Übermittlung personenbezogener Daten in Drittländer (Schrems II) und die Folgen für Unternehmen

Erfahren Sie mehr darüber, warum Privacy Shield kein angemessenes Schutzniveau bei der Datenübermittlung in die USA gewährt und warum die EU-Standardvertragsklauseln mit zusätzlichen Maßnahmen eine mögliche Alternative darstellen. Christoph Woltmann und Dr. Christian Velten geben als Experten zum Thema Datenschutz einen Einblick in de Thematik.

Spätestens mit dem Inkrafttreten der neuen EU-Datenschutzgrundverordnung im Jahr 2018 hat der Umgang mit personenbezogenen Daten an großer Bedeutung gewonnen. Nun wird der Datenschutz für Bürger/innen der EU erneut gestärkt.

Mit einem Paukenschlag hat der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16.07.2020 die Regelung des Privacy Shield für nicht mehr anwendbar erklärt. Der Privacy Shield biete kein angemessenes Schutzniveau mehr bei Datenübermittlungen in die USA.

Was ist Privacy Shield überhaupt?

Der Privacy Shield war aus Unternehmenssicht eine Art Register, in das sich US-Unternehmen selbst eintragen konnten und damit rechtlich an die Vorgaben des Privacy Shield („privacy shield principles“) gebunden waren. Aufwendige individuelle Anpassungen an die konkrete Situation des jeweiligen Unternehmens waren im Hinblick auf Datenübertragungen damit nicht mehr erforderlich. Man konnte davon ausgehen, dass  das Schutzniveau für Datenübermittlungen aus der EU an jedes US-Unternehmen gewährleistet war. Auch die übermittelnden Unternehmen in der EU mussten bei ihrer Datenübermittlung keine weiteren Schutzvorkehrungen mehr treffen. Hunderttausende Unternehmen in der EU haben von den Vorteilen des Privacy Shield profitiert. Ganze Wirtschaftsbranchen dürften die Übermittlung von personenbezogenen Daten in die USA weitgehend auf der Basis des Privacy Shield durchgeführt haben. Personen, die von dieser Datenübermittlung betroffen waren, mussten bei der Nutzung des Privacy Shield nicht gesondert eingebunden werden. Insbesondere war keine diesbezügliche Einwilligung erforderlich. Das ersparte den Unternehmen letztlich erheblichen bürokratischen Aufwand.

Privacy Shield verstößt gegen Datenschutz-Grundverordnung

Der EuGH hat nun mit seinem Urteil entschieden, dass alle Datenübermittlungen aus der EU in die USA, die ausschließlich auf der Basis des Privacy Shield erfolgten, gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und damit rechtswidrig sind. Davon umfasst sind Datenübermittlungen zwischen rechtlich selbstständigen Unternehmen innerhalb eines Konzerns sowie auch Datenübermittlungen an externe Geschäftspartner in den USA.

Die Ungültigkeit des Privacy Shield begründete der EuGH im Wesentlichen mit zwei Argumenten:

1. Die von den USA durchgeführten Überwachungsprogramme für das Internet (z. B. PRISM) kennen keine Schranken, die den Grundsatz der Verhältnismäßigkeit im Einzelfall berücksichtigen.

2. Betroffene Personen, die nicht US-Bürger sind, haben keinerlei Rechtsschutz-Möglichkeiten, um gegen eine Überwachung aus Gründen der nationalen Sicherheit der USA vorzugehen.

Da es keine Übergangsfrist gibt, ist das Urteil des EuGH sofort rechtskräftig. Somit sind sämtliche Datenübermittlungen aus der EU in die USA, gestützt auf das Privacy-Shield-Abkommen, rechtswidrig.

EU-Standardvertragsklauseln als Alternative für Datenübermittlungen in die USA

Als Alternative zum Privacy Shield bietet sich der Rückgriff auf die nach wie vor gültigen EU-Standardvertragsklauseln an. Ihre Verwendung bei Datenübermittlungen in die USA kann bewirken, dass ein angemessenes Datenschutzniveau besteht. Allerdings besteht eine Prüfpflicht auf Seiten des Verantwortlichen (Datenexporteur) sowie des Datenimporteurs. Diese Prüfpflicht bezieht sich darauf, ob die Standardvertragsklauseln für die Übermittlung bereits hinreichende Garantien bieten oder ob zusätzliche Garantien geschaffen bzw. individuell vereinbart werden müssen.

Dies erfordert in der Praxis eine Neubewertung bereits im Einsatz befindlicher internationaler Datenflüsse durch eine Bestandsaufnahme und Untersuchung der Umstände der einzelnen Datenübermittlungen. Dabei ist insbesondere auf den Schutzbedarf der jeweils durch den Datenimporteur zu verarbeitenden Daten abzustellen. Es kann dann geprüft werden, inwieweit die übermittelten Daten überhaupt dem landesspezifischen Risiko bspw. eines Zugriffs durch Sicherheitsbehörden ohne adäquate Rechtsschutzmöglichkeit ausgesetzt sind.

Beschwerden hinsichtlich der Übermittlung personenbezogener Daten in die USA

Bei Beschwerden im Hinblick auf die Übermittlung von personenbezogenen Daten in die USA auf der Basis der EU-Standardvertragsklausel kann die jeweilige Aufsichtsbehörde nämlich jederzeit überprüfen, ob diese Vorgaben eingehalten werden. Kommt eine Aufsichtsbehörde zu dem Ergebnis, dass die Vorgaben der Standardvertragsklausel im Zielland des Datenexports, also etwa auch in die USA, nicht eingehalten werden oder dass sie wegen dessen Rechtsordnung gar nicht eingehalten werden können, ist die Aufsichtsbehörde verpflichtet, die Übermittlung der personenbezogenen Daten in dieses Zielland auszusetzen oder Unternehmen die Übermittlung gar zu verbieten.

Ergänzende Maßnahmen zur EU-Standardvertragsklausel

Es empfiehlt sich daher für Unternehmen noch zusätzliche Maßnahmen zu ergreifen, die dann zusammen mit den Standardvertragsklauseln im Ergebnis ein angemessenes Schutzniveau für die Datenübertragung gewährleisten. Solche Maßnahmen können z. B. die Anonymisierung von personenbezogenen Daten oder die Pseudonymisierung  (z. B. Einsatz eines Pseudonymisierungs-Gateways oder Beauftragung eines Daten-Treuhänders) oder die Neu-Analyse der in das Drittland übermittelten personenbezogenen Daten hinsichtlich ihrer Art des Umfangs, des Zwecks, des Kontextes der Verarbeitung sowie der vorgesehenen Empfänger sein.

Keine eindeutige Handlungsempfehlung für die sichere Übermittlung von Daten

Angesichts der unklaren rechtlichen Situation muss man feststellen, dass es im Moment keinen absolut sicheren Weg gibt, um ein datenschutzkonformes Niveau bei der Übermittlung von personenbezogenen Daten in die USA zu gewährleisten. Dies gilt umso mehr als sich selbst die Datenschutzaufsichtsbehörde selbst in ihrer Bewertung uneins sind.

Die aktuellen Gespräche zwischen der EU und USA darüber, wie der transatlantische Datenfluss künftig geregelt werden kann, gestalten sich wegen der sehr unterschiedlichen Datenschutzniveaus als schwierig.

Die wenigsten Unternehmen können die Datenübermittlungen in die USA einfach einstellen. Daher erscheint es im Moment vertretbar, einstweilen mithilfe der vorhandenen Standardvertragsklauseln und zusätzlichen Maßnahmen als geringeres Übel zu arbeiten.

Christoph Woltmann und Dr. Christian Velten,
Rechtsanwälte und Datenschutzbeauftragte, Datenschutz Mittelhessen GbR

Haben Sie weitere Fragen? Schreiben Sie einfach eine E-Mail an datenschutz@ibo.de

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.