Das nach dem österreichischen Datenschutz-Aktivisten und Kläger Maximilian Schrems genannte EuGH-Gerichtsurteil Schrems II vom 16. Juli 2020 (Az.: C-311/18) hat das Datenschutzabkommen mit dem Namen Privacy-Shield zwischen den EU und den USA (2016 in Kraft getretene Nachfolgeregelung zum Safe-Harbour-Abkommen) außer Kraft gesetzt.
Nach diesem Urteil des EuGH zum Ende des Privacy Shields ist die Unsicherheit über die Rechtslage für alle Unternehmen, die für ihre Datenverarbeitung auf US-Infrastrukturen zurückgreifen, noch immer groß. Daran dürfte sich so schnell auch nichts ändern. Denn aktuell ist jeder Datentransfer zwischen der EU und der USA, der auf das Abkommen gestützt wurde, nicht mehr DSGVO-konform und die Verantwortlichkeiten zur Gewährleistung eines rechtssicheren Datenaustausches obliegen wieder bei den hiesigen Unternehmen.
Der EuGH musste in einer Anfrage bewerten, inwieweit die vereinbarten Garantien des Privacy Shields für den Export personenbezogener Daten in die USA als ausreichende Schutzmaßnahmen anzusehen sind. Die grundsätzliche Idee des Privacy Shield-Abkommens: Hiesige Unternehmen bekommen eine rechtliche Grundlage auf EU-Ebene für die Datenübermittlung an US-Amerikanische Unternehmen, die sich unter diesem Abkommen haben zertifizieren lassen. Die EU-Kommission hatte 2016 in einem Angemessenheitsbeschluss dieses Abkommen für gültig bewertet, womit es zur Grundlage jeglichen Datenverkehrs zwischen der EU und den USA wurde.
Nun hat der EuGH entschieden, dass der Kern des Angemessenheitsbeschlusses der EU-Kommission – die Gleichbehandlung von Daten im jeweiligen Drittland wie in der EU – durch das Privacy Shield nicht ausreichend gewährleistet werde und hat das Privacy Shield für ungültig erklärt. Die zentralen Gründe: EU-Datenschutzstandards werden in den USA nicht eingehalten. US-Sicherheitsbehörden können Daten von EU-Bürgern abrufen, auch wenn das nicht mit der EU-Datenschutzgrundverordnung vereinbar ist. Und die im Privacy Shield Abkommen vorgesehene EU-Ombudsperson hat gegenüber den US-Sicherheitsbehörden keine ausreichenden Kompetenzen.
Mit diesem Urteil gilt die USA als ein Drittland ohne gesondertes Abkommen.
Folgen
Die Folgen der Entscheidung sind gravierend. Zwar dürfen Unternehmen die EU-Standarddatenschutzklauseln („Standardvertragsklauseln“ – SCCs) für die Datenübermittlung in Drittländer wie die USA weiterhin einsetzen, doch ist für die Einhaltung der datenschutzrechtlichen Bestimmungen jedes Unternehmen nunmehr selbst verantwortlich. Dazu gehört auch die selbstständige Bewertung und Feststellung der Einhaltung der Datensicherheit. Leider hat der EuGH in seinen Urteilsgründen keine Kriterien hierfür aufgestellt, so dass die Frage des „Wie“ völlig ungeklärt ist. Offen bleibt zudem, ob jedes Unternehmen nun eigens solche SCCs mit Datenverarbeitern in den USA abschließen muss und somit auch selbst zu gewährleisten hat, dass EU-Datenschutzstandards in den USA eingehalten werden.
Kurzfristig sind vor allem Webseiten-Dienste und Tracking-Cookies wie Google-Analytics oder Facebook-Connect betroffen. Mittelfristig gilt das Privacy-Shield-Abkommen als endgültig abgeschafft, somit muss gemäß der aktuellen Rechtsprechung die Verantwortung für die Zulässigkeit der Datenverarbeitung in einem Drittstaat auf die SCCs zurückgegriffen werden, welche nun die Grundlage für die Datenübermittlung bilden. Aktuell gehen Internetriesen wie Amazon oder Microsoft dazu über, eigene Standardverträge anzubieten, die jedoch nach unserer Einschätzung nicht den EU-Standards entsprechen.
Fazit
Wie viele Juristen und Datenschützer erwartet hatten, kassierte der Europäische Gerichtshof das Datenschutzabkommen EU-US Privacy Shield, unter dem europäische Unternehmen personenbezogene Daten vermeintlich datenschutzkonform an US-Unternehmen übertragen konnten. So lange kein neues allgemeingültiges Abkommen für alle Datenexporte in die USA abgeschlossen ist, empfiehlt es sich dringend, die diesbezüglichen Veröffentlichungen und Äußerungen der Datenschutzbehörden aufmerksam zu verfolgen. Trotz der bestehenden Unsicherheiten, Probleme und Risiken sollte jedoch von vorschnellen Maßnahmen abgesehen werden.
Ihr Ansprechpartner