de en
Nexia Ebner Stolz

Rechtsberatung

EuGH kippt EU-US-Datenschutzvereinbarung „Privacy Shield“

Der EuGH hatte zu entscheiden, ob die sog. Standardvertragsklauseln und das EU-US-Datenschutzabkommen „Privacy Shield“, die von Unternehmen dem Datentransfer aus der EU in die USA zugrunde gelegt werden, mit dem europäischen Datenschutzniveau vereinbar sind. Während die Standardvertragsklauseln grundsätzlich eingesetzt werden können, ist das Privacy Shield unwirksam. Datentransfers in die USA stehen vor hohen Hürden.

Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in Dritt­staa­ten ist nach der DSGVO unzu­läs­sig, wenn das dor­tige Daten­schutz­ni­veau nicht von der EU als gleich­wer­tig aner­kannt wurde. Dies gilt für die EWR, Schweiz und einige wenige andere Län­der. Für die Über­mitt­lung in Dritt­staa­ten, wie die USA, China oder Indien, ver­wen­den die Unter­neh­men regel­mä­ßig Stan­dard­ver­trags­klau­seln, die einen aus­rei­chen­den Daten­schutz gewähr­leis­ten sol­len. Unter­neh­men in den USA konn­ten sich bis­lang aber auch für das „Pri­vacy Shield“, einer zwi­schen der EU und den USA getrof­fene Abspra­che mit dem Ziel einer DSGVO-kon­for­men Über­mitt­lung per­so­nen­be­zo­ge­ner Daten, zer­ti­fi­zie­ren und so eine Über­mitt­lung ermög­li­chen. Diese Abspra­che ersetzt das bereits 2015 als EU-rechts­wid­rig beur­teilte transat­lan­ti­sche „Safe Har­bor“-Abkom­men zwi­schen der EU und den USA.

Mit Urteil vom 16.7.2020 (Rs. C-311/18, Face­book Ire­land / Sch­rems II) ent­schied der EuGH nun, dass auch das „Pri­vacy Shield“ EU-rechts­wid­rig und damit unwirk­sam ist. Die USA hät­ten mit dem FISA Act, der Aus­lands­auf­klär­ung und Spio­na­ge­ab­wehr betrifft, und dem CLOUD-Act, der US-Behör­den den Zugriff auf außer­halb der USA gespei­cherte Daten von US-Unter­neh­men gewähr­leis­tet, Rege­lun­gen imp­le­men­tiert, die dem Schutz­ge­dan­ken der DSGVO ent­ge­gen­stün­den. Vor dem Hin­ter­grund der Zugriffs­mög­lich­kei­ten durch die US-Behör­den sind die daten­schutz­recht­li­chen Anfor­de­run­gen nicht erfüllt und der Rechts­schutz für Betrof­fene ist unzu­rei­chend.

Ent­ge­gen des Pri­vacy Shields sind die Stan­dard­ver­trags­klau­seln laut EuGH zwar grund­sätz­lich ein geeig­ne­tes Mit­tel, um eine Daten­über­mitt­lung ins Dritt­land zu ermög­li­chen. Dabei muss aber sicher­ge­s­tellt sein, dass in dem Dritt­land die Gesetze den Schutz der Stan­dard­ver­trags­klau­seln nicht ver­ei­teln. Ansons­ten kön­nen die natio­na­len Auf­sichts­be­hör­den, und zwar jede für sich, die Über­mitt­lung in die­ses Dritt­land unter­sa­gen. Fal­len die Beur­tei­lun­gen der Auf­sichts­be­hör­den unter­schied­lich aus, ist der Euro­päi­sche Daten­schutz­aus­schuss der Auf­sichts­be­hör­den (EDSA), ein­zu­schal­ten, um eine ein­heit­li­che Lösung zu errei­chen.

Im Ergeb­nis gibt der EuGH mit sei­nem Urteil dem Klä­ger Recht, der bei der iri­schen Daten­schutz­be­hörde Beschwerde gegen Face­book ein­ge­reicht hatte. Der Öst­er­rei­cher Sch­rems hatte sich mit sei­ner Beschwerde dage­gen gewen­det, dass die iri­sche Face­book-Toch­ter­ge­sell­schaft Daten an den US-Mut­ter­kon­zern wei­ter­lei­tet, obwohl die­ser zu einer Offen­le­gung der Daten gegen­über den US-Behör­den verpf­lich­tet sei, ohne dass sich Betrof­fene dage­gen weh­ren könn­ten.

Mit sei­nen Fest­stel­lun­gen zum Pri­vacy Shield ist auch die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten auf Basis der Stan­dard­ver­trags­klau­seln in die USA kri­tisch zu sehen. Der Daten­aus­tausch wird inso­weit erheb­lich erschwert und es dro­hen Nut­zungs­un­ter­sa­gun­gen und wei­tere Sank­tio­nen durch die Auf­sichts­be­hör­den. Der EuGH ver­weist inso­weit auf die Aus­nah­men von Art. 49 DSGVO, die in bestimm­ten Fäl­len (etwa der zwin­gen­den Erfor­der­lich­keit für die Ver­trags­durch­füh­rung mit dem Betrof­fe­nen) eine Über­mitt­lung aus­nahms­weise erlaubt.

Hand­lungs­emp­feh­lung

Vor dem Hin­ter­grund der Ent­schei­dung des EuGH ste­hen nun sämt­li­che Daten­über­mitt­lun­gen in die USA auf dem Prüf­stand und kön­nen von den Auf­sichts­be­hör­den unter­sagt wer­den. Ver­träge, die eine Daten­über­mitt­lung auf Basis des Pri­vacy Shields vor­sa­hen, müs­sen ange­passt wer­den. Auch Ver­träge mit Stan­dard­ver­trags­klau­seln soll­ten auf die neuen Kri­te­rien über­prüft wer­den.

nach oben