de en
Nexia Ebner Stolz

Rechtsberatung

Erneut Handlungsbedarf beim Datentransfer in die USA

Der EuGH erklärt das zwi­schen der EU und der USA ver­ein­barte Da­ten­schutz­ab­kom­men „Pri­vacy Shield“ für un­wirk­sam. Le­gen Un­ter­neh­men dem Da­ten­trans­fer aus der EU in die USA aber - wie in der Pra­xis viel­fach der Fall - sog. Stan­dard­ver­trags­klau­seln zu­grunde, ist dies laut EuGH nicht zu be­an­stan­den, wenn si­cher­ge­stellt ist, dass der Da­ten­schutz in den USA durch dort be­ste­hende Ge­setze nicht ver­ei­telt wird.

Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Da­ten in Dritt­staa­ten ist nach der DS­GVO un­zulässig, wenn das dor­tige Da­ten­schutz­ni­veau nicht von der EU als gleich­wer­tig an­er­kannt wurde. In die­sem Sinne an­er­kannt wur­den die Staa­ten des EWR, die Schweiz und ei­nige we­nige an­dere Staa­ten. Für die Über­mitt­lung in Dritt­staa­ten, wie die USA, China oder In­dien, ver­wen­den die Un­ter­neh­men re­gelmäßig Stan­dard­ver­trags­klau­seln, die einen aus­rei­chen­den Da­ten­schutz gewähr­leis­ten sol­len. Un­ter­neh­men in den USA konn­ten sich bis­lang aber auch für das „Pri­vacy Shield“, ei­ner zwi­schen der EU und den USA ge­trof­fene Ab­spra­che mit dem Ziel ei­ner DS­GVO-kon­for­men Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten, zer­ti­fi­zie­ren und so eine Über­mitt­lung ermögli­chen. Diese Ab­spra­che er­setzt das be­reits 2015 als EU-rechts­wid­rig be­ur­teilte trans­at­lan­ti­sche „Safe Har­bor“-Ab­kom­men zwi­schen der EU und den USA.

Mit Ur­teil vom 16.7.2020 (Rs. C-311/18, Fa­ce­book Ire­land / Schrems II) ent­schied der EuGH nun, dass auch das „Pri­vacy Shield“ EU-rechts­wid­rig und da­mit un­wirk­sam ist. Die USA hätten mit dem FISA Act, der Aus­lands­aufklärung und Spio­na­ge­ab­wehr be­trifft, und dem CLOUD-Act, der US-Behörden den Zu­griff auf außer­halb der USA ge­spei­cherte Da­ten von US-Un­ter­neh­men gewähr­leis­tet, Re­ge­lun­gen im­ple­men­tiert, die dem Schutz­ge­dan­ken der DS­GVO ent­ge­genstünden. Vor dem Hin­ter­grund der Zu­griffsmöglich­kei­ten durch die US-Behörden sind die da­ten­schutz­recht­li­chen An­for­de­run­gen nicht erfüllt und der Rechts­schutz für Be­trof­fene ist un­zu­rei­chend.

An­ders be­ur­teilt der EuGH Stan­dard­ver­trags­klau­seln, die in der Pra­xis häufig in der je­wei­li­gen ver­trag­li­chen Ver­ein­ba­rung der Da­tenüber­mitt­lung von EU-Un­ter­neh­men in die USA zu­grunde ge­legt wer­den. Diese sind laut EuGH grundsätz­lich ein ge­eig­ne­tes Mit­tel, um eine Da­tenüber­mitt­lung ins Dritt­land zu ermögli­chen. Al­ler­dings muss si­cher­ge­stellt sein, dass in dem Dritt­land die Ge­setze den Schutz der Stan­dard­ver­trags­klau­seln nicht ver­ei­teln. An­sons­ten können die na­tio­na­len Auf­sichts­behörden der EU-Staa­ten, und zwar jede für sich, die Über­mitt­lung in die­ses Dritt­land un­ter­sa­gen. Fal­len die Be­ur­tei­lun­gen der Auf­sichts­behörden un­ter­schied­lich aus, ist der Eu­ropäische Da­ten­schutz­aus­schuss der Auf­sichts­behörden (EDSA), ein­zu­schal­ten, um eine ein­heit­li­che Lösung zu er­rei­chen.

Im Er­geb­nis gibt der EuGH mit sei­nem Ur­teil dem Kläger Recht, der bei der iri­schen Da­ten­schutz­behörde Be­schwerde ge­gen Fa­ce­book ein­ge­reicht hatte. Der Öster­rei­cher Schrems hatte sich mit sei­ner Be­schwerde da­ge­gen ge­wen­det, dass die iri­sche Fa­ce­book-Toch­ter­ge­sell­schaft Da­ten an den US-Mut­ter­kon­zern wei­ter­lei­tet, ob­wohl die­ser zu ei­ner Of­fen­le­gung der Da­ten ge­genüber den US-Behörden ver­pflich­tet sei, ohne dass sich Be­trof­fene da­ge­gen weh­ren könn­ten.

Für die Pra­xis be­deu­tet das: Sämt­li­che Da­tenüber­mitt­lun­gen in die USA ste­hen auf dem Prüfstand und können von den Auf­sichts­behörden un­ter­sagt wer­den. Verträge, die eine Da­tenüber­mitt­lung auf Ba­sis des Pri­vacy Shields vor­sa­hen, müssen möglichst zeit­nah an­ge­passt wer­den. Er­folgt wei­ter­hin eine ent­spre­chende Da­tenüber­mitt­lung, dro­hen da­ten­schutz­recht­li­che Sank­tio­nen.

Aber auch Verträge mit Stan­dard­ver­trags­klau­seln soll­ten un­ter Berück­sich­ti­gung der neuen Kri­te­rien überprüft wer­den. Kon­kret ist ab­zuklären, ob in den USA Ge­setze der Ein­hal­tung des Da­ten­schut­zes nach den Stan­dard­ver­trags­klau­seln ent­ge­gen­ste­hen. Falls der Da­ten­schutz nicht als gewähr­leis­tet an­zu­se­hen ist, könnte ggf. noch die Aus­nah­me­re­ge­lung nach Art. 49 DS­GVO grei­fen, die in be­stimm­ten Fällen (etwa der zwin­gen­den Er­for­der­lich­keit für die Ver­trags­durchführung mit dem Be­trof­fe­nen) eine Über­mitt­lung aus­nahms­weise er­laubt. Auch könnte geprüft wer­den, ob z. B. durch ver­trag­li­che Ver­ein­ba­run­gen der Da­ten­schutz si­cher­ge­stellt wer­den könnte. Sollte all dies nicht ge­lin­gen und auch keine an­dere Hand­lungs­op­tion, wie etwa die Ver­la­ge­rung der Da­ten­ver­ar­bei­tung und -nut­zung nach Eu­ropa, um­setz­bar sein, dro­hen Sank­tio­nen durch die Auf­sichts­behörde.

nach oben