EuGH erklärt EU-US-Privacy Shield für ungültig

Privacy Shield invalid

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 16.07.2020 das sogenannte Privacy Shield, das den Datenaustausch zwischen der EU und den USA regelt, für ungültig erklärt. Außerdem hat er entschieden, dass der Datenaustausch mit Nicht-EU-Ländern auf Basis der sogenannten Standardvertragsklauseln zwar rechtens ist, aber im Einzelfall geprüft werden muss.

Die Gesellschaft für Datenschutz und Datensicherheit äußert sich zu dem Urteil und seinen Folgen für die Verantwortlichen wie folgt:

Mit Urteil vom 16.07.2020 (Az: C‑311/18 – Volltextveröffentlichung hier) hat sich der Europäische Gerichtshof mit der Zulässigkeit der EU-Standardvertragsklauseln in der Variante „Controller-to-Processor“ (2010/87/EU) sowie des Angemessenheitsbeschluss der EU-Kommission zum EU-US Privacy Shields (Durchführungsbeschluss (EU) 2016/1250) befasst.

Was hat der EuGH entschieden?

Der EuGH hatte sich anhand den Vorlagefragen des irischen High Courts insbesondere mit der Frage zu befassen, inwieweit die Garantien für den Export personenbezogener Daten  in ein Drittland in Gestalt des EU-US Privacy Shields und der EU-Standardvertragsklauseln als ausreichende Schutzmechanismen anzusehen sein, um ein im wesentlichen gleichwertiges Datenschutzniveau hinsichtlich dem gesetzlichen Schutz der Rechte und Freiheiten von Betroffenen in der Europäischen Union herzustellen.

EU-US Privacy Shield

Das Gericht hat das EU-US Privacy Shield als Nachfolgeregelung für das Safe Harbor Abkommen für ungültig erklärt. Der Grund hierfür sind mögliche Zugriffe auf personenbezogen Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden aufgrund vorrangiger Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder zur Durchführung von Gesetzen, was nicht in Einklang mit den Grundrechten der EU-Bürger zu bringen seien. Zusätzlich seien die Überwachungsprogramme durch US-Sicherheitsbehörden als unverhältnismäßig einzustufen. EU-Bürgern stünden im übrigen keine ausreichenden Rechtsschutzmöglichkeiten vor den US-Gerichten zur Verfügung, um Rechtsverletzungen überprüfen zu lassen. Auch der im Privacy Shield eingerichtete Ombudsperson könne keine ausreichenden Überwachungskompetenzen gegenüber den US-Geheimdiensten ausüben, um möglichen Rechtsverletzungen entgegen zu wirken.

EU-Standardvertragsklauseln

Die EU-Standardvertragsklauseln hingegen bleiben nach der Entscheidung des EuGH gültig. Zwar bestünde auch hier das Risiko für Betroffene, dass öffentliche Stellen Rechte und Freiheiten durch einen Zugriff auf personenbezogene Daten verletzen, allerdings wären die in den Standardvertragsklausen vorgesehenen Schutzmechanismen grundsätzlich erweiterbar. Dies sei der fundamentale Unterschied zu einer Angemessenheitsentscheidung wie dem EU-US Privacy Shield, in dem rechtsverbindlich untersucht würde, ob die bestehenden Gesetze u.a. hinsichtlich der Zugriffe von Behörden aus Gründen eines nationalen Sicherheitsinteresses mit Blick auf die EU-Gesetzgebung als angemessen zu erachten seien. Bei den Standardvertragsklauseln erfolge eine solche rechtsverbindliche Prüfung nicht, da die Klauseln nicht sämtliche Garantien für ein angemessenes Schutzniveau in einem Drittland beinhalteten.

Die Rolle des Verantwortlichen und des Auftragsverarbeiters

Der EuGH erinnert daran, dass es die Pflicht des Verantwortlichen (und ggf. des Auftragsverarbeiters) sei, beim Fehlen einer Angemessenheitsentscheidung der Kommission ausreichende Schutzmechanismen zugunsten von Betroffenen für den Datenexport zu implementieren.

Daher müssten – je nach Situation im Drittland – ggf. zusätzliche Garantien mittels der Möglichkeit der Erweiterung der Standardvertragsklauseln über geschäftsbezogene Klauseln geschaffen werden. Verantwortliche seien daher in der Pflicht, die jeweilige Situation im Drittland über eine Einzelfallprüfung zu evaluieren.

Die Rolle der Aufsichtsbehörden

Ergeben sich Hinweise für den Datenexporteur, so aufgrund einer Information des Datenimporteurs, dass die vereinbarten Standardvertragsklauseln aufgrund der Gesetze im Drittland nicht eingehalten werden können, hat er hierüber seine zuständige Aufsichtsbehörde zu informieren. Dieser wiederum stünden über die Standardvertragsklauseln Auditrechte beim Datenimporteur oder dessen Unterauftragnehmer zu. Die Behörden seien hierbei in der Pflicht, einen Datentransfer auszusetzen, wenn die Zusicherungen der Standardvertragsklauseln im Drittland nicht eingehalten werden könnten.

Fazit

Verantwortliche oder Auftragsverarbeiter können ab dem 16.07.2020 keine personenbezogenen Daten mehr auf Basis des EU-US Privacy Shields an Empfänger in den Vereinigten Staaten übermitteln. Bei den EU-Standardvertragsklauseln werden Verantwortliche durch den EuGH in die Pflicht genommen, für jeden Datenexport in ein Drittland zu untersuchen, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten.  Ergeben sich Hinweise, dass die EU-Standardvertragsklauseln nicht mehr eingehalten werden können, ist – neben dem Aussetzen des Exports – die Aufsichtsbehörde zu informieren, die wiederum ihrerseits eine diesbezügliche Prüfung anstrebt und ein Aussetzen ihrerseits verlangen kann.

Der EuGH wählt in seinem Urteil eine formale Herangehensweise an die EU-Standardvertragsklauseln, das die ohnehin bestehenden Pflichten für Exporteure und Importeure nochmals beleuchtet. Unklar bleibt für Verantwortliche, welche Hinweise im Drittland den Export personenbezogener Daten als unzulässig erscheinen lassen bzw. welche technisch-organisatorischen Maßnahmen ergänzend zu treffen sind.

Die GDD fordert:

  • Sanktionsmaßnahmen von EU-Aufsichtsbehörden bezüglich der Datenexporte in Drittländer, insbesondere die USA, sind vorerst auszusetzen. Datenverarbeiter müssen die Möglichkeit erhalten, ihre Datenflüsse in Drittländer nach dem Urteil des EuGH evaluieren können.
  • Seitens des Europäischen Datenschutzausschusses sind Hinweise zu erarbeiten, nach welchen Kriterien Datenexporte auf Basis der EU-Standardvertragsklauseln in ein Drittland auszusetzen sind. Hier wären beispielsweise Black- oder Whitelists für Länder oder bestimmte Sektoren denkbar. Alleingänge nationaler Aufsichtsbehörden wären nicht zielführend.
  • Verhandlungen zwischen der Europäischen Kommission und den Vereinigten Staaten für Änderungen des EU-US Privacy Shields sind zeitnah aufzunehmen. Insbesondere die Datenzugriffe von Behörden aus Sicherheitsinteressen müssen einer effektiven und verbindlichen Kontrolle unterliegen und sich am Verhältnismäßigkeitsgrundsatz orientieren. Rechtsschutzmöglichkeiten für EU-Bürger sind stärker zu berücksichtigen.

Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)

(Image by Benedikt Geyer from Pixabay)

Letztes Update:17.07.20

  • Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Ersetzendes Scannen

    BSI veröffentlicht Handlungshilfe für ersetzendes Scannen

    Das sogenannte Ersetzende Scannen beschreibt einen Prozess, in dessen Verlauf ein Dokument unter Beachtung strenger Vorschriften in eine digitale Form umgewandelt und die Papierform im Anschluss vernichtet werden darf. Der Prozess stellt dabei sicher, dass das Dokument danach in der digitalen Form die gleichen Eigenschaften wie das Original behält und eine entsprechende rechtliche Gültigkeit aufweist.

    Mehr erfahren
  • Berufsgeheimnisträger und unverschlüsselter E-Mail-Versand

    Die Frage, ob Anwältinnen und Anwälte unverschlüsselt per E-Mail mit Mandanten kommunizieren dürfen, ohne gegen die Pflicht zur Verschwiegenheit zu verstoßen, war in jüngster Vergangenheit öfter ein Streitpunkt.  Datenschutz-Aufsichtsbehörden betrachteten die Fragestellung noch genereller und stellten diese Frage für jegliche Berufsgeheimnisträger, so bspw. auch für Ärzte (Tätigkeitsbericht 2017/18 – Bayerisches Landesamt für Datenschutzaufsicht, S. 94, Ziffer

    Mehr erfahren
  • EU-Parlament kritisirt Privacy Shield

    Nach dem Ende des Privacy-Shields: GDD gibt Handlungsempfehlungen

    Der EuGH hat das EU-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt und an die Pflichten für Datenexporteure und Datenimporteure bei Anwendung der EU-Standardvertragsklauseln, insbesondere hinsichtlich einer rechtskonformen Datenübermittlung, erinnert. Datenexportierende verantwortliche Stellen mit Sitz in der Europäischen Union oder in Ländern des Europäischen Wirtschaftsraums stehen nun vor der Herausforderung, wie personenbezogene Daten

    Mehr erfahren