Datenübermittlung an Drittstaaten inklusive der USA: Der EU-US-Privacy-Shield ist gefallen! Die Standardvertragsklauseln sind gerettet!

Der Europäische Gerichtshof hat am 16. Juli 2020 in der Rechtssache zu C-311/18 betreffend ein Vorabentscheidungsersuchen im Verfahren Data Protection Commissioner gegen Facebook Ireland Ltd, Maximilian Schrems, vor dem High Court, Irland, entschieden:

 

1. Die Standardvertragsklauseln der Kommission bleiben gültig!

Der EuGH hat den Beschluss 2010/87/EU der Kommission vom 5. Februar 2010, mit welchen die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern als angemessene Garantien anerkannt wurden, „anhand der Art. 7, 8 und 47 der Charta der Grundrechte“ überprüft. Diese Prüfung „hat nichts ergeben, was seine Gültigkeit berühren könnte.“

Zur Begründung führt der EuGH insbesondere aus, dass dieser Beschluss wirksame Mechanismen vorsieht, „mit denen in der Praxis gewährleistet werden kann, dass die auf die Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in ein Drittland ausgesetzt oder verboten wird, wenn der Empfänger der Übermittlung diese Klauseln nicht einhält oder nicht einhalten kann.“

2. Der EU-US-Datenschutzschild ist gefallen!

Der EuGH hat den Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt!

Artikel 1 Abs. 1 dieses Beschlusses lautet wie folgt:

„Im Sinne von Artikel 25 Absatz 2 der Richtlinie 95/46/EG gewährleisten die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds aus der Europäischen Union an Organisationen in den Vereinigten Staaten übermittelt werden.“

Der EuGH hat dazu ausgeführt, der im Beschluss genannte Ombudsmechanismus hat

„keinen Rechtsweg zu einem Organ, das den Personen, deren Daten in die Vereinigten Staaten übermittelt werden, Garantien böte, die den nach Art. 47 der Charta erforderlichen Garantien der Sache nach gleichwertig wären. …

Daraus folgt, dass Art. 1 des DSS-Beschlusses mit Art. 45 Abs. 1 der DSGVO, ausgelegt im Licht der Art. 7, 8 und 47 der Charta, unvereinbar und somit ungültig ist.

Da Art. 1 des DSS-Beschlusses untrennbar mit dessen Art. 2 bis 6 sowie dessen Anhängen verbunden ist, führt seine Ungültigkeit zur Ungültigkeit des gesamten Beschlusses.“

Vorweg hatte der EuGH dazu klargestellt:

  • Eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer fällt in den Anwendungsbereich der DSGVO.
  • Die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, müssen hinsichtlich geeigneter Garantien, durchsetzbarer Rechte und wirksamer Rechtsbehelfe ein Schutzniveau genießen, das jenem der DSGVO gleichwertig ist. Dies gilt auch für einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten.
  • Die gemäß DSGVO zuständige Aufsichtsbehörde ist verpflichtet, eine auf Standarddatenschutzklauseln der Kommission gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden (können) und dass der erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann. Dies gilt nicht, wenn ein gültiger Angemessenheitsbeschluss der Kommission vorliegt.

 

3. Praktische Auswirkungen dieser Entscheidung für die Übermittlung personenbezogener Daten in Drittländer, speziell in die USA:

A) Der EU-US-Datenschutzschild bietet künftig keine Grundlage mehr für die Übermittlung personenbezogener Daten in die USA.

B) Verantwortliche und Auftragsverarbeiter können sich bei Übermittlungen an Drittländer und an Internationale Organisationen weiterhin auf die Standardvertragsklauseln der EU-Kommission stützen.

      •  TIPP: Bei Übermittlungen in die USA auf Basis von Standardvertragsklauseln kann ein Compliance-Risiko nicht ausgeschlossen werden.

 Der EuGH hat zu den Wirkungen der Ungültigerklärung des Privacy-Shield ausgeführt:

„Zu der Frage, ob die Wirkungen dieses Beschlusses aufrechtzuerhalten sind, um die Entstehung eines rechtlichen Vakuums zu vermeiden…, ist festzustellen, dass in Anbetracht von Art. 49 der DSGVO durch die Nichtigerklärung eines Angemessenheitsbeschlusses wie des DSS-Beschlusses jedenfalls kein solches rechtliches Vakuum entstehen kann. In dieser Vorschrift ist nämlich klar geregelt, unter welchen Voraussetzungen personenbezogene Daten in Drittländer übermittelt werden können, falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 der DSGVO vorliegt noch geeignete Garantien im Sinne ihres Art. 46 bestehen.“

Besonders im letzten Halbsatz scheint der EuGH hier davon auszugehen, dass mit der Aufhebung des Privacy Shield und den Hinweisen auf Zugriffe von US-Behörden auf die übermittelten personenbezogenen Daten Zweifel bestehen können, ob die Daten durch die Standardvertragsklauseln tatsächlich ausreichend geschützt werden können.

Eine ähnliche schwierige Compliance-Situation für die Verantwortlichen und Auftragsverarbeiter in der EU gab es bereits nach der Aufhebung von Safe-Harbour durch den EuGH am 6. Oktober 2015. Auch damals wurde aber letztlich eine politische Lösung gefunden, indem die USA mit dem nun aufgehobenen Privacy-Shield zusätzliche Garantien zum Schutz der übermittelten Daten gewährt haben. Der nunmehrige wirtschaftliche Druck sollte bald zu angemessenen weiteren Zugeständnissen und einer neuen Einigung mit der EU-Kommission führen. Auch damals haben die Datenschutzbehörden auf diese schwierige Compliance-Situation angemessen Rücksicht genommen.

      • TIPP: An Stelle von US-Anbietern (z.B. für Video-Konferenzen) sollten solche in der EU gewählt werden! Zumindest EU-Alternativen prüfen und bei Unmöglichkeit des Wechsels die Gründe dafür ausreichend dokumentieren und zumindest bestmögliche TOMs umsetzen.
      • TIPP: Besondere Vorsicht bei Übermittlung von sensiblen Daten!
      • TIPP: Erhöhte Risiken können Datenschutzfolgeabschätzungen erforderlich machen.

 C) Alternativ ist weiterhin auch eine Übermittlung an Drittländer inklusive der USA und internationale Organisationen gemäß Art 49 DSGVO zulässig, somit u.a. wenn:

      • vorherige ausdrückliche informierte Einwilligung des Betroffenen erteilt wurde oder
      • die Übermittlung für die Erfüllung eines Vertrages zwischen Betroffenem und Verantwortlichen oder für die Durchführung von vorvertraglichen Maßnahmen auf Antrag des Betroffenen erforderlich ist oder
      • die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrages, welchen der Verantwortliche mit einer anderen Person im Interesse des Betroffenen geschlossen hat, erforderlich ist, oder
      • die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist, oder
      • zum Schutz lebenswichtiger Interessen des Betroffenen oder anderer Personen, oder
      • in Einzelfällen zur Wahrung zwingender berechtigter Interessen des Verantwortlichen unter Sicherstellung geeigneten Garantien zum Schutz der Betroffenen.

Bei Übermittlungen gem. Art 49 DSGVO sind zusätzliche Einschränkungen sowie erweiterte Informations- und Dokumentationspflichten zu beachten.

Jede Haftung in Zusammenhang mit diesem Artikel wird ausgeschlossen. Dieser Artikel kann rechtliche Beratung für Ihren konkreten Fall nicht ersetzen.

Wir unterstütze Sie gern bei Ihren DS-rechtlichen Fragen:

RA Dr Markus Frank, LLM, CIPP/E

office@frank-law.at
www.frank-law.at

Datenübermittlung an Drittstaaten inklusive der USA: Der EU-US-Privacy-Shield ist gefallen! Die Standardvertragsklauseln sind gerettet! , letzte Aktualisierung: .

17.07.2020