Die lange erwartete Entscheidung des EUGH zum EU-US-Privacy Shield ist erwartungsgemäß ausgefallen: Das EU-US-Privacy Shield - Abkommen stellt kein angemessenes datenschutzrechtliches Schutzniveau bereit. Wir hatten seit bestehen des EU-US-Privacy Shield in diese Richtung beraten und unseren Mandanten abgeraten, ihre Datenverarbeitungen auf das EU-US-Privacy Shield zu stützen.

Hintergrund

Die DSGVO sieht ein einheitliches Datenschutzniveau nur innerhalb der EU als gewährleistet an. Sollen personenbezogene Daten die EU verlassen, zum Beispiel weil die genutzte Cloud auf US-Servern liegt, muss dort ein Datenschutzniveau entsprechend den EU-DSGVO-Standards gewährleistet werden.

Die EU-Kommission hat durch die DSGVO das Recht festzustellen, die rechtlichen Regelungen eines anderen Staats erfüllten dies. Der Europäische Gerichtshof (EuGH) hat aber das Recht, diesen Angemessenheitsbeschluss zu prüfen.

EU-US-Privacy Shield

Die EU hat mit den USA das EU-US-Privacy Shield-Abkommen geschlossen und die EU-Kommission hatte festgestellt, wenn US-Unternehmen die Bedingungen dieses Abkommens einhalten, dürften die Daten in den USA verarbeitet werden. US-Unternehmen mussten sich hierfür speziell registrieren.

Weitere vertragliche Vereinbarungen zwischen dem US-Unternehmen und dem EU-Unternehmen waren nicht mehr erforderlich. Das System war somit besonders leicht zu handhaben.

Von Anfang gab es Kritik, da das EU-US-Privacy Shield-Abkommen die Daten nicht wirksam vor US-Behördenzugriff schützte, keine ausreichenden Rechtsbehelfe bestanden und generell das EU-US-Privacy Shield-Abkommen viel zu komplex war, so dass EU-Bürger faktisch keinen Rechtsschutz in den Vereinigten Staaten erhalten konnten. Diese Kritik baute auf dem Vorläufer zum EU-US-Privacy Shield-Abkommen auf, dem Safe-Harbour-Abkommen zwischen der EU und den USA, welches vom EuGH bereits vor einigen Jahren für ungültig erklärt wurde.

EUGH-Entscheidung

Mit Urteil vom 16.07.2020 hat der EuGH die Kritik nun aufgenommen. Die Urteilsgründe liegen noch nicht allgemein vor, aber die Pressemitteilung gibt bereits Auskunft über die tragenden Gründe.

Der EuGH knüpft seine Kritik zunächst daran an, dass die amerikanischen Rechtsvorschriften über Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Sie genügen somit nicht den EU-Vorstellungen der Verhältnismäßigkeit. Die betreffenden US-Vorschriften hinsichtlich bestimmter Überwachungsprogramme lassen in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen oder für die EU-Daten Schutzgarantien enthalten würden.

Der Gerichtshof fügt hinzu, dass selbst dort, wo die Vorschriften Anforderungen enthalten, den betroffenen Personen keine Rechte verliehen würden, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden könnten. Der im EU-US-Privacy Shield vorgesehene Ombudsmann-Mechanismus eröffnet den Betroffenen in den USA keinen Rechtsweg mit dem die Betroffenen gleichwertige Garantien wie in der EU durchsetzen könnten. Es fehlt sowohl an Garantien zur Unabhängigkeit des Ombudsmanns als auch an US-Mechanismen, dass der Ombudsmann gegenüber US-Geheimdiensten verbindliche Entscheidungen treffen könnte.

Der Angemessenheitsbeschluss zum EU-US-Privacy Shield wurde daher für ungültig erklärt. Das EU-US-Privacy Shield kann daher keine Rechtsgrundlage für einen Datentransfer von Daten aus der EU in die USA sein. Eine Übergangsfrist ist nicht eingeräumt, so dass derartige Datentransfers ohne ausreichende Rechtsgrundlage spätestens ab sofort zu unterlassen sind, sofern sich keine andere Rechtsgrundlage findet.

Wie geht es weiter?

Der EuGH hatte zugleich über die sogenannten Standardvertragsklauseln zu entscheiden.

Die EU hatte schon vor Jahren begonnen Vertragsmuster zu veröffentlichen. Diese Muster sehen schriftliche Verträge zwischen den EU-Unternehmen und dem Nicht-EU-Unternehmen betreffend die Datenverarbeitung des Nicht-EU-Unternehmens vor. Die Verträge dürfen nur an einigen Stellen ausgefüllt, aber im Übrigen nicht abgeändert werden und sind recht lang. Mit den Standardvertragsklauseln weist der EU-Unternehmen das Nicht-EU-Unternehmen an, die Datenverarbeitung in bestimmter Art und Weise durchzuführen, so dass eben das europäische Datenschutzniveau auch bei der Datenverarbeitung außerhalb der EU gewährleistet wird.

Die Angemessenheit des Datenschutzniveaus, was über die Standardvertragsklauseln erreicht wird, wurde vom EUGH gebilligt. Hierauf werden sich jetzt aktuell viele Unternehmen stützen wollen, die Daten in den USA verarbeiten lassen.

Aber

Der EuGH hat zu den Standardvertragsklauseln auch betont, dass diese ernst genommen werden müssen. Die Klauseln sehen vor, dass EU-Unternehmen und Nicht-EU-Unternehmen vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem EU-Unternehmen gegebenenfalls mitteilen muss, wenn er die Standardvertragsklauseln nicht einhalten kann, woraufhin der Datenexporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Es erscheint fraglich, wie man angesichts der US-Gesetzgebung mit den nicht ausreichend eingeschränkten Geheimdienstrechten, die zur Unwirksamkeit des EU-US-Privacy Shield führten, seitens der beteiligten Unternehmen ein ausreichendes Schutzniveau in den USA feststellen will.

Es bleiben somit wohl nur die Möglichkeiten nach Art. 49 DSGVO, um eine Datenverarbeitung in den USA zu rechtfertigen, solange die United Staates of America ihr Datenschutzrecht nicht nachbessern.

Nachtrag

Das Urteil ist nunmehr verfügbar.

Die Ausführungen stellen erste Informationen dar, die zum Zeitpunkt der Erstveröffentlichung aktuell waren. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.

Experten finden