de en
Nexia Ebner Stolz

Rechtsberatung

Erneut Handlungsbedarf beim Datentransfer in die USA

Der EuGH erklärt das zwischen der EU und der USA vereinbarte Datenschutzabkommen „Privacy Shield“ für unwirksam. Legen Unternehmen dem Datentransfer aus der EU in die USA aber - wie in der Praxis vielfach der Fall - sog. Standardvertragsklauseln zugrunde, ist dies laut EuGH nicht zu beanstanden, wenn sichergestellt ist, dass der Datenschutz in den USA durch dort bestehende Gesetze nicht vereitelt wird.

Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in Dritt­staa­ten ist nach der DSGVO unzu­läs­sig, wenn das dor­tige Daten­schutz­ni­veau nicht von der EU als gleich­wer­tig aner­kannt wurde. In die­sem Sinne aner­kannt wur­den die Staa­ten des EWR, die Schweiz und einige wenige andere Staa­ten. Für die Über­mitt­lung in Dritt­staa­ten, wie die USA, China oder Indien, ver­wen­den die Unter­neh­men regel­mä­ßig Stan­dard­ver­trags­klau­seln, die einen aus­rei­chen­den Daten­schutz gewähr­leis­ten sol­len. Unter­neh­men in den USA konn­ten sich bis­lang aber auch für das „Pri­vacy Shield“, einer zwi­schen der EU und den USA getrof­fene Abspra­che mit dem Ziel einer DSGVO-kon­for­men Über­mitt­lung per­so­nen­be­zo­ge­ner Daten, zer­ti­fi­zie­ren und so eine Über­mitt­lung ermög­li­chen. Diese Abspra­che ersetzt das bereits 2015 als EU-rechts­wid­rig beur­teilte transat­lan­ti­sche „Safe Har­bor“-Abkom­men zwi­schen der EU und den USA.

Mit Urteil vom 16.7.2020 (Rs. C-311/18, Face­book Ire­land / Sch­rems II) ent­schied der EuGH nun, dass auch das „Pri­vacy Shield“ EU-rechts­wid­rig und damit unwirk­sam ist. Die USA hät­ten mit dem FISA Act, der Aus­lands­auf­klär­ung und Spio­na­ge­ab­wehr betrifft, und dem CLOUD-Act, der US-Behör­den den Zugriff auf außer­halb der USA gespei­cherte Daten von US-Unter­neh­men gewähr­leis­tet, Rege­lun­gen imp­le­men­tiert, die dem Schutz­ge­dan­ken der DSGVO ent­ge­gen­stün­den. Vor dem Hin­ter­grund der Zugriffs­mög­lich­kei­ten durch die US-Behör­den sind die daten­schutz­recht­li­chen Anfor­de­run­gen nicht erfüllt und der Rechts­schutz für Betrof­fene ist unzu­rei­chend.

Anders beur­teilt der EuGH Stan­dard­ver­trags­klau­seln, die in der Pra­xis häu­fig in der jewei­li­gen ver­trag­li­chen Ver­ein­ba­rung der Daten­über­mitt­lung von EU-Unter­neh­men in die USA zugrunde gelegt wer­den. Diese sind laut EuGH grund­sätz­lich ein geeig­ne­tes Mit­tel, um eine Daten­über­mitt­lung ins Dritt­land zu ermög­li­chen. Aller­dings muss sicher­ge­s­tellt sein, dass in dem Dritt­land die Gesetze den Schutz der Stan­dard­ver­trags­klau­seln nicht ver­ei­teln. Ansons­ten kön­nen die natio­na­len Auf­sichts­be­hör­den der EU-Staa­ten, und zwar jede für sich, die Über­mitt­lung in die­ses Dritt­land unter­sa­gen. Fal­len die Beur­tei­lun­gen der Auf­sichts­be­hör­den unter­schied­lich aus, ist der Euro­päi­sche Daten­schutz­aus­schuss der Auf­sichts­be­hör­den (EDSA), ein­zu­schal­ten, um eine ein­heit­li­che Lösung zu errei­chen.

Im Ergeb­nis gibt der EuGH mit sei­nem Urteil dem Klä­ger Recht, der bei der iri­schen Daten­schutz­be­hörde Beschwerde gegen Face­book ein­ge­reicht hatte. Der Öst­er­rei­cher Sch­rems hatte sich mit sei­ner Beschwerde dage­gen gewen­det, dass die iri­sche Face­book-Toch­ter­ge­sell­schaft Daten an den US-Mut­ter­kon­zern wei­ter­lei­tet, obwohl die­ser zu einer Offen­le­gung der Daten gegen­über den US-Behör­den verpf­lich­tet sei, ohne dass sich Betrof­fene dage­gen weh­ren könn­ten.

Für die Pra­xis bedeu­tet das: Sämt­li­che Daten­über­mitt­lun­gen in die USA ste­hen auf dem Prüf­stand und kön­nen von den Auf­sichts­be­hör­den unter­sagt wer­den. Ver­träge, die eine Daten­über­mitt­lung auf Basis des Pri­vacy Shields vor­sa­hen, müs­sen mög­lichst zeit­nah ange­passt wer­den. Erfolgt wei­ter­hin eine ent­sp­re­chende Daten­über­mitt­lung, dro­hen daten­schutz­recht­li­che Sank­tio­nen.

Aber auch Ver­träge mit Stan­dard­ver­trags­klau­seln soll­ten unter Berück­sich­ti­gung der neuen Kri­te­rien über­prüft wer­den. Kon­k­ret ist abzu­klä­ren, ob in den USA Gesetze der Ein­hal­tung des Daten­schut­zes nach den Stan­dard­ver­trags­klau­seln ent­ge­gen­ste­hen. Falls der Daten­schutz nicht als gewähr­leis­tet anzu­se­hen ist, könnte ggf. noch die Aus­nah­me­re­ge­lung nach Art. 49 DSGVO grei­fen, die in bestimm­ten Fäl­len (etwa der zwin­gen­den Erfor­der­lich­keit für die Ver­trags­durch­füh­rung mit dem Betrof­fe­nen) eine Über­mitt­lung aus­nahms­weise erlaubt. Auch könnte geprüft wer­den, ob z. B. durch ver­trag­li­che Ver­ein­ba­run­gen der Daten­schutz sicher­ge­s­tellt wer­den könnte. Sollte all dies nicht gelin­gen und auch keine andere Hand­lung­s­op­tion, wie etwa die Ver­la­ge­rung der Daten­ver­ar­bei­tung und -nut­zung nach Europa, umsetz­bar sein, dro­hen Sank­tio­nen durch die Auf­sichts­be­hörde.

nach oben