U.S. Privacy Shield für ungültig
Der Europäische Gerichtshof hat heute in einer wegweisenden Entscheidung geurteilt, dass das EU-U.S. Privacy Shield ungültig ist. Das Gericht begründet die Entscheidung mit dem Umstand, dass das Abkommen den Erfordernissen der nationalen Sicherheit der USA und der Einhaltung von US-Recht Vorrang einräume. Daher sei durch das Privacy Shield kein angemessener Schutz in den USA hergestellt. Die vielfach genutzten EU-Standardvertragsklauseln sind hingegen weiterhin gültig – wenngleich ihr Einsatz Schwierigkeiten bereitet. Der EuGH fordert, dass der Datenimporteur die in den Klauseln enthaltenen Verpflichtungen tatsächlich einhalten kann. Ob dies ohne weitere Maßnahmen in den USA und anderen Ländern möglich ist, muss bezweifelt werden.
Gesetzlicher Rahmen
Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn im betreffenden Land für die Daten ein angemessenes Schutzniveau gewährleistet wird. Unternehmen stehen hierfür drei Optionen zur Verfügung: Entweder liegt ein Angemessenheitsbeschluss der EU-Kommission vor. Die Kommission kann feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Derartige Angemessenheitsbeschlüsse existieren nur für 12 Länder. Liegt kein Angemessenheitsbeschluss vor, darf eine Übermittlung nur erfolgen, wenn der in der EU ansässige Exporteur der Daten geeignete Garantien vorsieht. Derartige Garantien können Unternehmen für konzerninterne Datenflüsse durch sog. Binding Corporate Rules (BCRs) schaffen. Sowohl konzernintern als auch zwischen Unternehmen konnten die Beteiligten EU-Standardvertragsklauseln abschließen und hierdurch das erforderliche Schutzniveau herbeiführen. Für Datenübermittlungen in die USA wurden bislang überwiegend der EU-U.S. Privacy Shield, eine sektorspezifische Angemessenheitsentscheidung der Kommission, und/oder Standardvertragsklauseln genutzt.
Hintergrund des Verfahrens
Max Schrems, ein österreichischer Datenschutzaktivist, ist seit 2008 Nutzer von Facebook. Bei der Nutzung des Netzwerks werden von Facebook Ireland personenbezogene Daten an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt. Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Mit Urteil vom 6. Oktober 2015 erklärte der EuGH das Safe Harbor-Abkommen für ungültig („Schrems I“).
Nachdem das Urteil Schrems I ergangen war, formulierte Schrems seine Beschwerde um und machte geltend, dass die von Facebook Ireland nunmehr auf der Grundlage der EU-Standardvertragsklauseln vorgenommene Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten unzulässig sei. Der Vorgang wurde erneut dem EuGH in einem Vorabentscheidungsersuchen vorgelegt, weil die Bewertung davon abhängt, ob die durch Beschluss 2010/87 durch die Kommission verabschiedeten EU-Standardvertragsklauseln rechtswirksam sind. Nachdem dieses Verfahren vor dem EuGH eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-U.S. Privacy Shield gebotenen Schutzes.
Der EuGH befasste sich nun in „Schrems II“ mit beiden Instrumenten: Standardvertragsklauseln und Privacy Shield..
Entscheidung des Gerichts
Der EuGH stellte heute fest, dass der Beschlusses 2010/87 über die EU-Standardvertragsklauseln mit der Charta der Grundrechte der Europäischen Union vereinbar und daher weiterhin gültig ist. Den Privacy Shield-Beschluss 2016/1250 erklärte er für ungültig.
Der Gerichtshof prüft zunächst die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen EU-Standardvertragsklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr sei entscheidend, ob der Beschluss wirksame Mechanismen enthalte, die in der Praxis gewährleisten können, dass das verlangte Schutzniveau eingehalten wird und dass Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Nach Ansicht des Gerichts bieten die Standardvertragsklauseln grundsätzlich hinreichende Garantien für einen Transfer in Drittländer. Allerdings betont das Gericht, dass der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werde, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen müsse, wenn dieser die Standardvertragsklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen müsse.
Sodann prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250. Der EuGH kommt zu dem Ergebnis, dass das Privacy Shield die Befugnisse der amerikanischen Behörden, die nach US-Recht auf Daten zugreifen und sie verwenden dürfen, nicht ausreichend einschränkt. Es würden damit nicht die Anforderungen erfüllt, die einen mit dem Unionsrecht gleichwertigen Schutz böten, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien. Der Gerichtshof fügte hinzu, dass diese Vorschriften zwar Anforderungen vorsehen würden, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten seien. Sie würden aber den betroffenen Personen keine Rechte verleihen, die auch gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. Die Ausführungen des Gerichts in Bezug auf die Eingriffe in die Grundrechte europäischer Bürger durch US-Behörden sind allgemein gehalten und legen nah, dass sich aufgrund der US-Rechtslage nicht ohne Weiteres ein vergleichbares Datenschutzniveau herstellen ließe.
Das Gericht hebt hervor, dass Unternehmen die Übermittlung in derartige Drittländer unterlassen müssen, sofern kein Schutzmechanismus vorhanden ist, der ein angemessenes Datenschutzniveau im Zielland gewährleistet. Nach Ansicht des Gerichts sind darüber hinaus die Aufsichtsbehörden verpflichtet, Datentransfers zu untersagen, wenn diese nicht von den Unternehmen freiwillig eingestellt werden.
Reaktion der Europäischen Kommission
Die Europäische Kommission hatte noch 2019 das EU-U.S. Privacy Shield als Erfolg gefeiert. In ihrer Pressekonferenz zum Urteil regte die Kommission an, den Datentransfer auf Binding Corporate Rules zu stützen (vgl. Stellungnahme). Allerdings bedürfen diese der Genehmigung, gelten nur innerhalb eines Konzerns und spielen in der Praxis keine Rolle: Weltweit verfügen nur wenige Konzerne über die zur Gültigkeit von BCRs erforderliche Genehmigung.
Relevanter ist hingegen, dass die Europäische Kommission mitteilte, bereits an Alternativen zu arbeiten. Worum es sich hierbei handelt, ließ die Kommission offen. Denkbar ist, dass die seit langem erwarteten, neuen sog. EU-Standarddatenschutzklauseln, die die Standardvertragsklauseln ablösen sollen, veröffentlicht werden. Ebenfalls ist möglich, dass Verhandlungen mit den USA zu einem Nachfolgemodell für das Privacy Shield vorbereitet werden.
Auswirkungen auf die Praxis
Datentransfers in Länder außerhalb der Europäischen Union müssen nach den Vorgaben der DSGVO durch bestimmte Instrumente gewährleisten, dass das Datenschutzniveau im Zielland dem der Europäischen Union entspricht. Das Privacy Shield stellt, neben den EU-Standardvertragsklauseln, ein oft genutztes Instrument zur Legitimierung von Datentransfers in die USA dar. Sämtliche Datentransfers, die auf das Privacy Shield gestützt werden, müssen ab sofort unterlassen und z.B. auf Standardvertragsklauseln umgestellt werden.
Da das Gericht im Rahmen der Prüfung des Privacy Shield feststellt, dass die Rechtslage in den USA kritisch zu bewerten ist, sind allerdings Datentransfers auf Grundlage der Standardvertragsklauseln mit Rechtsrisiken behaftet. So scheint es nicht möglich, durch den bloßen Abschluss von Standardvertragsklauseln in den USA ein angemessenes Datenschutzniveau herzustellen. Ein Datentransfer in die USA oder andere unsichere Drittländer allein auf Grundlage dieser Klauseln ist jedenfalls ohne weitere Schutzmaßnahmen nicht (mehr) möglich.
Datenübermittelnde und -empfangende Unternehmen müssen zeitnah zusätzliche Maßnahmen implementieren, die zu den Standardvertragsklauseln hinzutreten und insbesondere den Umgang mit behördlichen Herausgabeverlangen regeln, sodass dieses „Gesamtpaket“ die beabsichtigten Datentransfers ins Drittland legitimieren kann. Einzelne Datenschutzaufsichtsbehörden haben bereits angekündigt, den Unternehmen keine Schonfrist zu gewähren.
Update: Handlungsempfehlung
In unserer Broschüre „Schrems II – Bewertung und PwC Unterstützung“ bieten wir Hilfestellung, sodass Ihr Unternehmen schnellstmöglich auf die neuen Anforderungen reagieren und die Einhaltung datenschutzrechtlicher Vorschriften an Drittlandtransfers sicherstellen kann. Sprechen Sie uns gerne an.