Datenübermittlungen in die Vereinigten Staaten von Amerika dürfen nunmehr nicht mehr auf das EU-US-Privacy-Shield gestützt werden.

Zum rechtlichen Hintergrund:

Die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums bedürfen stets besonderer Aufmerksamkeit. Sie erfordern neben rechtlichen Grundlagen gesonderter Schritte, um datenschutzkonform zu sein. Es ist ein sog. „angemessenes Datenschutzniveau“ herzustellen, welches mit dem der EU vergleichbar sein muss.

Für eine Reihe von Ländern hat die Europäische Kommission sog. Angemessenheitsbeschlüsse erlassen. Die aktuelle Auflistung findet sich hier. In diesen Fällen werden keine weiteren Schritte in der Praxis notwendig. Für die Vereinigten Staaten von Amerika wurde ebenfalls ein beschränkter Angemessenheitsbeschluss erlassen, der im Umfang des EU-US Privacy Shields galt.

Weitere Mittel zur Herstellung des mit der EU vergleichbaren Datenschutzniveaus gemäß Artt. 45 ff. DSGVO sind beispielsweise der Abschluss sog. EU-Standardverträge („standard contractual clauses“), Binding Corporate Rules („BCR“) oder Codes of Conduct (“CoC”).

Zum EU-US-Privacy-Shield:

Für Datenübermittlungen in die USA wurden Zertifizierungsverfahren erarbeitet, die anstelle der EU-Standardverträge bzw. der BCRs die notwendigen Datenschutzstandards gewähren sollten. Zunächst wurde das sog. „Safe-Harbor“-Abkommen erlassen, welches im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt wurde (siehe hier). Dessen Nachfolger ist bzw. war seit Februar 2016 das sog. „EU-US-Privacy-Shield“, welches heute ebenso vom EuGH für unwirksam erklärt wurde (siehe hier).

Bei Beiden handelt es sich um Zertifizierungsverfahren in den USA, denen sich amerikanische Unternehmen freiwillig unterwerfen können. Während es sich bei „Safe-Harbor“ noch um eine Selbstzertifizierung der US-Unternehmen handelte, waren an die Zertifizierungen nach dem „Privacy Shield“ etwas höhere Anforderungen gestellt, die zudem jährlich erneuert werden mussten. Bezüglich beider Vereinbarungen wurde  jedoch von Anfang an Kritik laut, dass sie nicht den beabsichtigten EU-Standards entsprachen und somit keinen vergleichbaren angemessenen Schutz für personenbezogenen Daten herstellten, sobald diese in den USA verarbeitet werden.

Zur EuGH-Entscheidung:

In beiden Verfahren vor dem EuGH war die treibende Kraft der österreichische Kläger Maximilian Schrems, der selbst Jurist und Datenschutzaktivist ist. Klagegegner im heutigen Urteil war die Facebook Ireland Ltd. Streitgegenstand waren Datenverarbeitungen im Facebook-Netzwerk mit dem Begehren, dem Unternehmen, die Datenübermittlungen in die USA zu untersagen.

Es wurde u.a. argumentiert, dass die personenbezogenen Daten in den Vereinigten Staaten keinem angemessenen Schutz unterlägen, da den US-Ermittlungsbehörden eine Vielzahl von Rechten eingeräumt würden, die personenbezogenen Daten einzusehen bzw. zu verarbeiten. Dabei wurde sich nicht zuletzt auf Erkenntnisse gestützt, die Edward Snowden zutage gebracht hatte, wobei von „erheblichen Exzessen“ der NSA und anderen Bundesbehörden gesprochen wurde. Häufig fehle eine „objektive Rechtfertigung“ sowie „begleitende angemessene und nachprüfbare Schutzmechanismen“, was dazu führe, dass fundamentale Rechte nicht gewährleistet und geschützt würden.

Auswirkungen der Entscheidung:

Das heutige EuGH-Urteil führt dazu, dass die Übermittlungen personenbezogener Daten in die USA nicht rechtmäßig sind, wenn das angemessene Datenschutzniveau auf EU-US-Privacy-Shield-Zertifizierungen gestützt wurde. Eine Übergangsfrist wurde nicht gesetzt.

Ob nach „Safe-Harbor“ und dem „Privacy-Shield“ eine weitere Zertifizierung angestrengt wird, ist derzeit noch nicht bekannt. Allerdings können auch mit US-Unternehmen die anderen oben beschriebenen Maßnahmen nach Artt, 45 ff. DSGVO ergriffen werden. (EU-Standardverträge sowie BCRs).

Der Europäische Gerichtshof hat heute außerdem geurteilt, dass die EU-Standardverträge europarechtskonform sind. Dabei hat er allerdings die Voraussetzung gestellt, dass der Verwender der Klauseln mit dem Empfänger grundsätzlich klären muss, ob dieser deren Voraussetzungen auch umsetzen kann.

Große Anbieter wie Amazon und Microsoft haben beispielweise entsprechende Maßnahmen getroffen. Amazon (Web Services) hat die einschlägigen EU-Standardverträge in ihrem Vertrag zur Auftragsverarbeitung eingebunden (siehe hier). Microsoft hat mit der Europäischen Kommission eigene Standardklauseln abgestimmt (siehe hier). Es bleibt abzuwarten, wie sich andere (große) US-Unternehmen zum heutigen Urteil positionieren.

Weitere Entwicklungen werden wir mit Spannung beobachten.

Update 21.07.2020

Der Text wurde hinsichtlich des Angemessenheitsbeschlusses der USA konkretisiert.