Now loading.
Please wait.

menu

 DEUTSCH | ENGLISH | 中文 

Sie sind hier: Aktuelles / Mandanteninformationen  / detail

Mandanteninformation

Der Europäische Gerichtshof erklärt das EU/US- "Privacy Shield"-System für ungültig - Transfer von personenbezogenen Daten von der EU in die USA nur noch unter engen Voraussetzungen möglich

Mandanteninformation Datenschutz & Cyber Security - 


„Aktualisierung zu “Schrems II”/EU-US Privacy Shield: Deutsche Medien berichten, dass der EuGH erwartet, dass die Datenschutzbehörden seine „Schrems II“-Entscheidung umgehend umsetzen. Folglich können Unternehmen nicht damit rechnen, dass ihnen von den Behörden eine informelle Übergangsfrist eingeräumt wird. Sie sollten daher unverzüglich ihre Datentransfers in Nicht-EU-Länder überprüfen. In der aktualisierten Mandanteninformation zum Thema, die nun auf Deutsch und Englisch verfügbar ist, geben die Datenschutzexperten von #SZA einen kurzen Überblick zu der Entscheidung und darüber, was nun zu tun ist.“

I. Um was geht es?

Erlaubt die Datenschutzgrundverordnung ("DSGVO") die Übermittlung1 personenbezogener Daten aus der EU ("EU Personal Data") in die USA und wenn ja, unter welchen Umständen? Dies ist, in aller Kürze, die seit mehreren Jahren zwischen der irischen Datenschutzbehörde und Maximilian Schrems, einem österreichischen Staatsbürger, umstrittene Frage.

Mit Blick auf die Übertragung personenbezogener Daten von in der EU ansässigen Personen von der irischen Facebook-Tochtergesellschaft an Facebook Inc. in den USA im Rahmen des sozialen Netzwerks "Facebook" hatte der Europäische Gerichtshof ("EuGH") bereits das von der EU-Kommission ("Kommission") durch ihre Entscheidung 2000/520 geschaffene EU/US- "Safe Harbor"-System für nichtig erklärt und festgestellt, dass dieses keinen ausreichenden Schutz für  personenbezogene Daten aus der EU bietet (Urt. v. 6.10.2015, Az. C-362/14 – "Schrems I").

Unter dem Eindruck dieses Urteils ersetzte die Kommission das "Safe Harbor"-System durch die Schaffung des so genannten "Privacy Shield", der besagt, dass ein angemessenes Schutzniveau für aus der EU in die USA übermittelte personenbezogene Daten besteht, wenn das empfangende Unternehmen die im "Privacy Shield" festgelegten Voraussetzungen erfüllt (Entscheidung der Kommission 2016/1250). Da diese Voraussetzungen im Wesentlichen auf der Selbstbeschränkung und - kontrolle des empfangenden (privaten) Unternehmens in den USA beruhten und für die USBehörden in keiner Weise bindend waren, wurde von Anfang an bezweifelt, ob der "Privacy Shield" den vom EuGH in "Schrems I" an den hinreichenden Schutz personenbezogener Daten aus der EU in den USA gestellten Anforderungen genüge. Insbesondere die unverändert bestehenden, weitgehenden Möglichkeiten der US-Geheimdienste und -Sicherheitsbehörden, Zugang zu solchen Daten zu erhalten oder deren Herausgabe von den Empfängern in den USA zu verlangen, ohne dass betroffenen Personen aus der EU hiergegen wirksame Rechtsmittel zustehen, erschienen problematisch.

II. Das Ende des "Privacy Shield" - und des Transfers von personenbezogenen Daten aus der EU in die USA?

In einer mit Spannung erwarteten Entscheidung hat der EuGH nun entschieden, dass auch der "Privacy Shield" nach EU-Recht unwirksam ist. Er genügt nicht, um das Schutzniveau für personenbezogene Daten aus der EU in den USA im Vergleich zu dem nach der DSGVO gewährten Schutz auf ein angemessenes Niveau zu heben (Entscheidung vom 16.7.2020 - C- 311/18 - "Schrems II"). Und obwohl der EuGH betätigte, dass die Verwendung von Standardvertragsklauseln ("SCC")2, die von der Kommission herausgegeben wurden, immer noch ausreichen kann, um eine Übermittlung personenbezogener Daten aus der EU in Rechtsordnungen außerhalb der EU zu ermöglichen, stellte der EuGH implizit fest, dass dies  nicht für die USA gilt: Denn vor dem Hintergrund der Ausführungen des EuGH in Bezug auf die Ungültigkeit des Datenschutzschildes kann nicht davon ausgegangen werden, dass die US-Behörden die in SCC festgelegten Beschränkungen  respektieren würden. Da die gleiche Argumentation wahrscheinlich auch für das weitere Instrument der sog. "Binding Corporate Rules" gelten würde3, das dazu dient, den Austausch personenbezogener Daten innerhalb von Unternehmensgruppen zu erleichtern, erscheint nun auch sehr zweifelhaft, ob diese noch die Übermittlung personenbezogener Daten aus der EU in die USA rechtfertigen könnten – selbst wenn das Schrems-II-Urteil zu dieser – dort nicht streitgegenständlichen – Frage schweigt.4

Somit dürfte als einzige Möglichkeit, personenbezogene Daten aus der EU nach der DSGVO rechtmäßig in die USA zu übermitteln, Art. 49 DSGVO sein, dessen enger Katalog an Ausnahmetatbeständen aber aus praktischer Sicht seine Tücken hat (siehe unten Punkt 3).

III. Was sollten Unternehmen, die personenbezogene Daten aus der EU in die USA übermitteln wollen, jetzt tun?

Die Unwirksamkeit des „Privacy Shield“ gilt ohne Übergangsfrist sofort; es ist noch nicht ersichtlich, ob die Datenschutzbehörden der Mitgliedsstaaten Unternehmen eine Übergangsfrist gewähren – wie seinerzeit nach Schrems I5–werden. Dagegen spricht, dass dem Vernehmen nach der EuGH hinter den Kulissen den Behörden signalisiert hat, dass er eine unmittelbare Umsetzung des Urteils erwartet.6 Folglich sollten Unternehmen, die personenbezogene Daten aus der EU in die USA übermitteln, ihre Situation umgehend sorgfältig analysieren und gegebenenfalls Anpassungen in ihren betrieblichen Abläufen vornehmen. Die folgenden ersten Schritte könnten in einem solchen Prozess hilfreich sein, in den der Datenschutzbeauftragte frühzeitig einbezogen werden sollte:

  • Überprüfung der Übermittlung von personenbezogenen Daten aus der EU an die USA: Wo und in welchem Umfang erfolgt eine Übermittlung von personenbezogenen Daten aus der EU in die USA im Rahmen der Geschäftstätigkeit, (i)  innerhalb des Unternehmens oder der Unternehmensgruppe und/oder (ii) in Bezug auf die vom Unternehmen oder der Unternehmensgruppe in Anspruch genommenen Dienstleister?
  • Kann eine solche Übertragung nach Art. 49 DSGVO gerechtfertigt sein? Es sollte für jeden Übermittlungsprozess personenbezogener Daten aus der EU in die USA geprüft werden, ob eine solche Übermittlung unter eine der in Artikel  49 DSGVO vorgesehenen Ausnahmen fällt. Nach dieser Bestimmung ist die Übermittlung personenbezogener Daten aus der EU in die USA insbesondere zulässig, wenn
  • lit. a: Die betroffene Person ausdrücklich in die  vorgeschlagene Übermittlung eingewilligt hat (nachdem sie ordnungsgemäß darüber informiert wurde, dass ihre personenbezogenen Daten bei einer solchen Übermittlung deshalb möglichen Risiken ausgesetzt wären, weil in den USA kein angemessenes Datenschutzniveau besteht und keine geeigneten Garantien für die Datensicherheit bestehen);

Auch wenn es den Rahmen dieser Informationen sprengen würde, dies näher zu erörtern, sei darauf hingewiesen, dass eine wirksame Einwilligung nach der DSGVO schwer zu erlangen ist und von der betroffenen Person jederzeit frei widerrufen werden kann; darüber hinaus setzt eine wirksame Einwilligung im Allgemeinen voraus, dass die betroffene Person über alle Umstände der (beabsichtigten) Verwendung der betreffenden Daten ordnungsgemäß informiert wird.

  • lit. b, c: die Übermittlung ist erforderlich für die Erfüllung eines Vertrags (i) zwischen der betroffenen Person und der verantwortlichen Stelle oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person getroffen werden, oder (ii) die Übermittlung ist erforderlich für den Abschluss oder die Erfüllung eines Vertrags, der im Interesse der betroffenen Person zwischen dem für die Verarbeitung Verantwortlichen und einer anderen natürlichen  oder juristischen Person geschlossen wurde;

Diese Ausnahmen sind weniger weitgehend, als es auf den ersten Blick scheint. Sie beschränken sich auf die Übermittlung personenbezogener Daten, die für die Anbahnung bzw. Erfüllung eines Vertrages als solchem erforderlich sind. Dies wird z.B. im Hinblick auf Werbung im Zusammenhang mit einem bestehenden Vertrag nicht der Fall sein und ist im Hinblick auf die Verwaltung der Unternehmensgruppe zumindest zweifelhaft (z.B. Übermittlung von Arbeitnehmerdaten aus der EU-Tochtergesellschaft, die der Arbeitgeber einer betroffenen Person ist, an die Muttergesellschaft in den USA). Im Hinblick auf den besonders relevanten Bereich der "Social Media"-Dienste dürfte es zudem sehr schwierig zu bestimmen sein, welche Übermittlung von personenbezogenen Daten aus der EU in die USA für die Erfüllung des jeweiligen "Social Media"-Vertrags notwendig ist und welche nicht.
und

  • lit. e: Die Übertragung ist für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

Die anderen möglichen Rechtfertigungsgründe (Übermittlung aus wichtigen Gründen des öffentlichen Interesses, Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen, wenn die betroffene Person nicht einwilligungsfähig ist, Übermittlung aus öffentlichen Registern, Art. 49 Abs. 2 lit. d, f, g DSGVO) werden für die meisten Unternehmen wenig relevant sein.

 

  • Falls keiner dieser Rechtfertigungsgründe greift: Kann die Übertragung vermieden werden? Wenn es nicht möglich ist, unter den genannten Bestimmungen eine Übermittlung personenbezogener EU-Daten in die USA zu rechtfertigen,  sollte eine solche Übermittlung vermieden werden, z.B. durch Verlagerung der Verarbeitung personenbezogener EU-Daten von den USA in die EU oder durch Verschlüsselung oder Anonymisierung der fraglichen Daten (was jedoch in der Regel technisch sehr schwierig ist).7

Dieser Überprüfungs- und Anpassungsprozess sollte mit hoher Dringlichkeit behandelt werden: Jegliche Weitergabe von personenbezogenen Daten aus der EU, die nach der DSGVO illegal ist, würde mit Geldstrafen von bis zu 40 Mio. EUR oder 4 % des weltweiten Jahresumsatzes des Unternehmens geahndet, je nachdem, welcher Betrag höher ist.


IV. Ausblick

Es bleibt abzuwarten, wie die politischen Entscheidungsträger in der EU und den USA auf das Schrems II-Urteil reagieren werden. Da es für die Wirtschaft in beiden Jurisdiktionen von großer Bedeutung ist, dass die Übermittlung personenbezogener Daten von der EU an die USA relativ einfach möglich ist, ist zu hoffen, dass kurzfristig eine – nunmehr tragfähige – Lösung ausgehandelt wird. Abgesehen von den weiteren Unsicherheiten, die mit einem solchen Prozess verbunden sind, dürfte eine notwendige Voraussetzung jedoch darin bestehen, dass die US-Behörden sich verpflichten, wirksame Schutzmaßnahmen für personenbezogene Daten aus der EU nach US-Recht einzuführen und zu respektieren. Am Ende des Tages könnte dies in einer globalen Perspektive entweder den großen Durchbruch für das Datenschutzkonzept der EU bedeuten – oder, im Falle eines Scheiterns, den Anfang von dessen Ende.

 

Und andere Verarbeitung personenbezogener Daten aus der EU in den USA.
Kommissionsentscheidungen 2001/497, 2004/915 und 2010/87; siehe auch Art. 46 Abs. 2 lit. c DSGVO.
3 Siehe Art. 46 Abs. 2 lit. b, 47 DSGVO.
4 Andere mögliche Instrumente für eine solche Übertragung, die in Art. 46 Abs. 2 DSGVO erscheinen ebenfalls nicht erfolgversprechend, da sie entweder nur zwischen Behörden anwendbar sind (lit. a) oder zumindest die Frage der Einmischung der US-Behörden in Bezug auf in die USA übermittelte Personendaten aus der EU bestehen bleibt (lit. d, e, f).
5 Vgl. Statement der Artikel-29-Datenschutzgruppe v. 16.10.2015.
Vgl. den Beauftragten für Datenschutz und Informationssicherheit Baden-Württemberg, Brink, in einem Interview in der FAZ vom 20.7.2020, S. 4.
Vgl. zu den beschränkten Möglichkeiten der hinreichenden Verschlüsselung von Daten auch den Beauftragten für Datenschutz und Informationssicherheit Baden-Württemberg, Brink, in einem Interview in der FAZ vom 20.7.2020, S. 4.

Diese Mandanteninformation beinhaltet lediglich eine unverbindliche Übersicht über das in ihr adressierte Themengebiet. Sie ersetzt keine rechtliche Beratung. Als Ansprechpartner zu dieser Mandanteninformation und zu Ihrer Beratung stehen gerne zur Verfügung:

Dr. Thomas Nägele
Dr. Simon Apel
Alexander Stolz
Dr. Steffen Henn

DATEIEN:
20-07-17_SZA_Mandanteninformation_PrivacyShield_dt.pdf 242 KB