Datenschutz: EuGH bestätigt EU-Standardvertragsklauseln, verwirft jedoch den EU-US-Privacy Shield

Unternehmen, die die Übertragung personenbezogener Daten an Empfänger in Drittstaaten auf EU-Standardvertragsklauseln (SCCs) stützen, um sicherzustellen, dass dort europäischen Datenschutzstandards entsprochen wird, sind durch das EuGH-Urteil vom 16. Juli 2020 dazu angehalten, in Zukunft strenger darauf zu achten, ob die SCCs auch tatsächlich eingehalten werden, so die Datenschutz-Experten Andreas Carney und Jonathan Kirsop von Pinsent Masons, der Kanzlei hinter Out-Law.

Die SCCs sind von der EU vorformulierte Verträge. Unternehmen können sie nutzen, wenn sie personenbezogene Daten an Empfänger in Ländern außerhalb des Europäischen Wirtschaftsraums (EWR), sogenannte Drittstaaten, übertragen, wobei eine Offenbarung solcher Daten einer Übertragung gleichkommt. SCCs sollen sicherstellen, dass den personenbezogenen Daten in solchen Ländern ein ähnlicher Schutz zukommt wie im EWR. Unternehmen sind gemäß Datenschutzgrundverordnung (DSGVO) dazu verpflichtet, das zu gewährleisten. Ausgenommen sind lediglich Übertragungen in solche Drittstaaten, denen die EU-Kommission ein angemessenes Datenschutzniveau ausdrücklich bescheinigt hat, wie etwa im Fall der Schweiz oder Japans.

Das Urteil verpflichte viele Unternehmen dazu, ihre Vorkehrungen für die Übertragung personenbezogener Daten ins Ausland zu überprüfen, insbesondere, wenn es dabei um Übertragungen in die USA gehe, so Datenschutz-Expertin Kirsten Wolgast von Pinsent Masons. Das gelte auch deshalb, weil der EuGH zudem entschieden hat, dass der EU-US-Privacy Shield ungültig ist.

Der Privacy Shield ist ein Abkommen zwischen der EU und den USA auf dem Gebiet des Datenschutzrechts, unter dem sich US-Unternehmen zertifizieren lassen können. Eine solche Zertifizierung soll sicherstellen, dass personenbezogene Daten beim US-Empfänger den europäischen Datenschutzstandards entsprechend geschützt sind.

„Das Urteil des EuGH ist eine gute Nachricht für Unternehmen, die sich auf SCCs verlassen, um personenbezogene Daten aus ihren Betrieben in Europa rechtmäßig zu übertragen“, so Carney. Zweifel an deren Gültigkeit seien nun ausgeräumt.

Allerdings hat das Gericht klargestellt, dass Unternehmen, die sich beim Export von Daten auf SCCs stützen, überprüfen müssen, ob das Schutzniveau, das die SCCs auferlegen, in den Rechtsordnungen, in die die Daten übermittelt werden, auch tatsächlich eingehalten werden kann. Der EuGH weist in diesem Zusammenhang besonders auf die Notwendigkeit hin, Gesetze in der nationalen Gesetzgebung des Datenimporteurs zu berücksichtigen, die den dortigen Behörden den Zugriff auf die übertragenen Daten ermöglichen.

Wenn die im Rahmen der Standardvertragsklauseln gewährten Schutzmaßnahmen de facto nicht gewährleistet werden können, müsse der Datenexporteur zusätzliche Maßnahmen in Betracht ziehen oder die Datenübertragung vollständig aussetzen oder beenden.

„Dies stellt Unternehmen in der Praxis vor große Herausforderungen und relativiert den positiven Aspekt des Urteils, die grundsätzliche Bestätigung der SCCs, durchaus. Die Datenexporteure sollen sich nach der Vorstellung des Gerichts mit der Frage befassen, unter welchen Umständen nationale Behörden im Land des Datenimporteurs auf die Daten zugreifen können – und ob die entsprechenden Regelungen mit den Grundsätzen der DSGVO in Einklang zu bringen sind. Eine Unterstützung der Datenexporteure durch die Datenimporteure dürfte bei diesem Punkt essentiell sein“, so Wolgast.

Im Fall der USA komme allerdings hinzu, dass das Ergebnis einer Prüfung nationaler Regelungen des Datenimporteurs bereits festzustehen scheint. Nach weit verbreiteter, vom EuGH und vielen Datenschutz-Aufsichtsbehörden geteilter Auffassung wurden die Überwachungsbefugnisse amerikanischer Geheimdienste nach den Anschlägen vom 11. September 2001 ins Uferlose ausgedehnt. Einen effektiven Rechtsschutz dagegen gebe es insbesondere nicht für solche Personen, die keine amerikanischen Staatsbürger sind. Die Argumente, die den EuGH dazu bewogen haben, den Privacy Shield, aber auch dessen Vorgänger „Safe Harbor“, für ungültig zu erklären, seien damit letztlich auf die SCCs übertragbar.

Beide Entscheidungen des EuGH – zum Privacy Shield und zu Safe Harbor – gehen auf Verfahren des österreichischen Aktivisten Maximilian Schrems zurück, der bei der irischen Datenschutzbehörde Beschwerde eingereicht hatte, weil seine persönlichen Daten von Facebook Irland an Facebook, Inc. mit Sitz in den USA übermittelt wurden. Schrems meint, dass die USA keinen ausreichenden Schutz seiner persönlichen Daten gewährleisten könnten, insbesondere vor dem Hintergrund von Überwachungstätigkeiten der US-Behörden.

„Es stellt sich die Frage, ob amerikanische Unternehmen auf Basis der derzeitigen US-amerikanischen Gesetzgebung je werden glaubhaft versichern können, dass personenbezogene Daten ihrer Geschäftspartner vor einem übermäßigen Zugriff der US-Behörden verschont bleiben“, so Wolgast. „Ist dies nicht der Fall, blieben wohl nur Gesetzesänderungen auf Seiten der USA oder technische Lösungen, um die Übertragung personenbezogener Daten in die USA rechtskonform zu gestalten.“

Einige Datenschutz-Aufsichtsbehörden in Deutschland haben bereits angedeutet, dass sie Übertragungen personenbezogener Daten in die USA auch auf Basis der SCCs zukünftig unterbinden werden. Andere sind insoweit zurückhaltender. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg  sagte, der EuGH könnte seinen Hebel überschätzen.

In ihrem kürzlich veröffentlichtem DSGVO-Bewertungsbericht erklärte die EU-Kommission, dass sie an einer umfassenden Modernisierung der SCCs im Licht der DSGVO-Anforderungen arbeite.

„Die Unternehmen werden sich an die EU-Kommission, den Europäischen Datenschutzausschuss und die nationalen Datenschutz-Aufsichtsbehörden wenden müssen, um eine konsistente Anleitung zu erhalten, wie sie den neuen Sorgfaltspflichten im Zusammenhang mit der Verwendung von SCCs gerecht werden können“, so Wolgast.