EuGH: Datenübermittlung in die USA auf Privacy Shield Basis rechtswidrig

Der österreichische Jurist und Datenschutzaktivist Max Schrems war mit seiner Datenschutzklage vor dem Europäischen Gerichtshof (EuGH) gegen die Zulässigkeit der Übermittlung personenbezogener Daten von der EU in die USA teilweise erfolgreich. Teilweise heißt, dass zum einen die EU-US Privacy Shield Vereinbarung für rechtsunwirksam erklärt wurde, zum anderen jedoch die Standarddatenschutzklauseln gem. Art. 46 DSGVO (Standard Contractual Clauses – SCC) auch weiterhin Bestand haben.

Das am 16.07.2020 als Schrems II bezeichnete EuGH-Urteil (Rechtssache C-311/18 >> Presseerklärung) kommt zu dem Schluss, dass die Privacy-Shield Vereinbarung zwischen der EU und den USA den datenschutzrechtlichen Anforderungen der DSGVO nicht genügt. Insbesondere störten sich die EuGH-Richter daran, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf in die USA übermittelte Daten jederzeit zugreifen und sie verwenden dürfen. Dieses vorrangige Recht der US-Behörden könne und würde die EU-US Privacy Shield Vereinbarung nicht einschränken. Laut EuGH seien damit Eingriffe in die persönlichen Grundrechte möglich, was gegen EU Gesetzgebung und Verhältnismäßigkeitsgrundsätze verstößt. Damit setzt der EuGH den Durchführungsbeschluss der EU-Kommission, auch Angemessenheitsbeschluss genannt, vom 12. Juli 2016 außer Kraft.

Sofortige Einstellung unzulässiger Datentransfers

Für die Praxis bedeutet die Entscheidung, dass für Unternehmen die Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shield Abkommens unzulässig. Diese Übermittlungen müssen mit sofortiger Wirkung eingestellt werden. Das betrifft unter anderem auch Auftragsverarbeiter und Online-Anbieter wie Facebook, WhatsApp, Google. In einem NOYB Beitrag, Max Schrems ist dort Ehrenvorsitzender,- ist diese Problematik gut und verständlich erläutert. Der Beitrag geht auch auf die Datenübermittlung in Drittländer gem. der Ausnahmeregelung Art. 49 DSGVO ein, wonach lediglich gelegentliche Datentransfers mit der expliziten Einwilligung Betroffener durchführbar sind, oder wenn Verträge eine Übermittlung zwingend erforderlich machen.

Standarddatenschutzklauseln sind kein alternativer Freibrief

Die Datenübermittlung in Drittländer, die unter die Standarddatenschutzklauseln (SCC) gem. Art. 46 DSGVO fällt, ist hingegen weiterhin rechtmäßig, sofern diese SCC in unveränderter Form angewendet werden. Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Kugelmann ausführt, können sich Verantwortliche allein mit der Verwendung der SCC nicht von ihren Prüfpflichten freikaufen: „Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“

Auf Verantwortliche, die Daten in Drittstaaten übermitteln und die sich bisher auf das Privacy Shield Abkommen verlassen haben, kommt unter Umständen also viel Arbeit zu.

Autor: Daniela Maria Hübsch