Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Schnellauswahl
Gastbeitrag

Digitaler Lock-Down: Datentransfer in die USA (weitgehend) unzulässig

Der EuGH in Luxemburg
Der EuGH in Luxemburg(c) imago images/Patrick Scheiber
  • Drucken

Was die EuGH-Entscheidung Schrems II genau besagt und wie Unternehmen darauf reagieren sollten.

Der Europäische Gerichtshof (EuGH) hat den unter dem Begriff „EU-US-Privacy Shield“ bekannten Angemessenheitsbeschluss der Europäischen Kommission (Durchführungsbeschluss [EU] 2016/1250) aufgehoben und im Ergebnis damit nahezu jeden Transfer von personenbezogenen Daten in die USA untersagt. Die Entscheidung ist der neuerliche Höhepunkt einer lang anhaltenden juristischen Auseinandersetzung des Datenschutzaktivisten und Vorsitzenden der Datenschutz-NGO NOYB, Max Schrems, mit Facebook. Bereits im Jahr 2015 hat der EuGH in einem von Schrems angestrebten Verfahren das sogenannte „Safe Harbor“-Abkommen, das Vorgängerabkommen des EU-US-Privacy Shields zwischen der EU und den USA, aufgehoben.

Datentransfer aus der EU hinaus braucht besonderen Schutz

Die Datenschutz-Grundverordnung stärkt neben dem Recht auf Schutz personenbezogener Daten auch die Freiheit des Datenverkehrs innerhalb der Europäischen Union über die Binnengrenzen hinweg. Der Transfer von personenbezogenen Daten an Empfänger außerhalb der Europäischen Union (und der assoziierten Staaten des Europäischen Wirtschaftsraums) bedarf jedoch besonderer Schutzvorkehrungen. Wenngleich die Datenschutz-Grundverordnung unterschiedliche Instrumente zur Wahrung des Datenschutzes bei Übermittlung an Drittländer kennt, haben sich bislang lediglich zwei davon etabliert: Angemessenheitsbeschlüsse und Standardvertragsklauseln.

Im Rahmen von Angemessenheitsbeschlüssen hat die Europäische Kommission das datenschutzrechtliche Schutzniveau in Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay beurteilt und ausgesprochen, dass dieses jenem der Europäischen Union gleichwertig ist. Ein solcher Angemessenheitsbeschluss erweitert die Grenzen des freien Datenverkehrs um die jeweiligen Länder.

Sonderstellung der USA

Eine Sonderstellung nahmen dabei die USA ein: Im Rahmen eines politischen Deals wurde eine Möglichkeit zur Selbstverpflichtung von US-Unternehmen geschaffen. Unternehmen die sich den Regeln des EU-US-Privacy Shields unterworfen hatten, galten als Empfänger mit angemessenem Schutzniveau. Überdies erklärt die US-Regierung, den Datenzugriff durch Behörden bei solchen Unternehmen zu beschränken. Nahezu alle großen IT-Unternehmen – wie Google, Microsoft, Facebook und Twitter – sowie Anbieter von IT-Dienstleistungen – bspw Mailchimp und Shopify – waren nach dem EU-US-Privacy Shield zertifiziert.

In seiner Entscheidung C-311/18 vom 16.7.2020 hat der EuGH das EU-US-Privacy Shield ersatzlos aufgehoben. Begründet wird die Aufhebung mit den geheimdienstlichen Befugnissen, unzureichenden Zusicherungen von Seiten der US-Regierung sowie mangelndem Rechtsschutz. Im Ergebnis hat der EuGH dem Datenschutzniveau in den USA ein vernichtendes Urteil ausgestellt.

Infolge des ersatzlosen Aufhebens des EU-US-Privacy Shields kann der Transfer von personenbezogenen Daten mit sofortiger Wirkung nicht mehr auf das EU-US-Privacy Shield gestützt werden.

Standardvertragsklauseln kein Ausweg

Neben Angemessenheitsbeschlüssen hat sich der Abschluss von sogenannten Standardvertragsklauseln zwischen dem datenexportierenden und datenimportierenden Unternehmen etabliert. Bei Standardvertragsklauseln handelt es sich um standardisierte Verträge, die von der Europäischen Kommission erlassen oder in einzelnen Ländern von den nationalen Aufsichtsbehörden genehmigt wurden und in denen die datenschutzrechtlichen Pflichten der beteiligten Unternehmen festgelegt werden. Der Abschluss von Standardvertragsklauseln ist praktisch der einzige Weg, um personenbezogene Daten an Drittländer zu übermitteln, wenn für den Empfängerstaat kein Angemessenheitsbeschluss vorliegt.

Die Standardvertragsklauseln der Europäischen Kommission wurden vom EuGH im Verfahren ebenfalls geprüft und für zulässig erachtet. Das darf jedoch nicht als Freibrief zur Übermittlung von personenbezogenen Daten an Drittländer missverstanden werden: Die Übermittlung auf Basis von Standardvertragsklauseln nimmt das übermittelnde Unternehmen verstärkt in die Pflicht. Während sich das Unternehmen bei Vorliegen eines Angemessenheitsbeschlusses auf die Angemessenheit des Schutzniveaus im Empfängerstaat verlassen darf, muss es diese bei der Nutzung von Standardvertragsklauseln selbst beurteilen und den Rechtsrahmen im Empfängerstaat laufend evaluieren (vgl zB Punkt 4.b. und 5.b der Standardvertragsklauseln im Beschluss [EU] 2010/87). Unabhängig davon sind die nationalen Datenschutzbehörden befugt, den Datentransfer im Einzelfall zu beschränken oder ganz zu untersagen.

Zahlreiche Fälle durch den EuGH vorentschieden

Wenngleich die Beurteilung des Datenschutzniveaus enorm aufwendig bis faktisch unmöglich sein wird, ist die Beurteilung hinsichtlich der USA – entgegen einer bislang vorzufindenden medialen Berichterstattung – für eine Vielzahl von Fällen bereits durch den EuGH erfolgt: Die Gründe für die Aufhebung des EU-US-Privacy Shields sind dieselben, die gegen die Zulässigkeit der Übermittlung auf Basis von Standardvertragsklauseln sprechen. Dies gilt zumindest für all jene Unternehmen, die den einschlägigen geheimdienstlichen Befugnisgesetzen, wie dem Foreign Intelligence Surveillance Act (FISA) 702, das den Sicherheitsbehörden ohne richterlichen Beschluss Zugriff auf die Daten gewährt, unterliegen.

Dies ist im Einzelfall zu beurteilen; als Faustregel gilt, dass Telekommunikationsunternehmen wohl jedenfalls von den geheimdienstlichen Befugnisgesetzen betroffen sind. Da jedoch selbst andere Unternehmen Dienstleistungen von Telekommunikationsunternehmen in Anspruch nehmen und so auch über diesen Umweg ein Zugriff auf die Daten erfolgen kann, ist unserer Ansicht nach zu erwarten, dass es sich dabei mehr um eine theoretische Ausnahme als um eine praxistaugliche Argumentation handelt.

Im Ergebnis ist der Transfer von personenbezogen Daten in die USA – mit wenigen Ausnahmen (vgl dazu unten) – nahezu ausgeschlossen. Wenngleich dies faktisch kaum umsetzbar und wirtschaftlich jedenfalls herausfordernd sein wird, ist dies das rechtsrichtige Ergebnis. Es bleibt zu hoffen, dass die nationalen Datenschutzbehörden die wirtschaftlichen Erfordernisse berücksichtigen und bei der Einleitung von Datenschutzüberprüfungen sowie bei der Verhängung von Geldbußen mit Augenmaß vorgehen.

Was ist weiterhin erlaubt?

Trotz des Wegfalles wesentlicher Rechtsgrundlagen für die Übermittlung von personenbezogenen Daten in die USA ist nicht jede Datenübermittlung betroffen:

Das private Telefonbuch und das (digitale) Fotoalbum werden von der Entscheidung des EuGH nicht berührt. Datenverarbeitungen für ausschließlich persönliche oder familiäre Tätigkeiten sind von der Datenschutz-Grundverordnung überhaupt ausgenommen, weswegen die Regelungen zu Übermittlung an Drittländer nicht anwendbar sind.

Aber auch bei der beruflich veranlassten Datenübermittlung gibt es Ausnahmen: Der EuGH geht davon aus, dass die Aufhebung des EU-US-Privacy Shields nicht zu einem rechtlichem Vakuum führe, da Drittlandsübermittlungen auch weiterhin auf den Ausnahmetatbestand des Artikel 49 Datenschutz-Grundverordnung, der eine Zulässigkeit in bestimmten Fällen normiert, gestützt werden können. Dazu zählen die Übermittlung wegen der Notwendigkeit zur Vertragserfüllung (zB die Übermittlung von Daten durch Reisebüros an Hotels in Drittländern), die Geltendmachung von Rechtsansprüchen (zB Prozessführung in den USA) sowie öffentliche oder lebenswichtige Interessen. Wenngleich der EuGH zum Umfang dieses Ausnahmetatbestandes nicht Stellung genommen hat, ist dieser nach Ansicht des Europäischen Datenschutzausschusses dahingehend eingeschränkt, dass es sich dabei bloß um eine gelegentliche und nicht wiederholte Übermittlung handeln darf.

Daher kommt diese Ausnahme nach Ansicht des Europäischen Datenschutzausschusses nicht für laufend in Anspruch genommene Dienstleister, zB Payment Provider, in Frage. Folgt man dieser Ansicht, dann könnten die Ausnahmen die Übermittlung von personenbezogenen Daten in die USA nur in ausgewählten Fällen rechtfertigen – eine Lösung für das Gros der typischen Übermittlungstätigkeiten bieten sie jedoch nicht.

Zulässig ist die Übermittlung in Drittländer auch bei Vorliegen der vermeintlichen Allzweckwaffe – einer datenschutzrechtlichen Einwilligung der betroffenen Person. Dabei sind jedoch die strengen Anforderungen an die Wirksamkeit einer Einwilligungserklärung zu berücksichtigen, wozu insbesondere das Erfordernis der Freiwilligkeit und das daraus resultierende Koppelungsverbot zählen.

Was ist zu tun?

Unternehmen sollten in einem ersten Schritt ermitteln, ob überhaupt personenbezogene Daten in die USA übermittelt werden. Diese Information sollte aus dem Verzeichnis der Verarbeitungstätigkeiten ersichtlich sein.

Bei identifizierten Übermittlungen in die USA ist zu beurteilen, ob das datenempfangende Unternehmen die in den Standardvertragsklauseln gegebenen Garantien einhalten kann; dies ist jedenfalls nicht der Fall, wenn das Unternehmen den geheimdienstlichen Befugnisgesetzen unterliegt. Können die Garantien jedoch eingehalten werden, ist die Übermittlung auf Basis von Standardvertragsklauseln zulässig.

Verpflichtene Konzernregeln als zeitaufwendiger Ausweg

Eine insbesondere für größere Unternehmen interessante Möglichkeit ist die Einführung von Binding Corporate Rules gemäß Artikel 47 Datenschutz-Grundverordnung, die ein weiteres Instrument für die Rechtmäßigkeit von konzerninternen Drittlandsübermittlungen darstellen. Aufgrund des damit verbundenen zeitlichen Aufwands bei der Erstellung und behördlichen Genehmigung bietet dies jedoch keine zeitnahe Abhilfe. Das Gleiche gilt für genehmigte Verhaltensregeln gemäß Artikel 40 Datenschutz-Grundverordnung und Zertifizierungen gemäß Artikel 42 Datenschutz-Grundverordnung.

Scheiden die zuvor genannten geeigneten Garantien aus, sollte die Anwendung der Ausnahmen nach Artikel 49 Datenschutz-Grundverordnung geprüft werden. Folgt man der Ansicht des Europäischen Datenschutzausschusses, dann sind hiervon jedoch bloß gelegentliche Drittlandsübermittlungen erfasst.

Liegt auf Basis dieser Prüfung keine der genannten Voraussetzungen vor, bliebe nur mehr den Stecker zu ziehen und den Datentransfer einzustellen oder eine mögliche Strafe zu riskieren. Welche Lösung vertretbarer ist, muss in wirtschaftlicher Hinsicht bewertet werden.

Zu den Autoren

RA Rainer Knyrim ist Partner, Alexander Höller Rechtsanwalt, Claudia Gabauer und Maximilian Kröpfl sind Rechtsanwaltsanwärter bei Knyrim Trieb Rechtsanwälte.