Mit einem lange erwarteten Urteil hat der Europäische Gerichtshof (EuGH) am Donnerstag den 16.07.2020, mit seinem Urteil Az. C-311/18, den transatlantischen „Privacy Shield“ und damit die wohl wichtigste Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig erklärt. Geklagt hatte der Datenschutzaktivist Max Schrems in seinem Verfahren gegen Facebook, wodurch die Richter über die Rechtmäßigkeit der „Standardvertragsklauseln“ und des „Privacy Shield“ befinden mussten.

„Standardvertragsklauseln“ sind von der EU-Kommission vorgegebene Verträge, unter denen sich die jeweiligen Parteien bei Datenübermittlungen, zur Einhaltung angemessener Datenschutzstandards verpflichten um diese durchführen zu dürfen. Die zuständigen Aufsichtsbehörden in der EU sind hierbei befugt, die Übermittlung personenbezogener Daten zu untersage sofern Bedenken hierzu bestehen.

Unter dem Datenschutzabkommen „Privacy Shield“ hatten sich über 4.000 US-amerikanische Unternehmen zur Einhaltung datenschutzrechtlicher Prinzipien bekannt und damit zertifizieren lassen. In der Folge war es ihren Geschäftspartnern in der EU erlaubt, personenbezogene Daten wie z.B. Arbeitnehmerdaten oder Verbraucherdaten, an solche zertifizierten Unternehmen in den USA zu übermitteln.

Das Abkommen „Privacy Shield“ ersetzte das im Oktober 2015 ebenfalls vom EuGH zu Fall gebrachte „Safe-Harbor-Abkommen“, welches zum gleichen Zweck vereinbart wurde. Bereits bei Inkrafttreten des neuen Abkommens kritisierten Datenschützer den nach wie vor schrankenlosen Zugriff staatlicher Stellen der USA und den weiterhin zu wenig ausgeprägten Rechtsschutz für Betroffene.

Auch die vorgenannte „Zertifizierung“, welche teilnehmende US-Unternehmen zum Empfang sensibler personenbezogener Daten aus Europa privilegierte und im Wesentlichen, in der Eintragung in ein öffentliches Verzeichnis bestand, wurde immer wieder als ungeeignet kritisiert.

Urteil

Ohne auf die konkrete juristische Argumentation des Gerichts im Detail einzugehen…

Die „Standardvertragsklauseln“ werden vom Gericht nach wie vor als ein gültiges Regelwerk angesehen, um Datentransfers in die USA zu legitimieren, allerdings mit der Einschränkung, dass Verarbeitungen, die sich auf diese Klauseln stützen, ggf. einer Überprüfung der Einhaltung des in den „Standardvertragsklauseln“ festgelegten Regelwerks standhalten müssen.

Zum Abkommen „Privacy-Shield“ wurde hingegen festgestellt, dass das „(Privacy-Shield-Abkommen) … den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären …“. Damit aber sei das Abkommen der EU-Kommission mit der DSGVO unvereinbar und in der Folge rechtswidrig.

Das Urteil dürfte damit diejenigen bestärken, die schon in der Vergangenheit dafür plädiert haben, dass Unternehmen am besten auf deutsche bzw. europäische Dienstleister zurückgreifen sollten,

Empfehlung

Unternehmen sollten nun alle Verarbeitungen identifizieren, die allein auf Grundlage des „Privacy Shield“ Daten in die USA übermitteln. Bei jedem dieser Verfahren lohnt die Überlegung, ob nicht die Möglichkeit besteht, eine andere, sicherere Rechtsgrundlage zu wählen oder zu einem Dienstleister zu wechseln, der seinen Sitz nicht in einem Datenschutz-Drittstaat hat.

Ist ein Wechsel des US-Dienstleisters nicht möglich, sollte überprüft werden ob dieser eine Datenspeicherung in Europa anbietet und eine Verlagerung des Datenspeicherungsorts nach Europa möglich ist. Viele US-Anbieter bieten diese Möglichkeit an. Ob dieses den Datenschutzaufsichtsbehörden genügt, bleibt allerdings abzuwarten, entlastet aber mindestens für den Moment.

Die beauftragten Auftragsverarbeiter und Dienstleister sind zu überprüfen, ob diese Unterauftragnehmer einsetzen, die Daten in den USA verarbeiten. Diesbezüglich ist jedoch schon bald mit entsprechenden Modifikationen der EU-Vertragsbestimmungen zu rechnen.

Die Datenschutzerklärungen der Webseite aber auch ggf. andere Informationen gem. Art. 13, 14 DSGVO müssen geprüft und angepasst werden, sofern diese noch Bezug auf „Privacy Shield“ nehmen. Bis zu neuen Regelungen der EU sind im Moment nur noch die Rechtsgrundlagen aus Art. 49 DSGVO für Datentransfers in Länder wie die USA als Rechtssicher anzusehen.

Risikoeinschätzung

Leider gibt es keinen feststehenden Bußgeldkatalog für Verstöße gegen den Datenschutz. Die Datenschutz-Grundverordnung sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor.

Grundsätzlich gilt bei der Sanktionierung aber natürlich, dass eine Strafe durch die zuständige Behörde abschrecken soll aber dennoch angemessen sein muss. So wurden nach der Außerkraftsetzung des „Safe-Harbor-Abkommens“ in Hamburg, Bußgelder in Höhe von 10.000 EUR bis 15.000 EUR wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA verhängt.

Der damalige Landesdatenschutzbeauftragte Johannes Caspar betonte aber auch, dass die Datenschutzbehörden bei künftigen Verstöße in diesem Zusammenhang, sehr viel höhere Bußgelder aussprechen werden.

Sollten Dritte durch einen solchen Verstoß geschädigt werden, kommt diesen ein Anspruch auf Entschädigung zu. Außerdem ist immer auch ein Imageschaden zu bedenken, sollte es zu einem Datenschutzverstoß kommen und dieser in der Öffentlichkeit bekannt werden.

————————————————————————————————————————-

Quellen und Links:

EuGH | Urteil vom 16.07.2020 Az. C-311/18
http://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18http://export.gov/safeharbor/eu/eg_main_018475.asp

Webseite der Wikipedia zum EU-US Privacy Shield
https://www.datenschutzzentrum.de/

Cloud-Act, H.R.4943 – 115th Congress (2017-2018)
https://www.congress.gov/bill/115th-congress/house-bill/4943/text

tec4net schafft Rechtssicherheit im Unternehmen durch Datenschutzberatung