Bild-Quelle: Gerd Altmann auf Pixabay
Der EUGH hat mit seiner Entscheidung vom16. Juli 2020 das seit 2016 bestehende „Privacy Shield“ Abkommen als eine der wichtigsten Rechtsgrundlagen für den Datentransfer zwischen der EU und den USA für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”). Für alle Unternehmen, die auch in Zukunft Daten in die USA übertragen wollen heißt es daher umdisponieren.
Grundlage der Entscheidung – Standardvertragsklauseln als Alternative?
Grundlage für das Urteil des EuGH ist der Umstand, dass die Daten europäischer Verbraucher auf den US-Servern nicht angemessen vor einem Zugriff dortiger Behörden sowie der Geheimdienste geschützt sind. Relevant ist zudem der Umstand, dass in den USA den Betroffenen kein Rechtsweg zur Durchsetzung der im Unionsrecht verankerten Rechtsgarantie offensteht.
Die Verwendung der Standardvertragsklauseln hält der EuGH hingegen nicht für unwirksam. Hierbei handelt es sich um von der EU-Kommission vorgegebene Verträge, unter denen sich die beteiligten Parteien zur Einhaltung von angemessenen Datenschutzstandards verpflichten. Diese müssen nach Auffassung des Gerichts jedoch im Einzelfall geprüft werden. Die EU-Standardvertragsklauseln können nur dann als gültige Rechtsgrundlage für einen Transfer in Drittstaaten dienen, wenn bei der Übermittlung der personenbezogenen Daten das vom Unionsrecht geforderte Schutzniveau eingehalten werden kann. Aufgrund der US-Gesetze bleibt jedoch fraglich, ob die Einhaltung des geforderten Schutzniveaus überhaupt möglich ist. Folglich dürften auch die Standardvertragsklauseln in den meisten Fällen keine adäquate Grundlage für Datentransfers in die USA sein.
Was bedeutet das Urteil für die Praxis
Für die Praxis bedeutet das Urteil, dass die meisten US-Dienste nicht mehr ohne weiteres eingesetzt werden dürfen. Daher ist jedes Unternehmen angehalten sich Gedanken zu machen, wie sie den Schutz von personenbezogenen Daten gewährleisten können, die bei US-Diensten (wie Google, Dropbox, Microsoft, Apple etc.) gespeichert sind.
Ob eine Nutzung der betroffenen Dienste auf Grundlage der Standardvertragsklauseln weiterhin möglich ist, muss im Hinblick auf die Gewährleistung des vom Unionsrecht geforderte Schutzniveau im Einzelfall geprüft werden. Eine weitere Alternative wäre die Einholung einer separaten Einwilligung des Nutzers für die Übertragung der Daten in die USA.
Zudem sollten Unternehmen die Stellungnahmen der Datenschutzbehörden beachten. Einzelne Stellungnahmen wurden bereits veröffentlich, gleichwohl ist zu erwarten, dass zeitnah weitere Stellungnahmen der Aufsichtsbehörden auf nationaler Ebene, sowie des Europäischen Datenschutzausschusses folgen werden.
Handlungsempfehlung
Wir empfehlen allem voran: „Don´t Panik“ – also Ruhe bewahren. Gleichzeitig ist es wichtig, ins Handeln zu kommen. Daher empfehlen wir Ihnen zeitnah die folgenden Schritte umzusetzen:
- Prüfen Sie die von Ihnen verwendeten Dienste/Plugins;
- Identifizieren Sie diejenigen, bei denen personenbezogene Daten in die USA transferiert werden;
- Filtern Sie die Dienste, bei denen Daten allein auf Grundlage des Privacy Shield Abkommens in die USA transferiert werden;
- Stellen Sie – soweit möglich – auf alternative Garantien um (Standardvertragsklauseln, ausdrückliche Einwilligung des Betroffenen, Ausschließliche Datenspeicherung auf EU-Servern);
- Kontaktieren Sie Ihre Dienstleister mit der Bitte um Auskunft darüber, wie diese nach dem Urteil des EuGH für einen rechtskonformen Datentransfer sorgen;
- Prüfen Sie ob es für die betroffenen Dienste nicht auch Anbieter aus der EU bzw. dem EWR gibt, für diese gilt nämlich auch die DSGVO.
Zudem sollten Sie auch daran denken die Datenschutzerklärung auf Ihrer Webseite entsprechend anzupassen, soweit in dieser die Datenübertragung auf das Privacy Shield Abkommen gestützt war (z.B. beim Einsatz von Google Analytics).
Von Marco Koehler, LL.M , 06.01.2020
