Ausblick: EuGH entscheidet über Datenströme in die USA
Dies ist ein Gastbeitrag von Dr. Viola Bensinger und Dr. Johanna Hofmann
Am 16. Juli 2020 ist es endlich soweit: Der Europäische Gerichtshof (EuGH) verkündet sein lang erwartetes Urteil in Sachen Irische Datenschutzbehörde gegen Schrems.
Seit 2013 streiten die Parteien nunmehr vor Gericht über die Rechtmäßigkeit der Übertragung personenbezogener Daten der Nutzer eines sozialen Netzwerks aus der EU zu dessen Mutterkonzern in den USA. Es besteht Hoffnung, dass der EuGH der Odyssee nun ein Ende bereitet und für Klarheit sorgt.
Auf dem Spiel steht dabei nicht weniger, als ein Großteil des Datenverkehrs aus dem Europäischen Wirtschaftsraum (EWR) in Drittstaaten, wie eben den USA. Eines steht fest – die Übertragung personenbezogener Daten in Staaten, die nicht zum EWR zählen, erfordert besondere Aufmerksamkeit und Sorgfalt. Genügt ein Datentransfer nämlich nicht den Anforderungen aus Art. 44 ff. DSGVO, drohen erhebliche Bußgelder und gegebenenfalls sogar Schadensersatz und zwar für jede einzelne Verarbeitungssituation.
Das letzte EuGH-Urteil, das der österreichische Datenschutzaktivist Maximilian Schrems im Jahr 2015 erwirkt hatte, brachte jedenfalls das zwischen der EU und den USA ausgehandelte Safe-Harbor-Abkommen zu Fall (dem sich Unternehmen in den USA unterwerfen konnten, um angemessenen Schutz für aus dem EWR empfangene Daten zu bieten) und entzog somit dem darauf gestützten Datenverkehr die Grundlage. Nunmehr steht das Nachfolgeabkommen, der sogenannte Privacy Shield, auf dem Prüfstand. Hinterfragt werden zudem die sog. Standardvertragsklauseln der EU Kommission, die zwischen dem Datenübermittler im EWR und dem Empfänger im Drittstaat vereinbart werden können, um eine konkrete, individuelle Übermittlung abzusichern.
Die Beantwortung der dem EuGH nunmehr vorgelegten Fragen dürfte weitreichende Konsequenzen haben und sollte all jene Unternehmen interessieren, die ihre Datenübermittlung auf Privacy Shield oder Standardvertragsklauseln stützen. Sollte der EuGH zu dem Schluss kommen, dass eines der beiden oder gar beide Instrumente personenbezogene Daten aus der EU nicht ausreichend schützen, muss etwas Neues her. Dann müssen Unternehmen ihre Datenübermittlung in Drittstaaten grundsätzlich überdenken.
Folgt der EuGH allerdings der Einschätzung des Generalanwalts, in seinen (für das Gericht nicht bindenden) Schlussanträgen, halten sich die Folgen in Grenzen. Der Generalanwalt ist nämlich der Meinung, dass über die Wirksamkeit des Privacy Shield überhaupt nicht zu entscheiden sei. Lediglich für den Fall, dass der EuGH diese Vorfrage anders entscheidet, hat er Zweifel geäußert, dass der Privacy Shield angesichts der weitreichenden Tätigkeiten der US-amerikanischen Nachrichtendienste und Mängeln beim Individualrechtsschutz ausreiche.
Auch die Standardvertragsklauseln sollte der EuGH aufrecht erhalten, wenn es nach dem Generalanwalt geht. Denn die Klauseln seien nicht an sich ungenügend, ihre Eignung im konkreten Fall und die Einhaltung müsse aber von den Vertragsparteien sichergestellt und überprüft werden. Die Klauseln können übrigens ohnehin nur eine Übermittlung rechtfertigen, wenn sie nicht mit den Regeln im Bestimmungsland kollidieren. Ob dies der Fall ist, müssen die Vertragsparteien prüfen.
Der Generalanwalt hat insoweit auf die weitreichenden Prüfpflichten der Vertragsparteien verwiesen, die beim Datentransfer in Drittstaaten neben den üblichen kontinuierlichen Prüf- und Kontrollpflichten aus der DSGVO bestehen. Zu berücksichtigen seien dabei sämtliche Umstände der einzelnen Übermittlung, einschließlich der Art der Daten, bestehender Sicherheitsvorkehrungen der Parteien, Art und Zweck der Verarbeitung der Daten durch die Behörden des Bestimmungslandes, Modalitäten dieser Verarbeitung und die vom Bestimmungsland sichergestellten Grenzen und Garantien. Diese Prüfung erfordert nicht nur vertiefte Rechtskenntnisse der Rechtsordnung des Bestimmungslandes, sondern zudem auch Kenntnis der dortigen tatsächlichen Verhältnisse der Datenverarbeitung durch (Ermittlungs-)Behörden. Außerdem müssen die Entwicklungen kontinuierlich beobachtet und Prüfergebnisse gegebenenfalls später aufgrund veränderter (tatsächlicher oder rechtlicher) Umstände angepasst werden. Stellen die Parteien nach einer solchen Prüfung eine Kollision zwischen Standardvertragsklauseln und dem Recht des Bestimmungslandes fest, muss eine bereits begonnene Übermittlung ausgesetzt werden. Wird die Übermittlung trotz Kollision auf die Klauseln gestützt, droht ein (nicht unerhebliches) Bußgeld durch die Aufsichtsbehörden und gegebenenfalls zudem Schadensersatzansprüche von Betroffenen.
Handlungsempfehlung
Selbst wenn der EuGH der Empfehlung des Generalanwalts folgt, und die Standardvertragsklauseln nicht kassiert, sollten Unternehmen prüfen, ob diese überhaupt eine taugliche Grundlage darstellen. Diese Prüfung sollte dokumentiert werden, um sie bei Aufforderung der Aufsichtsbehörde vorlegen und damit den Pflichten nach der DSGVO entsprechen zu können.
Unabhängig von der Entscheidung des EuGH ist zu erwarten, dass die Kommission zeitnah neue Standardvertragsklauseln vorlegen wird. Bis dies geschieht, sollten Unternehmen bei Neuabschlüssen die Aufnahme einer dynamischen Klausel in den Vertrag erwägen, durch die der Abschluss eventueller Nachfolgeklauseln ermöglicht wird.
Erklärt der EuGH den Privacy Shield für ungenügend, sollten Unternehmen, die personenbezogene Daten an Privacy-Shield-zertifizierte Empfänger in den USA schicken, zeitnah nach einer Alternative suchen.
(Schnelle) Alternativen stehen derzeit nicht wirklich zur Verfügung: Neben dem Privacy Shield (der ohnehin nur für die USA gilt) und den Standardvertragsklauseln kann man grundsätzlich einen Datentransfer in Drittstaaten auch durch andere Methoden wie von den EU-Aufsichtsbehörden genehmigte Zertifizierungsmechanismen absichern. Für solche Verfahren gibt es zwar verschiedene Initiativen, die sich aktuell allesamt aber noch in der Entwicklung befinden. Für Konzern-interne Übertragungen in Drittstaaten stehen außerdem sog. Binding Corporate Rules zur Verfügung; deren Aufsetzen kann aber langwierig sein, da sie ggf. von mehreren EU-Aufsichtsbehörden genehmigt werden müssen. Es dürfte zu erwarten sein, jedenfalls aber zu hoffen, dass die Aufsichtsbehörden im Falle einer entsprechenden Entscheidung des EuGH schnell und flexibel reagieren – denn niemand dürfte ein Interesse daran haben, den Datenverkehr in Drittstaaten lahmzulegen.
Über Dr. Viola Bensinger
Dr. Viola Bensinger ist Partnerin der internationalen Wirtschaftskanzlei Greenberg Traurig und leitet in Deutschland das Technologie-Team sowie das Litigation-Team, und ist außerdem Co-Chair der globalen Data, Privacy & Cybersecurity Praxisgruppe. Sie berät Unternehmen aus den Bereichen Technologie, Medien und Healthcare in den Bereichen Digitalisierung, (IT-) Outsourcing, Cloud Computing, E-Commerce, digitale Zahlungsdienstleistungen, Datenschutz, Softwarelizenzierungen sowie digitale Medienangebote.
Über Dr. Johanna Hofmann
Dr. Johanna Hofmann ist Associate bei Greenberg Traurig. Sie berät deutsche und internationale Unternehmen in allen Fragen des Datenschutz- und des IT-Sicherheitsrechts. Dabei liegen die Schwerpunkte ihrer Tätigkeit in der datenschutzkonformen Gestaltung interner (Konzern-)Strukturen und Geschäftsbeziehungen, sowohl auf nationaler als auch auf internationaler Ebene sowie in den Bereichen Digitalisierung, (IT-) Outsourcing, Cloud Computing, E-Commerce und Zertifizierung.
Weitere Informationen unter:
https://www.gtlaw.com/de