Einleitung

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 in seinem Urteil (Rechtssache C-311/18; Data Protection Commissioner / Maximillian Schrems und Facebook Ireland, „Schrems II“) den Beschluss der EU-Kommission zum so genannten „EU-US Privacy Shield“ Abkommen für ungültig erklärt.

Das Privacy Shield Abkommen entstand, nach dem das vorherige „Safe Harbour Abkommen“ im Oktober 2015 für ungültig erklärt wurde. Damit eine Datenverarbeitung für bisher unter Safe Harbor zertifizierte Unternehmen auch weiterhin möglich ist, wurde Privacy Shield als politische Zwischenlösung geschaffen um für bisher unter dem Privacy Shield zertifizierte US-Unternehmen unter neuem Deckmantel als angemessen zu beurteilen und so die Datenübermittlung in die USA weiterhin zu erleichtern. Nun stellt sich die Frage, ob und wie eine Datenübermittlung in die USA weiterhin möglich sein wird. Der folgende Beitrag klärt in dieser Frage auf.

Das Urteil des EuGHs

Der EuGH hatte in der Rechtssache zwischen Maximilian Schrems und Facebook Irland zu entscheiden, nachdem der irische High Court in einem Vorabentscheidungsersuchen den EuGH angerufen hatte. Im Wesentlichen waren die Fragen zu klären, ob die Übermittlung der Daten von Herrn Schrems durch Facebook Irland in die USA (an die Facebook Inc.) auf Basis des Privacy Shields sowie der vereinbarten EU-Standardvertragsklauseln zulässig ist. Damit einhergehend stand auch die Frage im Raum, ob das Datenschutzniveau der USA, mit dem der EU gleichwertig ist.

Der EuGH urteilte nun, dass die bestehenden Gegebenheiten in den USA, insbesondere der mögliche Zugriff auf die Daten durch staatliche (Ermittlungs-)Behörden nicht mit den sich aus der DSGVO und den Grundrechtswerten ergebenden Anforderungen der EU vereinbar sind. Insbesondere wird die fehlende Möglichkeit von Rechtsbehelfen gegen den behördlichen Zugriff auf die Daten bemängelt.

Die Nutzung der EU-Standardvertragsklauseln hingegen sieht der EuGH weiterhin als zulässig an. Außerdem nimmt der EuGH in seinem Urteil die Datenschutzaufsichtsbehörden in die Pflicht. Es läge in ihrer Zuständigkeit zu prüfen, ob die vereinbarten Klauseln zwischen den Unternehmen aus der EU und den USA ein angemessenes Datenschutzniveau erreichen.

Datenübermittlung in die USA in der Zukunft

Eine Datenübermittlung in die USA findet mittlerweile ununterbrochen statt. Ob bei Nutzung von Office-Produkten, Social Media oder verschiedene Cloud-Lösungen wie Confluence von Atlassian: In all diesen Einsatzgebieten der täglichen Praxis erfolgt meist eine (vom Anwender oft unbemerkte) Datenübermittlung in die USA. Entsprechend bedeutsam ist der Datentransfer zwischen der EU und den USA für den privaten aber auch für den wirtschaftlichen Bereich. Kaum ein Unternehmen kommt ohne Datenübermittlung in die USA aus, ob bewusst oder unbewusst.

Diese Datenübermittlung ist aufgrund der US-spezifischen Gesetzgebung immer mit dem Risiko verbunden, dass US-Behörden auf die Daten zugreifen können. Einige US-Unternehmen wehren sich dagegen und versuchen, die Datenherausgabe zu verhindern. Ultimativ ist dies jedoch ein Risiko, das Unternehmen in Kauf nehmen müssen und das nur schwerlich heilbar ist. Adäquate Lösungen auf dem deutschen oder europäischen Markt sind nicht in Sicht oder – wenn überhaupt – lediglich Nischenprodukte.

Entsprechend stellt sich die Frage, wie nun die Datenübermittlung vor dem Hinblick des Urteils des EuGHs datenschutzkonform ausgestaltet sein kann.

Das Urteil des EuGHs ist hierin als umsichtig zu betrachten. Die Zertifizierungen unter dem Privacy Shield waren von vorneherein als „Notlösung“ nach dem Kippen des Safe Harbour Abkommens gedacht. Eine langfristige Lösung sollte der Privacy Shield nie sein. Das Urteil ist daher nicht allzu überraschend. Insbesondere die nicht vorhandenen Prüfmöglichkeiten der Zertifizierungsinhalte durch europäische Behörden hat den Privacy Shield von Beginn an als Papiertiger entlarvt.

Anders verhält es sich mit den EU-Standardvertragsklauseln. Die Standardvertragsklauseln basieren auf einem Beschluss der EU-Kommission und sind für die Datenübermittlung in Drittländer gedacht, für die es keinen Angemessenheitsbeschluss gibt, deren Datenschutzniveau also nicht für sich genommen schon als ausreichend für eine Übermittlung angesehen wird. Für die USA gibt es zwar einen solchen Beschluss, allerdings nur für die Unternehmen, die unter dem Privacy Shield zertifiziert sind. Diese sind jedoch nach dem Urteil des EuGHs als wertlos anzusehen.

Eine Datenübermittlung in die USA ist somit nur noch mit einer Vereinbarung nach den Standardvertragsklauseln möglich. Dies ist insofern eine gute Nachricht, als dass viele Anbieter (z.B. Atlassian für die Nutzung von Confluence, Trello oder JIRA) bereits mit entsprechenden Vereinbarungen arbeiten. Auch Microsoft baut die Übermittlung von Daten im B2B-Bereich auf die Anforderungen aus den Standardvertragsklauseln auf.

Künftig kann erwartet werden, dass die Datenübermittlung in die USA noch verstärkter vertraglich auf den EU-Standardvertragsklauseln basieren wird. Die betroffenen US-Unternehmen werden nun prüfen müssen, ob sie ihre Prozesse und Datenverarbeitungen bereits entsprechend eingestellt haben. Die gute Nachricht ist allerdings: Ein Ende der Datenübermittlung in die USA ist zu keinem Zeitpunkt zu erwarten.

Unsere Empfehlungen

Nach dem Urteil des EuGHs können Sie mit hoher Wahrscheinlichkeit ihren betrieblichen Alltag ohne Einschränkung fortführen.

Ein solches Urteil ist jedoch auch immer gleichzeitig Gelegenheit für eine kleine Inventur. Versuchen Sie, sich und Ihre Mitarbeiter/innen dafür zu sensibilisieren, bei der Implementierung neuer und der Revision bestehender Anwendungen in Ihrem Unternehmen auf die vertraglichen Grundlagen der Datenübermittlung zu achten. Bemerken Sie Anbieter, die auch künftig die Datenübermittlung ausschließlich darauf beruhen, unter dem Privacy Shield zertifiziert zu sein ohne weitere vertragliche Grundlage, sollten Sie diese Anbieter meiden. Binden Sie Ihren Datenschutzbeauftragten und IT-Sicherheitsbeauftragen in diese Prüfung oder Entscheidungen frühzeitig mit ein. So vermeiden Sie unnötige Risiken und können sich weiterhin auf Ihr Kerngeschäft fokussieren!