4. August 2020, von Jens Eckhardt
Mit Urteil von 06.10.2015 hatte der Gerichtshofs der Europäischen Union (EuGH) bereits die „Vorgängerregelung“ – die Safe-Harbour-Principles – für unwirksam erklärt und nun mit Urteil vom 16.07.2020 (Rechtssache C-311/18) auch das sogenannte Nachfolgekonzept– den EU-US- Privacy-Shield (EU-Kommission Beschluss 2016/1250).
Der EuGH hat sich aber auch mit dem Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern befasst. Er hat diesen Beschluss zwar nicht für unwirksam erklärt. Aber die Begründung der Ungültig des Privacy Shields wirkt sich – jedenfalls in Bezug auf den Datentransfer in die USA – auch hier aus.
Nach Artt. 13, 14 DS-GVO muss jede betroffene Person pro aktiv auch auf die Datenübermittlung in Drittländer hingewiesen werden. Damit ist – anders als noch zur Rechtslage bei der Safe-Harbor-Entscheidung – das Thema für jeden „auf dem Präsentierteller“. Auch ist die allgemeine Aufmerksamkeit infolge der DS-GVO größer und vor allem die Sanktionen. Hier ist sowohl an Bußgelder als auch Schadensersatzansprüche zu denken.
In der Vorgängerentscheidung „Schrems I“ vom 05.10.2020 hat der EuGH sich für die Begründung der Unwirksamkeit darauf beschränkt, dass die EU-Kommission die Angemessenheit des Schutzniveaus – insbesondere mit Blick auf Zugriffsbefugnisse der US-Sicherheitsbehörden nicht ausreichend geprüft habe. Das genügte seinerzeit für die Unwirksamkeit.
Im Urteil vom 16.07.2020 befasst sich der EuGH nunmehr – auf der Grundlage der Feststellungen der EU-Kommission im Beschluss 2016/1250 – mit dem Rechtsrahmen und sieht – vereinfacht gesagt – kein ausreichendes Schutzniveau in den USA gegeben. Dieser Unterschied zwischen den beiden Entscheidungen ist entscheidend und wirkt sich auch auf die Bewertung von Alternativen zur Datentransfer in die USA aus. Denn diese Wertung des EuGH ist dann auch bei der Bewertung anderer Rechtsgrundlagen für den Datentransfer in die USA zu berücksichtigen.
Mit Erklärung der Ungültigkeit des EU-US Privacy Shields stellt der EuGH fest, dass die USA aufgrund der fehlenden gerichtlichen Rechtsschutz-Möglichkeiten für Unionsbürger gerade mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden kein angemessenes Schutzniveau der betroffenen Personen bieten. Für den Datentransfer in die USA müssen daher besondere Schutzmaßnahmen ergriffen werden.
Der EuGH stellt klar, dass der Beschluss der EU-Kommission zu den Standardvertragsklauseln nicht unwirksam ist. Die Standardvertragsklauseln kommen damit weiterhin für eine Übermittlung personenbezogener Daten in ein Drittland in Betracht. Zum Hintergrund: Die Standardvertragsklauseln sind als Rechtsgrundlage für jede Datenübermittlung in ein Drittland geht, wohingegen das EU-US-Privacy Shield nur für den Datentransfer in die USA greift.
ABER: Der EuGH in diesem Zusammenhang klar, dass bei dem Einsatz von EU-Standardklauseln im Sinne des Art. 46 Abs. 1 und 2 DS-GVO zu überprüfen ist, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Sollte dies nicht der Fall sein, dürfen – und müssen – die zuständigen Aufsichtsbehörden entsprechende Datenübermittlungen aussetzen oder verbieten.
Das EU-US Privacy Shield ist keine Rechtsgrundlage mehr für eine Datenübermittlung in die USA. Die Datenübermittlung muss daher auf eine andere Grundlage im Sinne der Artt. 44 ff. DS-GVO gestützt werden. Hierbei müssen die Ausführungen des EuGH zu Privacy Shield wieder berücksichtigt werden.
Sofern ein Drittland – wie die USA – kein angemessenes Datenschutzniveau aufgrund eines fehlenden Angemessenheitsbeschlusses der EU-Kommission bietet, ist eine Datenübermittlung nach Art. 46 DS-GVO vorbehaltlich geeigneter Garantien zulässig. Art. 46 DS-GVO regelt eine der Möglichkeiten, mit denen sichergestellt werden kann, dass bei der Datenübermittlung an Drittländer und internationale Organisationen das durch die DSGVO vorgegebene Schutzniveau gewährleistet wird.
Der EuGH stellte fest, dass die USA aufgrund der fehlenden gerichtlichen Rechtsschutz-Möglichkeiten für Unionsbürger gerade mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden kein angemessenes Schutzniveau der betroffenen Personen bieten. Das bedeutet: Auch bei den alternativen Rechtsgrundlagen muss nun bewertet werden, ob und wie ein ausreichender Schutz so sichergestellt werden kann, dass bei Datenempfänger in den USA ein angemessenes Datenschutzniveau sichergestellt ist. Dies erscheint – jedenfalls aktuell – nur schwer darstellbar.
Die scheinbar einzige Möglichkeit der datenschutzkonformen Datenübermittlung in die USA ist derzeit wohl nur über Art. 49 DS-GVO herbeizuführen. Eine Datenübermittlung in die USA kann bei fehlendem Angemessenheitsbeschluss und fehlender geeigneter Garantien daher nur erfolgen, wenn ein Ausnahmefall nach Art. 49 DS-GVO vorliegt. Dies ist insbesondere dann der Fall, wenn
Die Einwilligung nach Art. 49 DS-GVO kommt ebenfalls als Grundlage für die Drittlandübermittlung in Betracht. Hierauf weist sowohl der Europäische Datenschutzausschuss in seinen FAQ vom 23.07.2020 als auch die deutschen Datenschutzaufsichtsbehörden in ihrer Pressemitteilung hin. Die deutschen Datenschutzaufsichtsbehörden verweisen hierfür auf die Leitlinien des Europäischen Datenschutzausschusses zu Art. 49 DS-GVO. Der Europäische Datenschutzausschuss stellt in seinen FAQ vom 23.07.2020 (dort Ziffer 8) bestimmte Anforderungen an eine solche Einwilligung heraus. Die Wirksamkeit einer solchen Einwilligung hängt von Ihrer Transparenz und Vollständigkeit ab. Diese will daher gut beraten und sorgfältig gestaltet sein.
FFD Forum für Datenschutz
eine Marke der TALENTUS GmbH
Friedrichstraße 16-18
65185 Wiesbaden
Telefon 0611 23 600 50
info@ffd-seminare.de