Nicht ganz unerwartet hat der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16.07.2020 (C-311/18) den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Damit können Unternehmen in der EU ihre Datentransfers an Empfänger in den USA ab sofort nicht mehr auf das zwischen der EU Kommission und der US Regierung ausgehandelte „Privacy Shield“-Programm stützen.
Dies kam schon allein deswegen nicht ganz unerwartet, weil das seit dem Jahr 2016 in Kraft stehende „Privacy Shield“ das „Safe Harbour“-Abkommen ablösen sollte – welches 2015 vom EuGH aus weitgehend identischen Gründen für unwirksam erklärt worden war:
Der Austausch von Arbeitnehmer-, Kunden- und Lieferantendaten mit Konzernunternehmen Dienstleistern und Geschäftspartnern außerhalb der EU ist nach der Datenschutz-Grundverordnung (DS-GVO) nur zulässig, wenn ein „angemessenes Datenschutzniveau“ im Drittland gewährleistet ist. Nach Auffassung des EuGH ist dies in den USA aufgrund der weitreichenden Zugriffsbefugnisse der US-Sicherheitsbehörden auf elektronisch gespeicherte Daten von Ausländern und der fehlenden Rechtsschutzmöglichkeiten eben nicht der Fall. Die Beschränkung die Rechtsschutzmöglichkeiten der Betroffenen auf ein bloßes Ombudsverfahren entspräche nicht dem europäischen Verständnis von einem unabhängigen Richter. Die anderslautende „Angemessenheitsentscheidung“ der EU-Kommission, wonach also bei Datentransfers unter dem sog. „Privacy Shield“ ein hinreichendes Datenschutzniveau sichergestellt ist, hat der EuGH daher mit sofortiger Wirkung für ungültig erklärt.
Zwar bleiben nach den Feststellungen des EuGH die als alternative Grundlage für Datentransfers in Drittstaaten weitverbreiteten „Standardvertragsklauseln“ grundsätzlich wirksam. Allerdings hat der EuGH gleichzeitig hohe Anforderungen an die Vertragsparteien gestellt, die ihren Datenaustausch auf eben diese Vertragsklauseln stützen wollen – womit der bloße Rückgriff auf diese Klauseln allein derzeit nicht zur Compliance ausreicht:
Die Vertragsparteien müssten bei der Verwendung dieser Standardvertragsklauseln aktiv prüfen, ob die nationale Rechtslage im Empfängerland die Einhaltung der Datenschutzverpflichtungen aus diesen Standardvertragsklauseln auch tatsächlich zulässt. Insbesondere sollen Datenübermittlungen trotz Abschluss der Standardvertragsklauseln nicht zulässig sein, wenn der Empfänger aufgrund des für ihn geltenden nationalen Rechts dazu verpflichtet ist, den – nach europäischen Maßstäben – unverhältnismäßigen Zugriff von staatlichen Akteuren auf die Daten von EU Bürgern zu dulden. Stellen die Vertragsparteien also fest, dass unter den gegebenen Umständen im Empfängerland (wie etwa den USA) die Einhaltung der Datenschutzgarantien der Standardvertragsklauseln gar nicht möglich ist, wären sie laut EuGH gleichwohl verpflichtet, den Datenaustausch unverzüglich einzustellen. Kommen die EU-Unternehmen ihren Prüf- und Handlungspflichten nicht nach, verstößt die Datenübermittlung gegen die Vorgaben der DS-GVO.
Und eben hier läge dann das lediglich verlagerte Problem: Denn es bleibt auch nach Inhalten des Urteils des EuGH durchaus unklar, welche Anforderungen an Art und Umfang der Prüfung des Datenschutzniveaus des Drittlandes zu stellen sind. Dies stellt in der anwaltlichen Praxis eine erhebliche Unwägbarkeit dar – schon allein deshalb, weil ja offenbar selbst die erhebliche juristische Expertise einer EU-Kommission bereits wiederholt daran scheiterte, die Angemessenheit des Datenschutzniveaus in den USA zutreffend zu bewerten. Unklar bleibt also derzeit, ob Datenempfänger in den USA die Einhaltung der Datenschutzgarantien der Standardvertragsklauseln überhaupt gewährleisten können.
Nachdem zwar die EU-Kommission noch am Tag der Entscheidung angekündigt hat, neue Standardvertragsklauseln auf den Weg zu bringen, ist es aber den EU-Unternehmen, die derzeit darauf angewiesen sind, personenbezogene Daten in Drittländer zu übermitteln und sich dabei der aktuellen Standardvertragsklauseln bedienen, dringend zu empfehlen, zusätzlich die Bemühungen um eine Prüfung der Rahmenbedingungen im Empfängerland und eine Kontrolle der Einhaltung der Vertragsbedingungen durch den Vertragspartner zu dokumentieren.
Hierzu stehen wir Ihnen gerne mit unserer Praxisgruppe Datenschutz zu Diensten.
Quelle: Gerichtshof der Europäischen Union, PM Nr. 91/20