In einer weiteren wegweisenden Entscheidung zur Übermittlung personenbezogener Daten aus der EU in die USA hat der Europäische Gerichtshof (EuGH) den EU-US Privacy Shield für ungültig erklärt. Damit bringt der EuGH nach dem „Safe Harbor“-Abkommen bereits den zweiten Schutzmechanismus der EU-Kommission zur Sicherung des transatlantischen Datenverkehrs zu Fall.

Gleichzeitig erklärte der EuGH die von der EU-Kommission beschlossenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten durch den Verantwortlichen an Auftragsverarbeiter in Drittländer dem Grunde nach für wirksam. Der EuGH betonte jedoch, dass Verantwortliche, die Daten auf Grundlage der Standardvertragsklauseln in Drittländer exportieren, in Zukunft – ebenso wie Aufsichtsbehörden – die Einhaltung der darunter vereinbarten Regelungen stärker überwachen müssen. 

Was ist passiert?

Der EuGH hat sich mit seinem heutigen Urteil in einem Rechtsstreit des österreichischen Datenschutzaktivisten Maximilian Schrems mit Facebook und dem Irish Data Protection Commissioner geäußert (Schrems II). Dabei hat er das EU-US Privacy Shield für ungültig erklärt, die Standardvertragsklauseln der Europäischen Kommission aber grundsätzlich für wirksam erachtet. Die Entscheidung dürfte weitreichende Auswirkungen auf den Datentransfer zwischen Unternehmen in der EU und in den USA sowie in anderen Drittländern haben.

Unwirksamkeit des EU-US Privacy Shield

Im Rahmen seiner Entscheidung hat der EuGH den Beschluss der EU-Kommission über die Angemessenheit des vom EU-US Privacy Shield gebotenen Schutzes für den Transfer personenbezogener Daten in die USA für ungültig erklärt.

Der EuGH begründete seine Entscheidung im Wesentlichen damit, dass die weitreichenden Überwachungsprogramme der US-Geheimdienste in der aktuellen Praxis über das erforderliche Maß hinausgingen und EU-Bürgern keine ausreichenden Rechtsschutzmöglichkeiten hiergegen zustünden. Daher sei auf Grundlage des EU-US Privacy Shield kein dem Recht der europäischen Union angemessenes Datenschutzniveau gewährleistet.

Standardvertragsklauseln bleiben im Grundsatz wirksam

Im Gegensatz hierzu erklärte der EuGH, dass die von der EU-Kommission beschlossenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten durch Verantwortliche an Auftragsverarbeiter in Drittländer weiterhin wirksam bleiben und als Grundlage hierfür herangezogen werden können. 

Gleichzeitig betonte der EuGH, dass sowohl datenexportierende Verantwortliche als auch zuständige Aufsichtsbehörden die Einhaltung der Regelungen der Standardvertragsklauseln aktiv überwachen und Übermittlungen im Einzelfall dann aussetzen oder verbieten müssen, wenn ein dem Unionsrecht entsprechendes Datenschutzniveau nicht mehr gewährleistet werde oder gewährleistet werden könne.

Folgen für Unternehmen

Das Urteil des EuGH hat insbesondere Folgen für alle europäischen Unternehmen, die bisher personenbezogene Daten auf Grundlage des EU-US Privacy Shield in die USA übermitteln, etwa an ihre Konzernmutter oder an Dienstleister. Solche Unternehmen müssen sich – in Ermangelung einer Übergangsfrist zeitnah – nach Alternativen umsehen. In der Praxis werden das vielfach die vom EuGH (zumindest in der Ausprägung der Übermittlung durch einen Verantwortlichen an einen Auftragsverarbeiter) als wirksam erachteten Standardvertragsklauseln sein.

Aber auch wenn Standardvertragsklauseln genutzt werden sollen, bedarf es einer Prüfung und kontinuierlichen Überwachung im Einzelfall. Gegenstand der Prüfung und Überwachung ist dabei insbesondere, ob der Vertragspartner der Standardvertragsklauseln die von ihm eingegangenen vertraglichen Verpflichtungen einhält bzw. einhalten kann. Insoweit werden auch Überlegungen der Art, die den EuGH dazu bewegt haben, den EU-US Privacy Shield für ungültig zu erklären, Berücksichtigung finden müssen.

Insoweit besteht im Einzelfall ein Risiko, dass Datenübermittlungen auf der Grundlage der nach dem EuGH-Urteil grundsätzlich wirksamen Standardvertragsklauseln durch lokale Datenschutzbehörden in der EU aufgrund einer derartigen Prüfung im Einzelfall für unzulässig erachtet werden und die lokalen Datenschutzbehörden Datenübermittlungen auf der Grundlage der Standardvertragsklauseln untersagen.

Für konzerninterne Übermittlungen könnten Unternehmen auch den Abschluss von Binding Corporate Rules (BCRs) in Erwägung ziehen, die von der zuständigen Behörde zu genehmigen sind. Ob dies ein praktikabler Weg ist, bleibt abzuwarten, insbesondere wenn davon vermehrt Gebrauch gemacht wird. Gleichzeitig empfiehlt sich eine genaue Beobachtung der Reaktion der jeweils zuständigen Aufsichtsbehörde auf die heutige Entscheidung des EuGH – nicht nur im Hinblick auf Standardvertragsklauseln, sondern auch im Hinblick auf BCRs.

Das Urteil sieht keine Übergangsfrist vor. Eine Übergangsfrist im eigentlichen Sinn können auch die zuständigen Aufsichtsbehörden nicht gewähren. Im Zusammenhang mit dem Wegfall des „Safe Harbor“-Abkommens haben einzelne Aufsichtsbehörden jedoch von der Durchsetzung für einen begrenzten Zeitraum von wenigen Wochen abgesehen. Wenn erneut so verfahren wird, dürfte dieser Zeitraum jedoch kurz bemessen sein. Daher sollten betroffene Unternehmen unmittelbar erforderliche Maßnahmen einleiten.

Dafür spricht auch, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in einer ersten Pressemitteilung das Urteil als Erfolg für die Rechte Betroffener und als Stärkung der Rolle der Datenschutzaufsichtsbehörden gewertet hat. Gleichzeitig kündigte er ein Drängen auf eine schnelle Koordination der europäischen Datenschutzbehörden an.

Ausblick:

Während der Privacy Shield künftig als Rechtsgrundlage für Datenübermittlungen in die USA ausscheidet, bleibt die Verwendung von Standardvertragsklauseln dem Grunde nach möglich.

Die vom EuGH geforderte stärkere Überwachung der Einhaltung der darin getroffenen Vereinbarungen wird auch die Gesichtspunkte einbeziehen müssen, die letztlich zur Ungültigkeit des EU-US Privacy Shields geführt haben.

Auch wenn einzelne Aufsichtsbehörden für einen begrenzten Zeitraum von der Durchsetzung des Urteils, das keine Übergangsfrist vorsieht, absehen könnten, besteht für betroffene Unternehmen unmittelbarer Handlungsbedarf.