Privacy Shield gekippt

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in einem lange erwarteten Urteil in der Rechtssache „Schrems II“ (C-311/18) die EU-US-Datenschutzvereinbarung „Privacy Shield“ für unwirksam erklärt. Damit haben die Luxemburger Richter die Rechtsgrundlage für Datentransfers aus der EU in die USA gekippt. Die Anforderungen an den Datenschutz seien mit Blick auf die Zugriffsmöglichkeiten durch US-Behörden nicht gewährleistet, so die Begründung. Zudem sei der Rechtsschutz für Betroffene unzureichend.

In seiner Entscheidung ließ das höchste Gericht der EU allerdings ein Schlupfloch. Nutzerdaten von EU-Bürgern können weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden. Aber: Gleichzeitig hat das Gericht die Anforderungen an Standardvertragsklauseln verschärft und Unternehmen neue Prüfpflichten bei Verwendung der Klauseln auferlegt.

Das Urteil hat gravierende Folgen für Unternehmen: Auf einen Schlag sind Datentransfers von gut 5000 Unternehmen in die USA illegal, die bislang nur auf den „Privacy Shield“ gesetzt haben. Betroffen sind vor allem kleine und mittlere Unternehmen, die bislang keine Standardverträge zur Datenübertragung abgeschlossen haben. Große Unternehmen haben sich häufig zusätzlich über sogenannte Standardverträge oder Binding Corporate Rules abgesichert. Aber auch für diese wird es jetzt schwieriger.

„Schrems I“-Urteil kippte Datendeal-Vorgänger „Safe Harbor“ und führte zu „Privacy Shield“

Bereits seit 2013 beschäftigt das durch Max Schrems initiierte Verfahren den EuGH. Der Jurist und Datenschutzaktivist rügte mit einer Beschwerde die Übermittlung von personenbezogenen Daten durch Facebook in die USA. Recht und Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz der Daten vor den Überwachungstätigkeiten der US-Behörden.

Damals hatte der EuGH in seinem ersten „Schrems“-Urteil vom 6. Oktober 2015 das sogenannte „Safe Harbor“-Abkommen der EU-Kommission für unwirksam erklärt. Die Kommission hatte versäumt, Feststellungen zur Gleichwertigkeit des Schutzniveaus in den USA zu treffen. Aus diesem Grund konnte der EuGH die Datenschutzvereinbarung verwerfen, ohne selbst Feststellungen zum Schutzniveau in den USA treffen zu müssen.

Im Jahr 2016 vereinbarte die EU mit dem „Privacy Shield“ ein Nachfolgeabkommen. Dieses beruht auf einem Angemessenheitsbeschluss der EU-Kommission nach Artikel 45 der Datenschutz-Grundverordnung (DSGVO) und ermöglicht DSGVO-konformen Datentransfer an entsprechend zertifizierte US-Unternehmen. Dieses Mal stellte die Kommission ausdrücklich fest, dass das Schutzniveau in den USA dem in der EU im Wesentlichen entspreche.

Der von der Kommission aufgespannte „Schutzschild“ ist mit dem aktuellen Urteil nun gefallen. Der EuGH stellte diesmal ausdrücklich fest, dass die in den USA vor allem auf Section 702 FISA und E.O. 12333 gestützte Massenüberwachung nicht mit dem europäischen Grundrechtsschutz vereinbar ist. Daher erklärte der EuGH den „Privacy Shield“ mit sofortiger Wirkung für unwirksam.

Standardvertragsklauseln alleine reichen nicht

Standardvertragsklauseln enthalten von der EU-Kommission vordefinierte Regeln, die einen Mindestschutz personenbezogener Daten im EU-Ausland sicherstellen sollen. Sie können zwischen einem „Datenexporteur″ in der EU und einem „Datenimporteur″ im außereuropäischen Ausland geschlossen werden. Sie binden nur die Vertragsparteien und haben auf das allgemeine Datenschutzniveau im Drittstaat keine Auswirkung.

Genau hier setzt der EuGH an: Standardvertragsklauseln sind weiter wirksam. Ein Vertragsschluss alleine reicht aber zukünftig nicht mehr. Derjenige, der sich auf Standardvertragsklauseln beruft, muss in Zukunft eine eigene Rechtsprüfung durchführen. Er muss feststellen, ob das Schutzniveau im Drittland für die übermittelten Daten im Wesentlichen dem der EU entspricht. Dazu zählt insbesondere, dass betroffenen Personen im Drittland durchsetzbare Rechte und wirksame Rechtsbehelfe zustehen, die den Schutz ihrer Daten gegen den Zugriff von staatlichen Stellen absichern. Das heißt: Standardvertragsklauseln können einen Datentransfer in ein Drittland rechtfertigen, müssen es aber nicht. Sollte die Prüfung ergeben, dass das Schutzniveau im Drittland nicht ausreicht, muss der Datenexporteur zusätzliche Maßnahmen zum Schutz ergreifen (Standardvertragsklauseln plus). Welche Maßnahmen das sein sollen (und können!), wird derzeit kontrovers von Datenschutzexperten und Aufsichtsbehörden diskutiert. Die Verantwortung trägt am Ende der Datenexporteur. Er muss entscheiden, ob die Schutzmaßnahmen ausreichen oder, wenn er dies nicht meint, den Datentransfer aussetzen.

Zugleich nimmt der EuGH die Aufsichtsbehörden stärker in die Pflicht. Wenn das angemessene Schutzniveau fehlt, müssen sie Datentransfers auf Basis der Standardvertragsklauseln untersagen. Um eine EU-weit einheitliche Handhabung zu gewährleisten, verweist der EuGH ausdrücklich auf das Kohärenzverfahren, insbesondere auf Artikel 62 (2) DSGVO.

Der EuGH wollte Datentransfers in die USA nicht vollständig verbieten. Mit den Standardverträgen lässt er ein Schlupfloch, bietet aber wenig praktische Hinweise zur Umsetzung des Urteils. Die schwierige Aufgabe, das Schutzniveau im Ausland zu beurteilen, schiebt er dem Rechtsanwender zu. Zudem müssen die Aufsichtsbehörden zukünftig darüber wachen, ob die Standardverträge eingehalten werden und im Zweifelsfall durch Verbote intervenieren.

Wie es weiter geht: Bewertung und Dokumentation des Schutzniveaus im Drittland oder Einwilligung des Betroffenen

Die Tragweite des Urteils ist enorm. Es betrifft Datentransfers nicht nur in die USA, sondern in alle Drittländer, die keinem Angemessenheitsbeschluss nach Artikel 45 DSGVO unterliegen.

Bei Datentransfers in Drittländer genügt es in Zukunft nicht mehr, Standardvertragsklauseln zu unterschreiben. Stattdessen ist der „Datenexporteur“ verpflichtet, eine eigene Bewertung des Schutzniveaus im Empfängerland für die transferierten Daten anzustellen. Das bedeutet: Es reicht nicht, zu prüfen, ob im Drittstaat nach Maßstäben des EuGH personenbezogene Daten im Allgemeinen geschützt sind und rechtsstaatliche Kontrollverfahren existieren. Die Prüfung muss vielmehr klären, ob die konkret übermittelten Daten nach europäischer Sicht unverhältnismäßigen Eingriffen, zum Beispiel durch staatliche Überwachung, ausgesetzt sind. Wenn sich unverhältnismäßige staatliche Zugriffsrechte auf die transferierten Daten erstrecken, kann der Transfer nicht mehr alleine mit Standardvertragsklauseln gerechtfertigt werden. Unternehmen müssen das Ergebnis dieser Prüfung dokumentieren.

Was das Urteil für alternative Transfermechanismen – wie etwa Binding Corporate Rules (BCR) – bedeutet, ist offen. Auch BCR binden nur die Parteien, nicht aber staatliche Stellen. Damit leiden sie an der gleichen Schwachstelle wie Standardvertragsklauseln. Unternehmen, die BCR nutzen, sollten daher prüfen, ob in den erfassten Drittstaaten ein angemessenes Schutzniveau besteht.

Ein Ausweg bleibt: Datentransfers können – so betont es der EuGH – weiterhin nach Artikel 49 DSGVO stattfinden. Der Transfer von personenbezogenen Daten bleibt möglich, wenn zum Beispiel eine ausdrückliche Einwilligung oder ein Vertrag mit der betroffenen Person vorliegt. Diese Ausnahmen bieten „Datenexporteuren“ aber nur wenig Spielraum – zumindest nach der bisherigen Lesart des Europäischen Datenschutzausschusses (EDSA). So können Verträge insbesondere nicht mit Datenverarbeitungen „aufgeladen″ werden. Auch die Einwilligung kann nicht beliebig mit Verträgen gekoppelt werden.

Die ersten Reaktionen auf das Urteil zeigen, dass ein koordiniertes Vorgehen der Aufsichtsbehörden notwendig ist: Während der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz klarstellt, dass Datentransfers in die USA auch aufgrund der Standardvertragsklauseln möglich bleiben können, forderte der Berliner Beauftragte für Datenschutz und Informationsfreiheit dazu auf, umgehend von US-Anbietern zu Dienstleistern in der EU zu wechseln. Eine erste Abstimmung des EDSA hat stattgefunden. Zu wünschen ist, dass der EDSA in Zukunft eine Liste vorlegt, für welche Länder er unter welchen Bedingungen ein angemessenes Schutzniveau als gegeben annimmt.