Am 16.Juli 2020 hat der europäische Gerichtshof das EU/ US Privacy Shield Abkommen, das die Übermittlung von personenbezogenen Daten von der EU in die USA regelte, für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”). Folglich können personenbezogene Daten nicht mehr auf der Grundlage des Privacy Shields in die USA transferiert werden. Damit hat der Datenschutzaktivist Max Schrems in seinem Verfahren gegen Facebook Irland einen weiteren Sieg errungen.
Aber was ist nun das Privacy Shield eigentlich? Und was bedeutet das Urteil für Unternehmen?
Was ist das EU/US Privacy Shield?
Grundsätzlich sind die personenbezogenen Daten von EU-Bürgern durch die Bestimmungen der DSGVO geschützt. Sobald diese Daten jedoch den europäischen Raum verlassen, ist dieser Schutz allerdings nicht mehr gewährleistet. Das ist vor allem deshalb problematisch, da viele große Unternehmen wie Facebook, Google & Co. ihren Hauptsitz in Länder außerhalb der EU haben.
Laut Datenschutzgrundverordernung dürfen personenbezogene Daten aber nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt werden kann. Dies war auch die Grundlage für das EU/US Privacy Shield, welches am 1. August 2016 in Kraft trat. So sicherten die Vereinigten Staaten gewisse Datenschutzstandards zu, woraufhin die Kommission im Gegenzug einen sogenannten Angemessenheitsbeschluss traf.
Das Problem bei der ganzen Sache ist allerdings, dass sich amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten wollen, lediglich in eine Liste des U.S.-Handelsministerium eintragen lassen mussten. Mit dieser Eintragung verpflichteten sie sich zwar, die Prinzipien des Privacy Shields zu achten, eine Prüfung durch eine unabhängige Stelle fand jedoch nicht statt. Daher wurde dieser Prozess auch häufig als Selbstzertifizierung bezeichnet.
Die Hintergründe des EuGh Urteils vom 16. Juli 2020
Hintergrund für das Urteil von letzter Woche ist ein Verfahren gegen die irische Datenschutzbehörde. Im Jahr 2013 hatte der Datenschutzaktivist Max Schrems eine Beschwerde eingelegt, mit der er die Datenschutzbehörde im Wesentlichen dazu aufforderte, dass sie Facebook Ireland eine Übermittlung seiner personenbezogenen Daten in die USA verbieten. Da die Behörde jedoch kein Verfahren startete, verklagte Schrems sie, woraufhin der irische High Court die Angelegenheit dem EuGH vorlegte.
So erklärte der EuGH das, dem Privacy Shield vorangegangene, Safe Harbor Abkommen mit Urteil vom 06. Oktober 2015 für ungültig (EuGH, 6.10.2015 – C-362/14 “Schrems I”) und verwies die Sache an den irischen High Court zurück. Facebook berief sich in der Folge darauf, dass die Standarddatenschutzklauseln ja eigentlich Bestand hätten und der Transfer personenbezogener Daten auf deren Grundlage sehr wohl rechtens wäre.
Daraufhin änderte Schrems seinen Antrag entsprechend und ging gegen den Datentransfer auf Grundlage der Standarddatenschutzklauseln (nach Kommissionsbeschluss 2010/87/EU) vor. Letzten Endes wurde die Angelegenheiten erneut dem EuGH vorgelegt und mit Urteil vom 16. Juli 2020 auch das EU/US Privacy Shield für ungültig erklärt.
Was bedeutet das Urteil nun konkret für Unternehmen?
Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den so genannten “Drittländern” kein angemessenes Datenschutzniveau herrscht (Art. 44 bis 49 DSGVO). Für europäische Unternehmen ist vor allem die Verarbeitung von Daten in den USA relevant. Egal ob die Verarbeitung durch Microsoft, Google oder Facebook erfolgt – die Zulässigkeit der Verarbeitung von Daten in den USA hängt vor allem vom Privacy Shield und den Standardschutzklauseln ab.
Die aktuelle Entscheidung des EuGH führt jedoch dazu, dass diese beiden Rechtsgrundlagen praktisch wegfallen bzw. nur ein kleiner Handlungsspielraum bleibt.
Deshalb sollten Unternehmen insbesondere folgende Maßnahmen zur Risikoreduzierung ergreifen:
Data Mapping
Sofern nicht bereits erledigt, sollten Unternehmen die internationalen Datentransfers sowie die implementierten Transfer-Mechanismen in ihrem Verantwortungsbereich identifizieren. Dies umfasst sowohl den Datentransfer zwischen einzelnen Konzerngesellschaften (auch bei der Übermittlung von Arbeitnehmerdaten), als auch den Datentransfer an Dienstleister, Geschäftspartner oder andere Dritte.
Überprüfung des Schutzniveaus im Einzelfall
Nach den Vorgaben des EuGH müssen Unternehmen für jeden Einzelfal extra beurteilen und dokumentieren, ob ausreichende Garantien zur Absicherung der internationalen Datentransfers implementiert wurden. Daher wird es bei Datentransfers in die USA besonders relevant sein, inwieweit der Datenempfänger Eingriffsbefugnissen der US-Geheimdienste unterliegt.
Wechsel zu alternativen Garantien
Sollte sich beim Data Mapping herausstellen, dass ausschließlich das „Privacy Shield“ zur Legitimierung der Übermittlung verwendet wurde, müssen Unternehmen aufgrund der Unwirksamkeit auf andere Garantien umsteigen.
Umsetzung von zusätzlichen Schutzmaßnahmen
Auch bei Datentransfers auf Grundlage der Standardvertragsklauseln ist zu prüfen, ob durch die Umsetzung zusätzlicher Schutzmaßnahmen (einschließlich des Abschlusses weitere vertraglicher Garantien) das Schutzniveau beim Empfänger angemessen gesichert werden kann.
Beobachtung der Stellungnahmen der Datenschutzbehörden
Des Weiteren sollten Unternehmen die nächsten Stellungnahmen der Aufsichtsbehörden auf nationaler Ebene und des Europäischen Datenschutzausschusses beobachten.
Ausdrückliche Einwilligung der betroffenen Person einholen
Der EuGH betont, dass Datentransfers jedoch nach wie vor stattfinden können. Denn nach Art. 49 DSGVO ist die Übermittlung von personenbezogenen Daten aufgrund einer ausdrücklichen Einwilligung oder zur Durchführung eines Vertrages mit der betroffenen Person weiterhin möglich. Verträge können allerdings nicht mit Datenverarbeitungen „aufgeladen″ werden und die Einwilligung kann nicht beliebig mit Verträgen gekoppelt werden.
Bei amerikanischen Diensten auf europäische Server ausweichen
Einige amerikanische Dienste ermöglichen ihren Nutzern, dass sie Daten auf Servern in Europa speicher. Diese Möglichkeit besteht vor allem bei großen Diensten wie Amazon Web Services, Google oder Microsoft. Ob eine solche Speicherung in Europa genügt, wenn ein Dienst aus den USA genutzt wird, ist jedoch umstritten.
Wie wird es weitergehen?
Wie es aussieht, wird die Übermittlung von personenbezogenen Daten in Drittländer und insbesondere in die USA für Unternehmen auch zukünftig ein unsicheres Feld darstellen. Zu wünschen wäre, dass der Europäische Datenschutzausschuss möglichst bald eine Abstimmung unter den Aufsichtsbehörden herbeiführt und eine Liste vorlegt, für welche Länder er unter welchen Bedingungen ein angemessenes Schutzniveau als gegeben ansieht.
Haben Sie Fragen?
Dann vereinbaren Sie noch heute Ihr kostenloses & unverbindliches Erstgespräch mit einem Datenschutzexperten. Wir beraten Sie gerne!
Ihr Walter Lukmann – Zertifizierter Datenschutzbeauftragter & Geschäftsführer