Am 16. Juli 2020 hat der EuGH mit seinem bereits lange erwarteten und schon im Vorfeld diskutierten Urteil den EU-US Privacy Shield gekippt. Das Urteil hat umfassende Folgen für Datentransfers zwischen der EU und Drittstaaten, insbesondere der USA. Wir erläutern Ihnen nachfolgend die Hintergründe und zeigen Ihnen auf, welche Risiken für Ihr Unternehmen bestehen und welcher Handlungsbedarf daraus resultiert.

Was ist passiert?

Wie der EuGH in einer Pressemitteilung verkündete, hat er mit seinem am 16. Juli 2020 veröffentlichten Urteil den Privacy Shield-Beschluss 2016/1250 für ungültig erklärt (Az: C-311/18). Datentransfers, die bisher auf die datenschutzrechtliche Rechtsgrundlage des EU-US-Privacy Shield gestützt werden, können somit nicht mehr datenschutzkonform durchgeführt werden, ohne dass die jetzt zu prüfenden Anpassungen durchgeführt wurden.

Auch in der gerichtlichen Entscheidung des EuGH betrachtet wurden die EU-Standarddatenschutzklauseln (Standard Contractual Clauses, SCC), welche als Alternative zum Privacy Shield ebenfalls eine datenschutzkonforme Übermittlung personenbezogener Daten in Drittstaaten wie die USA formal ermöglichen. Der EuGH hat hierzu entschieden, dass die Standarddatenschutzklauseln aufgrund der dort erfolgten Prüfung weiterhin Gültigkeit haben.

Inwiefern die Standarddatenschutzklauseln mit dem heutigen Stand jedoch alle datenschutzrechtlichen Probleme bei Drittlandstransfers lösen können, wird erst die Zukunft zeigen: Ergänzend zur Entscheidung der weiteren Gültigkeit der Standarddatenschutzklauseln weist der EuGH in seinem Urteil daraufhin, dass auch bei Anwendung der Standarddatenschutzklauseln ein angemessenes Schutzniveau sichergestellt werden muss. Der EuGH hat die Datenschutzaufsichtsbehörden daher dazu angehalten, Übermittlungen auszusetzen, wenn die Klauseln im Zielland nicht eingehalten werden können und somit ein angemessenes Schutzniveau im Sinne der EU nicht garantiert werden kann. Im Fall der USA kann dieses beispielsweise von Bedeutung sein, da ein Zugriff durch US-Behörden auf Datenbestände dort unter bestimmten Voraussetzungen gesetzlich vorgesehen ist und daher vertraglich über Standarddatenschutzklauseln kaum vollständig ausgeschlossen werden kann.

Auf die hinsichtlich des Abschlusses von Standarddatenschutzklauseln bestehenden Sorgfaltspflichten der Unternehmen sowie Kontrollpflichten der Aufsichtsbehörden - und die damit verbundene Befugnis, den Datenaustausch zu untersagen - weist auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Herr Prof. Ulrich Kelber, in seiner Pressemitteilung hin. 

Hintergrund

Bei dem EU-US Privacy Shield handelt es sich um eine datenschutzrechtliche Absprache zwischen der Europäischen Union und der USA, welche durch Zusicherungen der US-Regierung und ein damit in Verbindung stehendes Meldeverfahren US-amerikanischen Unternehmen die Möglichkeit eröffnet, mit Unternehmen aus der EU datenschutzkonforme Datenübermittlungen zu vereinbaren. Basierend darauf wurde von der EU-Kommission ein sog. Angemessenheitsbeschluss i.S.v. Art. 45 DSGVO erlassen (Beschluss 2016/1250), durch welchen den beim Privacy Shield registrierten US-Unternehmen ein dem europäischen Datenschutz vergleichbares Niveau attestiert wird. Damit wurde die für Übermittlungen in Drittländer außerhalb der Europäischen Union erforderliche datenschutzrechtliche Rechtsgrundlage geschaffen.

Besteht kein Angemessenheitsbeschluss, so kann ein Datentransfer in Drittländer erfolgen, sofern der Verantwortliche oder ein Auftragsverarbeiter "geeignete Garantien" vorgesehen hat, durch welche eine Übermittlung auf einem mit dem der Europäischen Union vergleichbaren Datenschutzniveau erreicht wird. Als solche geeigneten Garantien kommen insbesondere die von der Europäischen Kommission genehmigten Standarddatenschutzklauseln in Betracht. 
Wer den Urteilstext genauer liest, dem fällt auf, dass dort für die Klauseln zwei verschiedene Begriffe verwendet werden. Der ehemals - auch im EuGH-Urteil bei Zitaten zu früheren Entscheidungen - verwendete Begriff der "Standardvertragsklauseln" wird in der DSGVO durch den Begriff der "Standarddatenschutzklauseln" ersetzt (nachzulesen in Art. 46 Abs. 2 lit. c DSGVO).

Anders als beim Privacy Shield, der nur für Übermittlungen in die USA galt, können die Standarddatenschutzklauseln für Übermittlungen in beliebige Drittländer eingesetzt werden.

Als weitere Alternative ist der Abschluss von sog. "Binding Corporate Rules" (BCR) bzw. "verbindlichen Unternehmensregeln" denkbar. Dabei handelt es sich um eine Möglichkeit der datenschutzkonformen Datenübermittlung, die insbesondere für internationale Konzerne geschaffen wurde. Sie ermöglicht auf der Grundlage eines unternehmensinternen Regelwerks eine datenschutzrechtlich verbindliche und konforme Übermittlung und Verarbeitung in der Unternehmensgruppe. Wenngleich sich bei diesem Verfahren i.d.R. eine vergleichsweise gute Rechtssicherheit ergibt, wird dies mit einem nicht unerheblichen Voraufwand erkauft. Die BCR müssen sorgfältig ausgearbeitet und mit den zuständigen Aufsichtsbehörden abgestimmt werden. Bei international vernetzten Konzernen kann sich der Aufwand aufgrund der dadurch gewonnenen Rechtssicherheit dennoch lohnen.

Folgen

Durch das EuGH-Urteil können Transfers personenbezogener Daten, welche bisher ausschließlich auf den Privacy Shield gestützt wurden, nicht mehr konform zu Europäischem Datenschutzrecht in die USA übermittelt werden. Hiervon sind deutschland- und europaweit zahllose Datentransfers betroffen. Nahezu alle großen IT-Dienstleister nutzen für manche Dienste den Privacy Shield. In der Liste der registrierten Unternehmen finden sich bspw. Google, Facebook und Microsoft. 

Dies bedeutet gleichwohl nicht automatisch, dass Hopfen und Malz verloren sind. Zum einen verwenden schon heute manche der Unternehmen alternative Konstrukte, die bspw. auf den Standarddatenschutzklauseln basieren. Dies trifft beispielsweise für eine Reihe der von Microsoft angebotenen Dienste zu. Des Weiteren kann auch bei Diensten, die bisher auf den Privacy Shield gestützt werden, jetzt eine Anpassung der datenschutzrechtlichen Rechtsgrundlage erfolgen, indem ein entsprechender Vertrag neu aufgesetzt und vereinbart wird. Wie einleitend beschrieben, muss aber auch in diesem Fall geprüft werden, ob im Zielland die Grundsätze des europäischen Datenschutzrechtes eingehalten werden.

Wie der Heise-Verlag berichtet, hat Microsoft bereits ausdrücklich zu dem EuGH-Urteil Stellung bezogen: "Das Urteil des Gerichtshofs ändert nichts daran, dass Sie heute Daten zwischen der EU und den USA über die Microsoft-Cloud übertragen können." Man biete den Kunden seit Jahren einen überlappenden Schutz im Rahmen der Standarddatenschutzklauseln und des Privacy Shield.

Schlussendlich besteht noch die - zumindest theoretische - Möglichkeit, dass die EU-Kommission und die USA eine Nachfolgeregelung zum Privacy Shield finden. Eine ähnliche Situation ergab sich bereits 2015, als der EuGH die Vorgängerregelung zum Privacy Shield, genannt "Safe Harbor", gekippt hat. Der Privacy Shield war allerdings schon damals relativ schnell harscher Kritik ausgesetzt und wurde beispielsweise als "alter Wein in neuen Schläuchen" bezeichnet. Auch wenn es heißt, dass die EU-Kommission sich bereits auf das EuGH-Urteil vorbereitet hat, ist fraglich, ob sie sich einer derartigen Situation erneut aussetzen will. Denkbar ist zudem, das wie bereits nach dem Fall des Safe-Harbor-Urteils, den Unternehmen eine Übergangsfrist gewährt wird, um die Datenübertragung zwischen den USA und der EU neu zu regeln.

Fazit

Was sollten Sie jetzt tun? Zunächst sollten Sie prüfen, ob bzw. an welchen Stellen in Ihrem Unternehmen Datenübermittlungen an Drittstaaten, insbesondere in die USA, erfolgen. Gute Ausgangspunkte für die Prüfung sind bspw. ein bestehendes Verzeichnis der Verarbeitungstätigkeiten oder eine Übersicht Ihrer IT-Dienstleister bzw. Auftragsverarbeiter und der geschlossenen Dienstleistungsverträge. Im nächsten Schritt sollten Sie prüfen, ob bzw. an welchen Stellen die zuvor identifizierten Übermittlungen ausschließlich auf den Privacy Shield gestützt werden. Dies lässt sich bspw. aus bestehenden Auftragsverarbeitungsverträgen und den Datenschutzerklärungen der Dienstleister ablesen. Ebenfalls prüfen sollten Sie, ob etwaige Subunternehmer Ihrer Dienstleister unter die Regelungen des Privacy Shield fallen. Mit den auf diesem Weg identifizierten Dienstleistern sollten Sie das Vorgehen zur Vereinbarung der Standarddatenschutzklauseln abstimmen (falls Sie sich nicht für eine der Alternativen, wie die BCR entscheiden). Ähnlich wie beim Abschluss eines Auftragsverarbeitungsvertrags sollten Sie sich zunächst einigen, wer den Vertragsentwurf erstellt. Wird Ihnen ein Vertrag vorgelegt, sollten Sie diesen - insbesondere hinsichtlich bestehender Abweichungen vom Standard - sorgfältig prüfen. Darüber hinaus müssen Sie - ebenfalls vergleichbar zur Auftragsverarbeitung - die Angemessenheit der vereinbarten technischen und organisatorischen Schutzmaßnahmen beim Dienstleister prüfen. Generell muss sichergestellt sein, dass durch die getroffenen Maßnahmen eine hinreichend sichere Übermittlung und Verarbeitung im Drittland ermöglicht wird. Zudem ist gemäß Urteilstext zu prüfen, ob das jeweilige nationale Recht es prinzipiell ermöglicht, die in den Standarddatenschutzklauseln vereinbarten Pflichten einzuhalten. Weiterhin empfiehlt es sich, die zukünftigen Entwicklungen und Stellungnahmen in diesem Themenbereich zu verfolgen und diese auch bei Entscheidungen über den Wechsel von IT-Dienstleistern oder bei der Aufnahme von Vertragsbeziehungen zu neuen IT-Dienstleistern zu berücksichtigen. Nach dem Safe Harbor durch den EuGH gekippt wurde, gab es in der Folgezeit in manchen Bundesländern eine Reihe anlassloser Prüfungen der zuständigen Aufsichtsbehörden. Dabei wurde zunächst in einem Anschreiben erfragt, ob im Unternehmen Datentransfers in Drittstaaten erfolgen und, falls ja, auf welcher datenschutzrechtlichen Grundlage. Neben einigen weiteren Fragen wurde im weiteren Verlauf auch die Zusendung des Verzeichnisses der Verarbeitungstätigkeiten (damals noch: "Verfahrensverzeichnis") angefragt. Falls Ihr Unternehmen entsprechende Beziehungen bzw. Datentransfers in die USA unterhält und diese für Außenstehende sichtbar - oder denkbar - sind, empfiehlt es sich insofern, sich jetzt auf etwaige Anfragen von Seiten der Aufsichtsbehörden vorzubereiten. Wenn Sie Fragen zum Privacy Shield, zum Abschluss von Standarddatenschutzklauseln oder anderen Datenschutzthemen haben, freue ich mich über eine Nachricht von Ihnen. Wenn Sie über aktuelle Datenschutzthemen auf dem Laufenden bleiben möchten, freue mich ebenso über Ihre Vernetzung bei LinkedIn: https://www.linkedin.com/in/ralf-kollmann-datenschutz-it-beratung/

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: