Urteil: US-EU-Datendeal ist unwirksam!
Dies ist ein Gastbeitrag von Dr. Viola Bensinger und Dr. Johanna Hofmann
EuGH setzt dem Datentransfer in die USA auf Basis des EU-US Privacy Shield ein Ende
Mit seinem Urteil im Fall Schrems II erklärte der EuGH den Privacy Shield für unwirksam. Das Abkommen hatte den Transfer personenbezogener Daten aus der EU in die USA vereinfacht, vorausgesetzt, Unternehmen in den USA hatten sich den Bestimmungen des Privacy Shield unterworfen. Vom Urteil betroffen sind nun über fünftausend amerikanische Unternehmen. Aber auch innerhalb der EU wirkt sich die Entscheidung des EuGH aus. Und zwar auf all diejenigen Unternehmen, die einem der genannten US-Unternehmen auf Grundlage des Privacy Shields personenbezogene Daten übermitteln. Das Urteil enthält eine Schelte an die EU Kommission, die laut EuGH so nicht hätte entscheiden dürfen. Unternehmen müssen nun ihre Datenströme in die USA und deren Rechtsgrundlage überprüfen und für diejenigen Datentransfers, die bisher auf den Privacy Shield gestützt wurden, eine andere Grundlage finden. Möglichkeiten gibt es mehrere nach der Datenschutz-Grundverordnung (DSGVO).
Standardvertragsklauseln
Eine dieser Möglichkeiten sind grundsätzlich die sogenannten Standardvertragsklauseln. Deren Wirksamkeit hat der EuGH mit seiner Entscheidung bestätigt. Grundsätzlich sei an den Standardvertragsklauseln nichts auszusetzen. Allerdings sei es Sache der Vertragsparteien (also des übermittelnden Unternehmens in der EU und des Empfängers im Drittstaat), zu beurteilen, ob das Recht des „Empfängerlandes“ der Einhaltung der Standardvertragsklauseln entgegenstehe. Gegebenenfalls seien dann zusätzliche Maßnahmen zu ergreifen, um die Daten abzusichern. Letzten Endes darf das Schutzniveau durch einen solchen Transfer nicht sinken. Kann das im Einzelfall nicht gewährleistet werden, muss der Transfer eingestellt werden. Erfolgt dies nicht, so der EuGH, muss die zuständige Aufsichtsbehörde den konkreten Datenverkehr unterbinden. Gegebenenfalls unter Einbindung des Europäischen Datenschutzausschusses, um eine einheitliche Praxis in allen EU-Staaten zu gewährleisten.
Der Tenor der Entscheidung ist insgesamt wenig überraschend. Wie schon bei der Vorgängerentscheidung, dem sogenannten Safe Harbor Abkommen, das der EuGH 2015 gekippt hatte, kritisiert das Gericht, dass der Privacy Shield den weitreichenden Rechten der US-Nachrichtendienste nichts entgegensetzen kann. Insbesondere eine gerichtliche Überprüfung der nachrichtendienstlichen Verwendung der Daten ist für betroffene Bürger nicht möglich. Das Gefälle des Datenschutzrechts zwischen der EU und den USA ist also zu groß und der Privacy Shield genügt nicht den strengen Anforderungen der DSGVO und der EU Grundrechtecharta.
Darüber hinaus enthält die Entscheidung erfreulicherweise diverse Klarstellungen hinsichtlich der Kompetenzen und Pflichten der Datenschutzaufsichtsbehörden bei der Durchsetzung der DSGVO.
Kein rechtsfreier Raum
Der EuGH schließt sein Urteil mit dem Hinweis, dass durch die Unwirksamkeit des Privacy Shield kein rechtsfreier Raum entstehe, da Artikel 49 DSGVO diverse Möglichkeiten für den Datentransfer in Drittstaaten eröffne. Allerdings sind diese Wege noch lange nicht alle geschaffen und datenverarbeitenden Unternehmen zugänglich. Das ist jetzt dringend erforderlich.
Es wäre zu begrüßen, wenn zum Beispiel die verheißungsvollen DSGVO-Zertifizierungsverfahren erhältlich wären. Diese könnten ebenfalls einen Transfer in Drittstaaten absichern. Für alle Beteiligten wünschenswert bleibt vor allem eines: Rechtssicherheit. Und die ist auch für eine erfolgreiche Digitalisierung vieler Lebensbereiche essenziell.
Unsere Autoren
Dr. Viola Bensinger ist Partnerin der internationalen Wirtschaftskanzlei Greenberg Traurig und leitet in Deutschland das Technologie-Team sowie das Litigation-Team, und ist außerdem Co-Chair der globalen Data, Privacy & Cybersecurity Praxisgruppe. Sie berät Unternehmen aus den Bereichen Technologie, Medien und Healthcare in den Bereichen Digitalisierung, (IT-) Outsourcing, Cloud Computing, E-Commerce, digitale Zahlungsdienstleistungen, Datenschutz, Softwarelizenzierungen sowie digitale Medienangebote.
Dr. Johanna Hofmann ist Associate bei Greenberg Traurig. Sie berät deutsche und internationale Unternehmen in allen Fragen des Datenschutz- und des IT-Sicherheitsrechts. Dabei liegen die Schwerpunkte ihrer Tätigkeit in der datenschutzkonformen Gestaltung interner (Konzern-)Strukturen und Geschäftsbeziehungen, sowohl auf nationaler als auch auf internationaler Ebene sowie in den Bereichen Digitalisierung, (IT-) Outsourcing, Cloud Computing, E-Commerce und Zertifizierung.