EuGH kippt „EU-US Privacy Shield“ – Folgen für Unternehmen
Am 16.7.2020 hat der Europäische Gerichtshof (EuGH) den sog. EU-US Privacy Shield gekippt (Rs. C-311/18). Damit ereilt das Abkommen das gleiche Schicksal wie die Vorgängervereinbarung, das Safe-Harbor-Abkommen, das der EuGH bereits 2015 kassiert (Rs. C-362/14) hat. Unternehmen sind jetzt aufgefordert, aktiv zu werden, um nicht ins Visier von Aufsichtsbehörden zu geraten.
Was regelte der Privacy Shield und warum wurde er gekippt?
Der EU-US Privacy Shield eröffnete eine Möglichkeit, personenbezogene Daten aus Europa in die USA zu übermitteln. Hintergrund ist, dass nach den Vorgaben der europäischen Datenschutz-Grundverordnung (DS-GVO) personenbezogene Daten von EU-Bürgern in Länder außerhalb der EU nur unter bestimmten Voraussetzungen exportiert werden dürfen. Dies ist zum einen der Fall, wenn die EU-Kommission in einem sog. Angemessenheitsbeschluss festgestellt hat, dass im Zielland ein angemessener Datenschutz gewährleistet ist. Einen solchen Angemessenheitsbeschluss stellte der jetzt gekippte EU-US Privacy Shield dar. Er beruht auf einer Vereinbarung zwischen der EU-Kommission und den USA und attestierte, dass es keinen Konflikt zwischen den Grundrechten der Menschen in der EU und den US-Gesetzen gebe. Dies sahen die europäischen Richter jetzt anders und erklärten das Abkommen für ungültig.
Nach Auffassung des Gerichts bestehe in den USA wegen der weitreichenden Zugriffsmöglichkeiten der Behörden gerade kein gleichwertiger Schutz für die Daten von EU-Bürgern. Die US-Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt. Zudem wurde bemängelt, dass es für EU-Bürger keinen ausreichenden Rechtsschutz gebe.
Übermittlung auf Basis der Standardvertragsklauseln
Das EuGH-Urteil bedeutet dennoch nicht, dass Datentransfers in die USA nunmehr grundsätzlich unzulässig sind. Soweit kein Angemessenheitsbeschluss vorliegt, ist die Übermittlung von personenbezogenen Daten nach der DS-GVO nämlich auch auf Basis sog. Standardvertragsklauseln erlaubt. Bei den Standardvertragsklauseln handelt es sich um Formulierungen, die vertraglich die Einhaltung ausreichender Datenschutzstandards auch in Staaten ohne angemessenes Schutzniveau garantieren und die die EU-Kommission abgesegnet hat. Daran wolle der EuGH nach eigener Aussage auch nicht rütteln. Zugleich betonte das Gericht aber auch, dass Unternehmen verpflichtet seien, vor der Übermittlung genau zu prüfen, ob im Empfängerland das erforderliche Datenschutzniveau eingehalten wird, denn die Garantien seien wenig wert, wenn Unternehmen in den USA gezwungen werden können, den Behörden personenbezogene Daten zugänglich zu machen. Unternehmen müssen das EU-Datenschutzniveau also nicht nur garantieren, es muss auch tatsächlich möglich sein, es einzuhalten. Datenschutzbehörden seien verpflichtet, Transfers von Daten auszusetzen oder zu verbieten, wenn sie der Auffassung seien, dass die Standardvertragsklauseln im Empfängerland praktisch nicht eingehalten werden oder nicht eingehalten werden können.
Was jetzt zu tun ist
Unternehmen sollten jetzt ermitteln, ob sie selbst oder ihre Auftragsverarbeiter personenbezogene Daten (z.B. von Kunden oder Mitarbeitern) an Unternehmen in den USA übermitteln, die bisher unter dem EU-US Privacy Shield zertifiziert waren. Eine entsprechende Liste finden Sie hier. Sollte dies der Fall sein, sind die zugrunde liegenden vertraglichen Vereinbarungen daraufhin zu prüfen, ob sie die notwendigen Standardvertragsklauseln enthalten und ob dadurch die Einhaltung eines angemessenen Datenschutzniveaus garantiert wird. Ist dies nicht der Fall, sind Anpassungen erforderlich, um empfindliche Sanktionen der Aufsichtsbehörden zu vermeiden.
Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Dr. Maximilian Festl-Wietek
