Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
EuGH erklärt ,,Privacy-Shield“ für unwirksam - vielen Datenübermittlungen in die USA fehlt nun die rechtliche Grundlage
Montag, 03. August 2020
Nach der Aufhebung des Safe Harbor Abkommens im Jahr 2015 hat der Europäische Gerichtshof (EuGH) nun erneut Rechts(un-)sicherheit geschaffen: Auch das Nachfolgeabkommen EU-US Privacy Shield wurde vom EuGH mit Entscheidung vom 16.07.2020 (Rechtssache C-311/18 – „Schrems II“) gekippt.
Ein Beitrag von Dr. Justus Gaden und Paul J. Weyhrauch
Worum geht es?
Datenübermittlungen in Drittländer (Länder außerhalb der EU bzw. des EWR) sind nach der EU-Datenschutz-Grundverordnung (DSGVO) zulässig, wenn im Zielland ein mit der DSGVO vergleichbares Datenschutzniveau gewährleistet wird. Hinreichende Garantien für ein vergleichbares Datenschutzniveau können nach den Grundsätzen der DSGVO auf verschiedene Weise erreicht werden:
Die Kommission kann einerseits durch einen Angemessenheitsbeschluss einzelne Staaten als „Drittländer mit angemessenem Datenschutzniveau“ deklarieren. Dies hat sie für einige wenige Staaten auch getan (Liste der „sicheren Drittländer"). Die USA gehören allerdings nicht dazu.
Daneben können Unternehmen für Datentransfers auch ein von der Kommission vorgegebenes Vertragswerk mit den jeweiligen Datenempfängern im Drittland nutzen, die sog. Standard Contractual Clauses (SCC).
Da im Grunde seit Beginn des Internets die maßgeblichen Dienste von den bekannten US-amerikanischen Weltkonzernen betrieben werden und die Datenflüsse dabei meist über deren amerikanische Server laufen, wurde schon vor Inkrafttreten der DSGVO nach einer unkomplizierten Möglichkeit zum Nachweis geeigneter Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus in den USA gesucht. Die erste Lösung war das oben genannte Safe Harbor Abkommen, welches letztlich eine Selbstzertifizierung der amerikanischen Dienstleister vorsah. Der EuGH kippte das Safe Harbor Abkommen jedoch im Wesentlichen mit der Begründung, dass den durch die Enthüllungen von Edward Snowden bekannt gewordenen umfangreichen Datenauswertungen der US-Sicherheitsbehörden allein durch die Selbstzertifizierung der Unternehmen nicht begegnet werden könne und durch sie ein angemessenes Datenschutzniveau nicht zu gewährleisten sei.
Kurz nach der Aufhebung des Safe Harbor Abkommens veröffentlichte die Kommission (Beschluss 2016/1250) ein neues Abkommen (Privacy Shield), welches im Grunde dasselbe Prinzip vorsah. Erneut sollte eine Selbstzertifizierung das Heilmittel sein, wobei zusätzlich eine Ombudsperson, ein dem Außenministerium direkt und somit weisungsgebunden unterstellter Mitarbeiter, die Gewährleistung der Rechte der Datensubjekte sicher stellen sollte. Der Datenschutzaktivist Max Schrems, der schon das Safe Harbor Abkommen zu Fall brachte, setzte sich auch gegen das Privacy Shield Abkommen vor den zuständigen irischen Gerichten zur Wehr, bis der EuGH nun auch dieses für nichtig erklärte. Die Begründung war erneut, dass insbesondere die auf § 702 FISA und Executive Order 12333 gestützten Überwachungsprogramme der US-Behörden kein angemessenes Datenschutzniveau in den USA garantieren würden.
Auch zu den in der Praxis häufig als Alternative gewählten Standard Contractual Clauses äußerte sich der EuGH: Diese seien zwar grundsätzlich wirksam, für Datenübermittlungen in die USA seien aber zusätzliche Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus erforderlich. Wie diese Maßnahmen im Einzelnen aussehen könnten, ließ der EuGH allerdings offen.
Im Ergebnis bedeutet diese Entscheidung des EuGH, dass - ohne Übergangsfrist - die meisten Datenübermittlungen in die USA auf äußerst wackeligen Beinen stehen. Davon dürften in Europa die meisten Unternehmen unmittelbar betroffen sein, da ein Großteil aller digitalen Dienste letztlich über die Infrastruktur der großen US-Anbieter (Google, Amazon, Microsoft & Co.) läuft.
Was sagen die zuständigen Behörden zum EuGH-Urteil?
Wer sich angesichts dieser Lage auf die Suche nach praktikablen Handlungsempfehlungen von nationalen und internationalen staatlichen Stellen begibt, sucht bislang vergeblich. Vielmehr sind nach dem ersten Schrecken vielerorts lediglich Zusammenfassungen der wesentlichen Inhalte der Urteilsgründe zu lesen.
Das gilt für die Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden gleichermaßen wie für die Anmerkungen der zahlreichen Landesdatenschutzbehörden. Allenfalls einen halben Schritt weiter führen den Ratsuchenden die FAQs des European Data Protection Boards (EDPB): Danach sei der Datentransfer unter Verwendung von SCCs weiterhin möglich, wenn die Überprüfung der Umstände des Datentransfers und weiteren „ergänzenden Maßnahmen“ zum Ergebnis käme, dass ein adäquates Schutzniveau gewährleistet werden könne. Um direkt im Anschluss die Existenz derartiger Maßnahmen aufgrund der fehlenden Bindungswirkung gegenüber den US-Behörden in Frage zu stellen.
Ob die von der irischen Datenschutzbehörde angekündigte „Fall zu Fall“-Bewertungen im Angesicht dieser Sachlage auch immer zu anderen Ergebnissen kommen werden, bleibt abzuwarten. Schließlich fordert die Berliner Datenschutzbeauftragte datenverarbeitende Stellen in Berlin bereits jetzt dazu auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern und dem Kontinent so zur „digitalen Eigenständigkeit“ zu verhelfen.
Was ist zu tun?
Um Bußgeldrisiken zu vermeiden, raten wir dazu, folgende Maßnahmen vorzunehmen und entsprechend zu dokumentieren:
- Data Mapping
Zunächst sollten sich Unternehmen einen Überblick über sämtliche Datenübermittlungen in die Vereinigten Staaten und andere Drittländer, für die kein Angemessenheitsbeschluss der Kommission besteht, verschaffen.
- Prüfung der rechtlichen Grundlage
Im zweiten Schritt sollte überprüft werden, auf welcher Grundlage diese Datenübermittlungen erfolgen. Wenn ausschließlich der Privacy Shield als Rechtsgrundlage genutzt wurde, sollte die Datenübermittlung zunächst gestoppt und auf eine neue rechtliche Basis gestellt werden.
- Ermittlung des Schutzniveaus
Wenn die Daten auf der Grundlage von Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften übermittelt werden, müssen die für die Betroffenen bestehenden Risiken und die Maßnahmen zum Schutz der Daten und zur Einhaltung der jeweiligen Regelungen gegebenenfalls mit Unterstützung des Datenempfängers ermittelt und dokumentiert werden.
- Einzelfallmaßnahmen
Je nach Ergebnis müssen dann je nach Sachverhalt weitere vertragliche und technische Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen gefunden, die Datenübermittlung auf eine andere rechtliche Basis gestützt oder eingestellt werden.
Im Übrigen werden weitere Empfehlungen, behördliche Stellungnahmen und politische Entwicklungen in diesem Bereich engmaschig zu verfolgen sein.
Bei Fragen rund um Datenübermittlungen in Drittländer, zu deren Grundlage und Rechtssicherheit kontaktieren Sie uns. Unsere Experten im IT-Recht und Datenschutzrecht beraten Sie gern zu individuellen Maßnahmen für Ihr Unternehmen.