Der Europäische Gerichtshof (EuGH) hat heute für einen Paukenschlag gesorgt: Das zwischen EU-Kommission und USA verhandelte EU-US-Privacy Shield ist ungültig. Eine Übergangsfrist gibt es nicht. Damit können personenbezogene Daten von EU-Bürgern in die USA ab sofort nicht mehr rechtmäßig auf Grundlage des EU-US-Privacy Shield übermittelt werden.

Zugleich urteilte der EuGH, dass die EU-Standardvertragsklauseln (SVK) grundsätzlich als gültig anzusehen sind. Dennoch, im Einzelfall müssen das betroffene EU-Unternehmen, welches die personenbezogenen Daten in einen Staat außerhalb der EU oder des EWR (Drittland) übermittelt, und das datenempfangende Unternehmen im Drittland prüfen, ob das erforderliche Schutzniveau eingehalten wird. Ist dies nicht der Fall, muss der Datenexporteur in der EU den Datentransfer aussetzen oder die Datenschutzbehörden können den Datentransfer verbieten (Urteil vom 16. Juli 2020, Rechtssache C-311/18, siehe dazu die Pressemitteilung – Urteil in englischer Sprache).

Was ist bei einer Datenübermittlung in Drittländer zu beachten?

Generell gilt, dass personenbezogene Daten nur in Drittländer übermittelt werden dürfen, wenn diese ein angemessenes Datenschutzniveau vorweisen. Ein angemessenes Datenschutzniveau kann durch die EU-Kommission positiv durch einen Angemessenheitsbeschluss festgestellt werden. Einen solchen Beschluss gibt es aktuell für dreizehn Drittländer, unter anderem auch für die USA, das so genannte EU-US-Privacy-Shield. Dieses unterliegt jedoch der Besonderheit, dass nicht für die USA insgesamt das Datenschutzniveau als angemessen betrachtet wird. Vielmehr gilt dies nur für das US-Unternehmen, welches nach den Regeln des EU-US-Privacy-Shield unterwirft und entsprechend zertifizieren lässt.

Liegt ein solcher Angemessenheitsbeschluss nicht vor, wie zum Beispiel bei China oder Indien, kann ein angemessenes Datenschutzniveau durch andere Mechanismen sichergestellt werden. Eine Option ist, dass das EU-Unternehmen, welches Daten in ein Drittland übermitteln möchte, mit dem Unternehmen im Drittland, welches die personenbezogenen Daten verarbeiten soll, die SVK abschließt.

Mit der Entscheidung des EuGH entfällt die Option, Datentransfers in die USA auf das EU-US-Privacy Shield zu stützen. Die Verwendung der SVK erzeugt für Datentransfers in Drittländer einige aufwändige Prüfpflichten – und für Transfers in die USA nunmehr sogar erhebliche Risiken.

Hintergrund der Entscheidung

Wie kam es überhaupt zu der Entscheidung des EuGH? Im Jahr 2013 hatte Max Schrems, ein österreichischer Datenschutzaktivist und Nutzer des US-amerikanischen sozialen Netzwerks „Facebook“, Beschwerde bei der irischen Datenschutzkommission (DPC) eingelegt. Facebook wird in Europa von der Facebook Ireland Limited (Facebook Irland) betrieben. Facebook Irland übermittelt Daten seiner europäischen Nutzer an Server der US-amerikanischen Muttergesellschaft Facebook Inc. Schrems forderte die DPC auf, die Übermittlung und Verarbeitung von personenbezogenen Daten der Facebook-Nutzer auf Servern der Facebook Inc. in den USA zu untersagen. Dabei verwies er auf die 2013 von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der National Security Agency (NSA). Demnach soll unter anderem auch die Facebook Inc. personenbezogene Daten von Nutzern im Rahmen des PRISM-Massenüberwachungsprogramms der NSA an US-Behörden weitergegeben haben. Hierbei machte er geltend, dass das Recht und die Praxis der USA keinen ausreichenden Schutz der in den USA gespeicherten Daten vor den Überwachungstätigkeiten der dortigen Behörden gewährleisteten.

Facebook Irland stützte 2013 die Übermittlung und Verarbeitung der Daten in die USA noch auf das so genannte „Safe-Harbor“-Abkommen. Die Gültigkeit des „Safe-Harbor“-Abkommens wurde jedoch im Rahmen der Auseinandersetzung zwischen Schrems und der DPC vom EuGH überprüft. Und tatsächlich erklärte der EuGH das „Safe-Harbor“-Abkommen für ungültig. Daraufhin beschloß die EU-Kommission das EU-US-Privacy Shield. Facebook Irland und Facebook Inc. schlossen derweil eine Vereinbarung zur Datenübermittlung und Verarbeitung in den USA ab, welche auf den SVK basierte.

Schrems machte sodann gegenüber der DPC geltend, die Vereinbarung zwischen Facebook Irland und Facebook Inc. genüge nicht, um eine datenschutzkonforme Übermittlung und Speicherung von personenbezogenen Daten der Facebook-Nutzer auf Servern der Facebook Inc. in den USA sicherzustellen. Facebook Inc. sei nach US-Recht verpflichtet, die personenbezogenen Daten der Facebook-Nutzer an US-Behörden wie der NSA oder dem Federal Bureau of Investigation (FBI) im Rahmen ihrer Überwachungsprogramme bereitzustellen. Hiergegen bestünden, selbst wenn die Übermittlung auf Grundlage der SVK geschehe, keine ausreichenden Schutzmöglichkeiten der betroffenen EU-Bürger. Die DPC müsse die Übermittlung in Anwendung des Kommissionsbeschlusses zu den Standardvertragsklauseln aussetzen. Das DPC sah sich außerstande, ohne vorherige Prüfung der Gültigkeit des Kommissionsbeschlusses der SVK den Fall zu entscheiden und legte Klage beim High Court ein, der wiederum diverse Fragen zur Gültigkeit der SVK und des EU-US-Privacy-Shield im Mai 2018 dem EuGH zur Entscheidung vorlegte. Hierzu hat der EuGH nun geurteilt.

EuGH urteilt: SVK bleiben gültig!

Der EuGH hält die SVK für gültig. Die SVK enthielten wirksame Mechanismen zum Schutz der EU-Bürger, deren personenbezogene Daten aus der EU in ein Drittland übermittelt würden. Dies gelte auch, obwohl die SVK nur die vertragsschließenden Parteien – also den Datenexporteur in der EU und das Daten empfangende Unternehmen im Drittland – binden.

Allerdings sei vor jeder Übermittlung von personenbezogenen Daten in ein Drittland durch die Parteien zu prüfen, ob die EU-Bürger, deren personenbezogene Daten übermittelt werden, ein Schutzniveau genießt, welches dem in der EU durch die EU-Datenschutzgrundverordnung und der Charta der Grundrechte der Europäischen Union (Charta) garantiertem Schutzniveau gleichwertig ist. Die Beurteilung wiederum, ob ein solches gleichwertiges, also angemessenes, Datenschutzniveau besteht, richte sich sowohl nach den vertraglichen Verpflichtungen in den SVK als auch danach, ob auch die Rechtsordnung des Drittlandes ein solches Schutzniveau, insbesondere im Hinblick auf den Zugriff durch Behörden auf Daten, vorsehe. 

Die betroffenen Parteien müssten deshalb im konkreten Einzelfall vor allem prüfen, ob das datenempfangende Unternehmen im Drittland die SVK überhaupt einhalten kann oder die Rechtsordnung des Drittlandes dem entgegensteht. Sieht die Rechtsordnung des Drittlandes kein angemessenes Schutzniveau vor, dürfe kein Datentransfer stattfinden. Schlechterdings ist nach dem EuGH auch die zuständige Datenschutzbehörde verpflichtet, einzuschreiten und den Datentransfer zu untersagen, wenn sie der Auffassung ist, dass die SVK im Drittland nicht eingehalten werden (können).

EuGH urteilt: EU-US-Privacy-Shield ist ungültig!

Eindeutig positioniert sich der EuGH beim EU-US-Privacy-Shield. Dieses erklärt er für ungültig! Alle Datentransfers von der EU in die USA, die sich bislang hierauf gestützt haben, sind damit seit heute unzulässig. Dies begründet der EuGH insbesondere wie folgt:

Die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und die Einhaltung des US-Rechts hätten nach dem EU-US-Privacy-Shield Vorrang vor den nach der Charta bestehenden Grundrechten der EU-Bürger, deren Daten in die USA übermittelt werden. Vor allem seien die auf US-Recht gestützten Überwachungsprogramme der Behörden hierbei nicht auf das zwingend erforderliche Maß beschränkt. Die hiermit einhergehenden Einschränkungen des Datenschutzes seien somit nach dem Unionsrecht unverhältnismäßig.

Ferner böte das EU-US-Privacy-Shield den betroffenen EU-Bürgern keinen dem Unionsrecht vergleichbaren Rechtsschutz. Zwar gebe es ein Ombudsverfahren, bei dem eine Ombudsperson in den USA eingeschaltet wird, die Rechte der Betroffenen gegenüber den US-Behörden wahrzunehmen. Die betroffenen EU-Bürger haben aber nicht die Möglichkeit die Unabhängigkeit der Ombudsperson überprüfen zu lassen. Ferner bestünden keine Normen, welche die Ombudsperson dazu ermächtigen, gegenüber den US-Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

Konsequenzen der Entscheidung und Handlungsempfehlungen

Das Urteil des EuGH zwingt alle international tätigen Unternehmen in der EU, ihre Datentransfers in Drittländer, insbesondere in die USA einer genauen Prüfung zu unterziehen.

Soweit Unternehmen in der EU bislang einen Datentransfer in die USA auf Basis des EU-US-Privacy Shield gerechtfertigt haben, ist Eile geboten. Denn dieser Datentransfer ist nunmehr rechtswidrig. Es steht zu erwarten, dass die Datenschutzbehörden zeitnah beginnen, die Rechtmäßigkeit solcher Datentransfers zu überprüfen. Diese Unternehmen müssen also unverzüglich prüfen, ob sie ihren Datentransfers in die USA auf Grundlage anderer Mechanismen durchführen können. Dabei ist äußerst fraglich und einer sehr genauen Prüfung zu unterziehen, ob die SVK nach dem heutigen Urteil noch eine hinreichende Alternative darstellen.

Auch im Hinblick auf andere Drittländer sollten die Datentransfers, die auf SVK gestützt werden, nochmals vor dem Hintergrund der EuGH-Entscheidung begutachtet werden. Denn der EuGH hat deutlich gemacht, dass vor einer Übermittlung personenbezogener Daten in Drittländer aber auch während kontinuierlicher Datentransfers die Einhaltung eines angemessenen Schutzniveaus geprüft und sichergestellt sein muss. 

Es wird erwartet, dass sich die deutschen und europäischen Datenschutzbehörden zeitnah hierzu positionieren werden. Was können Unternehmen also, vorbehaltlich der abzuwartenden Stellungnahmen von Datenschutzbehörden, grundsätzlich tun? Mögliche, gleichwohl teils organisatorisch aufwändige oder risikobehaftete Tätigkeiten können sein:

• Wurden SVK geschlossen, ist zunächst zu prüfen, ob der Datenimporteur im Drittland die Regelungen der SVK in seinem Land auch tatsächlich einhalten kann.
• Eine Prüfung des Schutzniveaus in Drittländern sollte vor allem anhand der bestehenden Regelungen zur öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates geschehen, insbesondere im Hinblick darauf, ob ausreichende Schutzmechanismen für EU-Bürger bestehen.
• Ist dies, wie beispielsweise im Fall USA, fraglich, könnte eine kurzfristige Lösung sein, neben den SVK noch weitere Vereinbarungen zu treffen, wonach das Unternehmen im Drittland den Datenexporteur in der EU vor oder unverzüglich nachträglich informieren muss, wenn eine Behörde Daten anfragt und verarbeitet, sodass das EU-Unternehmen eventuell erforderliche Maßnahmen ergreifen kann. Diese Lösung könnte allerdings als „Feigenblatt“ gesehen werden. Regelmäßig könnte der Datenimporteur im Drittland nämlich vor der Situation stehen, dass er möglicherweise entweder gegen das Recht seines Heimatstaates oder gegen die vertragliche Vereinbarung mit dem Datenexporteur in der EU verstößt.
• Soweit insgesamt Zweifel hinsichtlich eines angemessenen Schutzniveaus auch auf Grundlage des Abschlusses von SVK (und etwaiger weiterer Vereinbarungen) bestehen, kann eine Prüfung stattfinden, ob Datentransfers auf Grundlage sonstiger Schutzmechanismen möglich sind, beispielsweise einer Einwilligung, einer Vertragserfüllung oder aufgrund so genannter Binding Corporate Rules.
• Schließlich könnte auch erwogen werden, Datentransfers in Drittländern zu verringern oder einzustellen, oder die Datenverarbeitung in die EU und den EWR zu verlagern.