Die mit Spannung erwartete EuGH Entscheidung zur Frage der DSGVO-Konformität des EU-US Privacy Shield Abkommens – angeregt von der irischen Datenschutzbehörde im Verfahren zwischen Schrems und Facebook – ist heute zu C 311/18 ("Schrems II") ergangen. Kurz zusammengefasst wurde der entsprechende Angemessenheitsbeschluss der EU Kommission zum Privacy Shield (2016/1250), wie schon sein Vorgänger Safe Harbor, mit heute für ungültig erklärt. Welche Auswirkungen das für die Praxis hat und ob ein Ausweichen auf EU Standarddatenschutzklauseln noch möglich ist, haben die DORDA Datenschutzexperten für Sie gleich zusammengefasst:
Historie und Ausgangslage
Bereits am 25.6.2013 legte Max Schrems bei der irischen Datenschutzbehörde eine Beschwerde ein. Er forderte sie damit im Wesentlichen dazu auf, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die USA zu untersagen. Facebook Ireland hatte sich für die Zulässigkeit der Übermittlung primär auf das Safe Harbor Abkommen zwischen EU und USA gestützt. Max Schrems brachte vor, dass das Recht und die Praxis der USA keinen ausreichenden Schutz für dort gespeicherte personenbezogene Daten vor den Überwachungstätigkeiten der ansässigen Behörden gewährleisteten würden. Der EuGH ist der Ansicht gefolgt und hat am 6.10.2015 in C‑362/14 das Safe Harbor Abkommen für ungültig erklärt.
In der Folge wurde zwischen der EU und den USA ein Nachfolgeabkommen, das Privacy Shield, abgeschlossen. Dieses stand nun auf dem Prüfstand. Max Schrems führte wiederum ins Treffen, dass die weitläufigen Überwachungsmöglichkeiten und der fehlende Rechtschutz in den USA nicht mit Art 7, 8 und 47 der Grundrechte Charta vereinbar sei. Dementsprechend sei die Angemessenheitsentscheidung der EU Kommission – mit der Übermittlungen an Privacy Shield zertifizierte Empfänger in den USA einer Datenübermittlung innerhalb des EWR gleichgestellt wird – aufzuheben.
Privacy Shield ungültig
Der EuGH ist heute – wenig überraschend – den Bedenken von Max Schrems gefolgt und hat das EU-US Privacy Shield Abkommen für ungültig erklärt. Inhaltlich hat der EuGH hervorgehoben, dass die bekannten Überwachungsmöglichkeiten auf Basis des amerikanischen Rechts, insbesondere nach Sec 702 des FISA, der E.O. 12333 und der PPD-28, (i) unverhältnismäßig und somit nicht auf das zwingend erforderliche Maß beschränkt seien und zudem (ii) für potenziell von diesen Programmen erfasste Personen außerhalb der USA keine wirksamen Rechtsbehelfe und Garantien vorsehen.
Handlungsbedarf für die Praxis
Auch wenn die Entscheidung aufgrund der de facto flächendeckenden Einbindung von US-Anbietern – gerade im Outsourcing und Cloud Bereich – zu einem sofortigen Handlungsbedarf bei europäischen Unternehmen führt, ist sie aber per se keine Hiobsbotschaft, zumal es (noch?) effektive Alternativen für die Übermittlung von Daten in die USA gibt. Das unterscheidet die heutige Situation wesentlich von der nach dem Fall des Safe Harbor Abkommens. Damals stand im Rahmen des DSG 2000 als einzige Alternative der Abschluss von Standardvertragsklauseln, die dann aber noch von der Österreichischen Datenschutzbehörde genehmigt werden mussten, offen. Dieses Verfahren dauerte damals zumindest Monate - oft sogar jahrelang. Damit konnte der Wegfall des Safe Harbor Abkommens nicht rasch substituiert werden. Heute dagegen ist im Rahmen des Art 46 DSGVO ein Ausweichen auf andere geeignete Garantien als Grundlage für die Datenübermittlung in die USA rasch möglich: So können gemäß Art 46 Abs 2 DSGVO ohne gesonderte Genehmigung auch dann Daten in unsichere Drittstaaten – zu denen ab heute auch Privacy Shield zertifizierte US-Empfänger gelten – übermittelt werden, wenn unter anderem auf Binding Corporate Rules (BCR) oder Standarddatenschutzklauseln (SCC) zurückgegriffen werden kann. Die SCC sind unmittelbar wirksam. Das Erfordernis einer zusätzlichen behördlichen Genehmigung ist mit der DSGVO gefallen. Viele große IT-Anbieter haben als lessons learned aus dem Fall von Safe Harbor und der Vorhersehbarkeit der Angreifbarkeit des Privacy Shields bereits parallel auch SCC abgeschlossen. Wo das noch nicht der Fall ist, kann das nun kurzfristig nachgeholt werden und damit wieder eine Rechtsgrundlage geschaffen werden. In der Praxis ist es daher wichtig, nun anlassbezogen sämtliche Verträge mit US Anbietern, die den Transfer von personenbezogenen Daten zumindest potentiell zulassen, zu erheben und zu prüfen, ob SCC bereits vereinbart sind. Ist das nicht der Fall, sind sie umgehend abzuschließen. Die Standarddatenschutzklauseln sind nämlich im Gegensatz zum Privacy Shield weiterhin aufrecht und gültig:
Standarddatenschutzklauseln weiterhin gültig
Der EuGH hat sich in seiner Entscheidung neben dem Privacy Shield Abkommen auch mit der Gültigkeit der SCC auseinandergesetzt und diese bestätigt. Hintergrund ist, dass die Klauseln an sich keine Aussage über die Angemessenheit des Schutzniveaus eines Drittlands treffen. Vielmehr sollen diese ja genau bei Empfängern in grundsätzlich unsicheren Drittstaaten geeignete vertragliche Garantien vorsehen. Es liegt daher – und lag auch bisher – am Ende des Tages in der Verantwortung des datenüberlassenden Verantwortlichen oder Auftragsverarbeiters zu prüfen, ob die SCC bereits ausreichende Garantien vorsehen oder zusätzliche Maßnahmen erforderlich sind, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Formell ist der Abschluss von SCC also weiterhin möglich und sind sie eine taugliche Rechtsgrundlage. Materiell kann es aber in naher Zukunft auch damit Probleme bei Datenübermittlungen in die USA geben. Die vom EuGH aufgezeigten datenschutzrechtlichen Risken aufgrund der US amerikanischen Gesetzgebung sind strukturell. Es ist fraglich, wie ein in den USA sitzendes Unternehmen trotz dieser Rahmenbedingungen für ausreichende Sicherheiten sorgen kann. Ein möglicher Ansatz ist, durch zusätzliche (strengere) vertragliche Pflichten in den SCC mehr Sicherheit zu geben und damit Zweifel auszuräumen. Was möglich und notwendig ist hängt von den jeweiligen Gegebenheiten im Drittland, dem Umfang und der Sensibilität der übermittelten Daten und schlussendlich von der Effektivität der Vertragsklauseln ab. Frühzeitige Informationspflichten, eine enge Einbindung des europäischen Unternehmens und gezielte Sonderkündigungsrechte sind Instrumente, SCC auch für Datenübermittlungen in die USA DSGVO-konform auszugestalten.
Politisch bleibt anzumerken, dass nach dem (gestrigen) Urteil des EU-Gerichts zur Zulässigkeit von irischen Steuerbegünstigungen für US-Techkonzerne, der EuGH im (heutigen) Urteil auf Basis des (anders als im Steuerrecht) durch die DSGVO harmonisierten EU-Datenschutzrechts US-Techkonzerne mögliche freundliche Auslegungen durch die irische Datenschutzbehörden einen Riegel vorgeschoben hat. Der EuGH hielt ausdrücklich fest, dass Datenübermittlungen in die USA dem strengen EU-Grundrechtsschutz genügen müssen.
Fazit
Nach dem Fall des Privacy Shield sind Datenübermittlungen in die USA nun entweder zu stoppen oder – und das ist wohl die realistische Alternative – rasch auf andere geeignete Garantien zu stützen, um Datentransfers an bisher zertifizierte US-Empfänger auf eine solide rechtliche Grundlage zu stellen. Diese vertraglichen Vereinbarungen unterliegen sodann der jeweiligen Kontrolle der nationalen Aufsichtsbehörden, die einzelfallsbezogen zu entscheiden haben, ob die vorgesehenen Garantien ausreichend wirksam sind. Ihre DORDA Datenschutzexperten stehen Ihnen bei Fragen sowie beim erforderlichen Screening und Überarbeitung Ihrer Verträge selbstverständlich gerne zur Verfügung.