Der Europäische Gerichtshof hat das EU-US Privacy Shield in einem Urteil gekippt. Was bedeutet das beispielweise für Unternehmen, die mit Drittfirmen im Ausland Daten austauschen? Was sind die nächsten juristischen Schritte? Eine Einordnung.
Internationale Datentransfers: Wie geht es weiter und was ist zu beachten?
Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) mit einem viel beachteten Urteil (Aktenzeichen C-311/18) eine Schockwelle durch die Datenschutz-Community gejagt.
Die Aussage der Richter aus Luxemburg: Das EU-US Privacy Shield, das als Grundlage für einen Großteil von Datentransfers aus der EU in die USA diente, ist ungültig. Und zwar ab sofort. Aus Sicht der Wirtschaft hätte es jedoch noch gravierender kommen können.
Das wäre der Fall gewesen, wenn der EuGH auch die sogenannten EU-Standardvertragsklauseln (Standard Contractual Clauses (SCC)) als unzulässig bewertet hätte. So weit gingen die Richter jedoch nicht.
Diese auf Beschlüssen der EU-Kommission beruhenden Standardverträge können weiterhin für Datentransfers an Empfänger außerhalb der EU zum Einsatz kommen. Wobei die Anforderungen für den Einsatz der SCC gestiegen sind – nachzulesen bei De Lege Data.
Was ist grundsätzlich bei Datentransfers außerhalb der EU zu beachten?
Werden personenbezogene Daten aus der EU oder dem Europäischen Wirtschaftsraum (EWR) heraus an Unternehmen in Drittländer – also solche außerhalb des EWR – übermittelt, sieht die europäische Datenschutz-Grundverordnung (DSGVO) zusätzliche Anforderungen vor. Diese sind in den Artikeln 44 ff. DSVGO aufgeführt.
Ein Beispiel: Wenn ein deutsches Unternehmen einen Cloud-Dienstleister in den USA, China oder Japan einsetzt, muss das Unternehmen diese Transfers durch zusätzliche Schutzmaßnahmen absichern.
Es sei denn die EU-Kommission hat dem jeweiligen Drittland ein angemessenes Schutzniveau für personenbezogene Daten per sogenanntem Angemessenheitsbeschluss attestiert. Solche Beschlüsse existieren etwa für die Schweiz, Israel oder jüngst auch für Japan.
Liegt ein solcher offizieller Beschluss vor, dann dürfen personenbezogene Daten an Empfänger in dieses Drittland übermittelt werden, ohne dass Unternehmen besondere zusätzliche Vorkehrungen treffen müssen. Dabei ist jedoch zu beachten, dass die generellen Anforderungen an eine Datenübermittlung bestehen bleiben.
Hierüber muss das Unternehmen durch die Datenschutz-Informationen alle Beteiligten informieren. Es muss eine Rechtsgrundlage vorliegen und generell sind die Datenschutz-Grundsätze zu beachten.
Liegt ein Angemessenheitsbeschluss nicht vor, müssen datenexportierende Unternehmen aus der EU für einen angemessenen Schutz der Daten beim Empfänger sorgen. Hierfür stellt die DSGVO verschiedene Möglichkeiten bereit.
Besonders praxisrelevant sind die SCC. Sie existieren in drei Varianten – je nachdem, welche Rolle der Empfänger im Drittland. Ebenso entscheidend ist dabei, wie ein Vertrag zwischen Exporteur und Importeur der Daten abgeschlossen wird.
Daneben existieren noch weitere Alternativen.
So gibt es Regeln für konzerninterne Transfers zwischen Gesellschaften, indem die Unternehmensgruppe sich in einem Prüfverfahren mit der zuständigen Datenschutzbehörde unternehmensweit verbindlich geltende Datenschutzstandards auferlegt. Das sind dann sogenannte Binding Corporate Rules.
Zuletzt sieht Artikel 49 DSGVO noch Ausnahmetatbestände für Datentransfers vor, wie etwa die vorherige ausdrückliche Einwilligung von Betroffenen oder die Möglichkeit, Daten dann zu übermitteln, wenn dies erforderlich ist, um einen Vertrag mit den Betroffenen zu erfüllen.
Das Urteil zum EU-US Privacy Shield aus Luxemburg
Der EuGH hat nun Mitte Juli einen Angemessenheitsbeschluss der EU-Kommission für Datenempfänger in den USA für ungültig erklärt. Diese hatten sich dort unter dem EU-US Privacy Shield zertifiziert.
Unter anderem stützte der EuGH sein Urteil darauf, dass in den USA kein gleichwertiges Schutzniveau für personenbezogene Daten besteht. So existieren dort umfassende und aus Sicht des EuGH unverhältnismäßige Zugriffsmöglichkeiten durch Behörden im Bereich nationale Sicherheit.
Zudem fehle es an effektiven Rechtsschutzmöglichkeiten für Europäer.
In seinem Urteil prüfte das Gericht auch die Wirksamkeit von einer der drei aktuell veröffentlichten SCC. Dieses Instrument, so der EuGH, ist jedoch nicht ungültig und grundsätzlich eine Möglichkeit, Daten in Drittländer zu übermitteln.
Im Unterschied zu dem speziell auf die USA zugeschnittenen Beschluss zum EU-US Privacy Shield sind die SCC generell für den Einsatz in Bezug auf jegliches Drittland gedacht. Daher untersuchte der EuGH hier auch nicht, wie das Schutzniveau der SCC in Bezug auf die USA aussieht.
Es ging lediglich darum, ob diese Vertragsklauseln ganz generell einen angemessenen Schutz bieten können. Das tun sie auch.
Folgen für die Praxis
Nun jedoch zum „aber“. Der EuGH stellte mit Blick auf den Einsatz der SCC durch Unternehmen einige Kriterien auf, die es in der Praxis umzusetzen gilt. Laut dem Urteil kann es Situationen geben, in denen die SCC unverändert zum Einsatz kommen können. Der EuGH unterscheidet dabei zwischen zwei Szenarien.
Szenario 1
Der Empfänger einer Übermittlung kann, in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland, den erforderlichen Datenschutz allein auf der Grundlage der SCC garantieren.
Szenario 2
Situationen, in denen die in den SCC enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.
Dies ist laut Gericht etwa der Fall, wenn das Recht dieses Drittlands dessen Behörden Eingriffe in die Rechte der betroffenen Personen erlaubt. Es kann je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der datenexportierende Verantwortliche zusätzliche Maßnahmen zur Gewährleistung des Schutzniveaus der SCC ergreift.
Und diesbezüglich ist der EuGH sehr klar: Es obliege vor allem Verantwortlichen, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz gewährleistet.
Erforderlichenfalls sind mehr Garantien – über diese Klauseln hinaus – zu gewähren.
Konkret bedeutet dies, dass der Verantwortliche und der Empfänger sich vor der Übermittlung personenbezogener Daten in ein Drittland vergewissern müssen, dass das Recht des Bestimmungsdrittlands es dem Empfänger erlaubt, die SCC einzuhalten.
In der Praxis könnte der Verantwortliche etwa über einen vorgefertigten Fragenkatalog an den Empfänger validieren, ob Zugriffe möglich sind. Falls das der Fall ist, stellt sich die Frage nach dem Zweck. Sind Zugriffe auf die Daten möglich, so gilt es, ihn auf seine Erforderlichkeit zu prüfen.
Fazit: Was müssen die Unternehmen beachten?
Unternehmen, die Daten in Drittländer transferieren oder dort Dienstleister zur Übermittlung einsetzen, die Zugriff auf Daten im EWR nehmen, sollten nun zunächst intern ihre Datenübermittlungen in Drittländer prüfen. Ein Ansatzpunkt hierfür sollte das Verzeichnis der Verarbeitungstätigkeiten sein.
Nach einer entsprechenden Auflistung müssen jene Transfers weiter begutachtet werden, die nur auf der Grundlage der SCC erfolgen. Dort ist, in Zusammenarbeit mit dem Empfänger, die oben erwähnte Prüfung vorzunehmen.
Unternehmen sollten nun prüfen und dokumentieren, ob durchgeführte Datentransfers in Drittländer dem Datenschutzniveau nach der DSGVO entsprechen. Von Datenschutzbehörden werden „einschlägige Nachprüfungen angeraten“.
Ebenso wird darüber informiert, dass Aufsichtsbehörden mittelfristig auf Unternehmen zukommen können, um „entsprechende Darlegungen zu erhalten“ (LfDI Rheinland-Pfalz).
Außerdem hat der Europäische Datenschutz-Ausschuss jüngst einen FAQ-Katalog zum Urteil und seinen Folgen veröffentlicht, der den Unternehmen zur Konsultation und als praktischer Leitfaden zu Verfügung gestellt wurde.
Auch interessant:
