EuGH-Urteil zum Privacy Shield und EU-Standartvertragsklauseln

Nach dem Urteil des EuGH vom 16.07.2020 (Az.: C-311/18) ist klar: Der Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield aus dem Jahr 2016 wird für ungültig erklärt.  Was das bedeutet und wie sich der EuGH zu den Standardvertragsklauseln geäußert hat, soll in diesem Artikel erklärt werden.

Nachdem das irische High Court dem EuGH u.a. die Frage vorgelegt hatte, inwieweit die Garantien für die Übermittlung personenbezogener Daten in ein Drittland durch das US-Privacy Shield und die EU-Standardvertragsklauseln ausreichend Schutz bieten und dadurch ein gleichwertiges Datenschutzniveau wie in der EU hergestellt wird, hat der EuGH nun seine Entscheidung getroffen.

Da personenbezogene Daten, welche aus der EU in die USA übermittelt werden möglichweise dem Zugriff von US-Sicherheitsbehörden ausgesetzt werden - sei es aus «Gründen der nationalen Sicherheit» oder aus anderen Gründen -, liegt ein Eingriff in die Grundrechte der EU-Bürger vor, der nicht gerechtfertigt werden kann. Der EuGH hat das US-Privacy Shield als Nachfolger des vormals gekippten Safe Harbor Abkommens daher für ungültig erklärt.

Neben dem Eingriff an sich, begründet der EuGH seine Entscheidung auch mit der Tatsache, dass den betroffenen EU-Bürgern deren Daten in den USA verarbeitet werden, Betroffenenrechte wie sie die DSGVO vorsieht, z.B. dem Recht auf Auskunft oder Löschung, gerade nicht zustehen und ein effektiver Rechtsschutz daher nicht möglich ist.

Zwar gibt es die im Privacy Shield eingerichtete «Ombudsperson», aber genügend Kontroll-, oder Weisungsbefugnisse gegenüber den US-Sicherheitsbehörden habe diese nicht.

Zudem sieht das Gericht die Überwachungsprogramme und Maßnahmen der US-Sicherheitsbehörden auch als unverhältnismäßig an. Womöglich ließ sich der EuGH hier auch von dem Verhältnismäßigkeitsgrundsatz der DSGVO leiten, als einem der wesentlichen Grundpfeiler der DSGVO.

Von der Entscheidung des EuGH nicht unmittelbar betroffen sind die EU-Standardvertragsklauseln (Art. 45 ff. DSGVO), welche gültig bleiben sollen. EU-Standardverträge behalten zwar ihre Gültigkeit, müssen aber angepasst werden gerade im Bereich der Datenübermittlung in Drittländer.

Obwohl die oben genannten Risiken für die Sicherheit von personenbezogenen Daten auch hier bestehen, bieten die Standardvertragsklauseln zumindest Schutzmöglichkeiten, welche zudem im Bedarfsfall erweitert werden können. Bei den Standardvertragsklauseln muss zudem keine Angemessenheitsentscheidung hinsichtlich der Frage getroffen werden, ob die bestehenden (hier US-) Gesetze angemessen genug sind, um möglichen Überwachungsmaßnahmen von US-Sicherheitsbehörden Einhalt zu bieten, weil diese im Vergleich zum US-Privacy Shield nicht alle Garantien bei der Übermittlung in ein Drittland enthalten oder enthalten müssen.

Da die Angemessenheitsentscheidung nunmehr für ungültig erklärt wurde, müssen Verantwortliche für den Datenschutz - also all jene die über Zweck und Mittel der Datenverarbeitung entscheiden – anderweitige ausreichende Schutzmaßnahmen ergreifen, um die Datensicherheit zu gewährleisten und den Pflichten der DSGVO zu genügen, sei es durch die Verwendung der EU-Standardvertragsklauseln, welche gegebenenfalls erweitert werden müssen oder auf individualvertraglichem Wege.

Dazu gehöre auch die Verpflichtung der Verantwortlichen einzelfallbezogen zu überprüfen, ob die Datenempfänger diesen Pflichten aus den Standardvertragsklauseln auch nachkommen können oder diesen Gesetze des jeweiligen Bundesstaates entgegenstehen, bevor eine Übermittlung erfolgen darf, so der EuGH. Sollte gerade das der Fall sein, müssten die für den Verantwortlichen zuständigen Datenschutzaufsichtsbehörden in Kenntnis gesetzt werden, welche den Fall wiederum eigenständig prüfen und bewerten.

So sieht es auch der Landesbeauftragte für Datenschutz Rheinland-Pfalz der hierfür eine Zwei-Stufen-Prüfung empfiehlt. In einem ersten Schritt soll zunächst überprüft werden, ob ungeachtet der Voraussetzungen der Art. 45 ff. DSGVO an die Übermittlung von Daten in Drittländer, auch alle weiteren Anforderungen der DSGVO für die konkrete Datenverarbeitung eingehalten werden (1.Stufe). Bejahendenfalls sollte in einem zweiten Schritt nun geprüft werden, ob die spezifischen Voraussetzungen der Art. 45 ff. DSGVO eingehalten werden.

Letztlich gilt seit dem Urteil des EuGH vom 16.07.2020 daher einerseits, dass Verantwortliche und Auftragsverarbeiter personenbezogene Daten nicht mehr auf der Grundlage des Privacy Shields in die USA übermitteln dürfen und Verantwortliche verpflichtet sind, oben genannte Garantien zu schaffen, auch wenn dies womöglich mit großem Aufwand verbunden ist.

Marc E. Evers

Rechtsanwalt

zert. Datenschutzbeauftragter

zert. Datenschutz-Auditor