Blog

Schrems II: Wie steht es jetzt um Datentransfers in das Ausland?

van_portraits_840x840px_02_dehaan.png Lynn de Haan

September 2020

Lesedauer: Min

Das Urteil des EuGH vom 16. Juli 2020 und seine praktischen Auswirkungen

Nicht nur Corona zwingt im Jahr 2020 viele deutsche und europäische Unternehmen zum Umdenken. Auch der Europäische Gerichtshof hat mit seiner Entscheidung zum US/EU Privacy Shield für einen Effekt gesorgt, der so manchem Geschäftsführer und Datenschutzexperten die Schweißperlen auf die Stirn treibt. Aber bedeutet die Entscheidung des Europäischen Gerichtshofes zur Unwirksamkeit „Privacy Shield“ wirklich das Ende der Zusammenarbeit und des Datenaustausches zwischen europäischen und US-amerikanischen bzw. anderen Unternehmen außerhalb der EU? Wie verhalten sich die Datenschutzbehörden?

Die Entscheidung des Europäischen Gerichtshof
Der EuGH hat in seinem Urteil vom 16. Juli (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt, da die Möglichkeiten von amerikanischen Behörden auch auf Daten von Nicht-US-Bürgern Zugriff zu nehmen, nicht auf ein Maß reduziert ist, das dem europäischen Schutzniveau entspricht. Außerdem stellt der EuGH in seinem Urteil klar, dass die USA keinen ausreichenden gerichtlichen Rechtsschutz für Nicht-US-Bürger bieten, die gegen die Verarbeitung ihrer personenbezogenen Daten vorgehen wollen. Die Einrichtung lediglich einer Ombudsstelle und darüber hinaus weitere tatsächliche Schwierigkeiten bei der gerichtlichen Durchsetzung von Ansprüchen (Stichwort Klagebefugnis) führt dazu, dass das Schutzniveau beim Datenschutz wesentlich geringer ist, als das Schutzniveau in der Europäischen Union.

In Zukunft wird es daher nicht mehr möglich sein, dass sich amerikanische Unternehmen nach Privacy Shield zertifizieren lassen und dieses nutzen, um damit den europäischen Datenexporteuren ein ausreichendes Datenschutzniveau nachzuweisen. Der EuGH geht aber (leider) noch weiter: Zwar lässt er eine Übermittlung personenbezogener Daten in die USA und andere Drittländer auf der Grundlage der bekannten EU-Standardvertragsklauseln weiterhin zu. Zugleich betont das Gericht jedoch, dass der Verantwortliche und der Empfänger der Daten auch dabei sicherstellen müssen, dass das vertraglich zugesicherte Schutzniveau auch tatsächlich (zum Beispiel auch durch die Behörden des Landes des Empfängers, also z.B. in den USA) eingehalten wird. Dies gilt genauso für anderen Mechanismen/Garantien zum Datenschutz, die zwischen Unternehmen getroffen werden („binding corporate rules“). Kurzum: Der Europäische Gerichtshof lässt das bloße Versprechen von Sicherheitsstandards nicht genügen, sondern will, dass die Daten der EU-Bürgerinnen durch tatsächliche (z.B. technische oder organisatorische Hindernisse) hinreichend vor dem Zugriff durch Behörden geschützt werden.  

Wen betrifft diese Entscheidung?
Diese Entscheidung betrifft primär alle Unternehmen mit Standorten in Europa, die personenbezogene Daten in die USA übermitteln, z.B. weil sie Personaldaten ihrer Mitarbeiter oder Kunden in Datenbanken in den USA speichern, weil sie auf europäische Personaldatenbanken aus den USA zugreifen oder weil sie E-Mail Server oder andere Systeme (z.B. Cloudsysteme) in den USA hosten, die von europäischen Mitarbeitern genutzt werden. Sie betrifft aber angesichts der weiteren Ausführungen des EuGH auch Unternehmen aus Ländern, die per se kein der EU vergleichbares Datenschutzniveau bieten und für den internationalen Datentransfer daher EU-Standardvertragsklauseln oder andere Mechanismen.

Aktuell stehen bereits die Unternehmen Google und Facebook im Mittelpunkt der Diskussion. Nach der Verkündung des Urteils des EuGH hatte die Nicht-Regierungsorganisation noybNon-of-your-business Beschwerde bei verschiedenen Aufsichtsbehörden (darunter auch deutsche Landesdatenschutzaufsichtsbehörden) hinsichtlich der Übermittlung personenbezogener Daten durch Google Analytics und Facebook Connect eingereicht.  

Wie geht es jetzt weiter und wie ist die Position der Behörden?
Zwar hat der EuGH in seinem Urteil besonders die Verantwortung des Verantwortlichen und des Empfängers personenbezogener Daten hervorgehoben. Ziel ist es aber, eine für alle europäischen Länder und Unternehmen möglichst einheitliche Lösung für die neuen Herausforderungen zu finden. Die europäischen und deutschen Datenschutzbeauftragen arbeiten mit Hochdruck daran, verbindliche und praktikable Empfehlungen für Unternehmen herauszugeben. Zum jetzigen Zeitpunkt existiert ein Dokument des European Data Protection Board zu den sogenannten „FAQs“. Darin kündigt das European Data Protection Board (Europäischer Datenschutzausschuss EDSA) an, derzeit die rechtlichen, technischen und/oder organisatorischen Maßnahmen zu prüfen, die zusätzlich zu der Verwendung von Standardvertragsklauseln ergriffen werden müssen, um weiterhin Daten in Drittländer (insbesondere die USA) übermitteln zu können. Hierzu wird demnächst also eine Orientierungshilfe herausgegeben werden, die man berücksichtigen sollte.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verweist zum jetzigen Zeitpunkt (nur) auf die vom EDSA veröffentlichten „FAQs“ und hat noch keine eigene Orientierungshilfe oder Leitlinie herausgegeben. Vereinzelt haben sich jedoch einige Landesbehörden zum Datenschutz (Baden-Württemberg, Berlin, Hamburg, Rheinland-Pfalz, Thüringen) ebenfalls zu dem Urteil geäußert, wobei Baden–Württemberg sogar eine erste Orientierungshilfe veröffentlichte. Die dort vorgeschlagenen Maßnahmen sollen an dieser Stelle lediglich genannt werden, um einen ersten Eindruck zu vermitteln, in welche Richtung die Orientierungshilfen des EDSA und des BfDI gehen können. Es handelt sich hierbei noch nicht um eine abschließende oder verbindliche Leitlinie, die durch die Unternehmen umgesetzt werden sollte. Zu den vorgeschlagenen Maßnahmen gehören:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann

  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann

Diese Maßnahmen sind unseres Erachtens nicht für alle Fälle passend und ausreichend.

Fazit und Empfehlung:
Es bleibt abzuwarten und zu beobachten, welche konkreten Maßnahmen der EDSA und der BfDI zur Sicherung des europäischen Datenschutzniveaus bei einer Übertragung von personenbezogenen Daten in Drittstaaten vorschlagen wird.

Neben den von den Behörden derzeit diskutierten Maßnahmen müssen u.E. folgende Maßnahmen beachtet werden:

Bei Verwendung von EU-Standardvertragsklauseln:

  • Prüfung Risiken eines Zugriffs auf Daten durch Sicherheitsbehörden und

  • Etablierung und Vereinbarung zusätzlicher Pflichten des Datenempfängers gegenüber Datenexporteur zur Meldung, Abstimmung im Falle eines und Verteidigung gegen einen Datenzugriff durch Behörden oder Dritte

Im Übrigen:

  • Prüfung Rückverlagerung Datenverarbeitung in die EU

Ein Ende der Geschäftsbeziehungen zwischen Europa und den USA droht jedenfalls nicht. Es werden sich Mittel und Wege finden, die den Austausch von personenbezogenen Daten weiterhin ermöglichen, zumindest dann, wenn sich die USA bereit erklären, das hohe Datenschutzniveau der Europäer zu respektieren. Sicher ist jedenfalls, dass das Jahr 2020 schon jetzt einige Überraschungen für europäische Unternehmen bereitgehalten hat, die das zukünftige Handeln vieler Unternehmen hoffentlich positiv beeinflussen werden.