Personenbezogene Daten dürfen nach der DSGVO nur in Drittländer übermittelt werden, wenn dort ein angemessenes Schutzniveau gewährleistet ist. Um das Schutzniveau nachzuweisen, werden die Transferinstrumente aus den Art. 45 ff. DSGVO herangezogen. Ein solches Transferinstrument stellt der Beschluss 2016/1250 der EU-Kommission über das Privacy Shield dar, der festlegt, dass in den USA ein angemessenes Schutzniveau besteht.

Die Vorgeschichte

Der österreichische Datenschutzaktivist Max Schrems wehrte sich erstmals 2015 vor dem EuGH („Schrems I“) gegen das Safe-Harbour-Abkommen zwischen den USA und der EU. Schon damals ging es ihm darum, zu verhindern, dass Facebook Irland personenbezogene Daten an Facebook Inc. in den USA übermittelt.

Der Gerichtshof kam zu dem Ergebnis, dass die Daten europäischer Bürger durch das damalige Abkommen nicht ausreichend vor dem Zugriff der US-Behörden (insbesondere der US-Geheimdienste) geschützt worden waren und kippte es daraufhin.

Als Safe-Harbour-Nachfolger wurde das Privacy Shield ausgehandelt. Dieses enthält zwar einige Verschärfungen, z.B. die Benennung einer Ombudsperson im US-Außenministerium. Dennoch kritisierten viele Datenschützer, dass das Privacy Shield vom Inhalt größtenteils dem Safe-Harbour-Abkommen entspreche.

Daher legte Schrems erneut Beschwerde bei der irischen Datenschutzbehörde ein und der Fall landete vor dem EuGH.

Das Votum (Az. C-311/18)

Der Europäische Gerichtshof erklärte nun auch den Beschluss über das Privacy Shield für ungültig.

Er stellte fest, dass der Schutz personenbezogener Daten in den USA dergestalt eingeschränkt ist, dass die amerikanischen Behörden auf solche Daten, die aus der Union übermittelt werden, zugreifen und verwenden dürfen. Die auf amerikanische Rechtsvorschriften gestützten Überwachungsprogramme entsprechen nicht dem unionsrechtlichen Grundsatz der Verhältnismäßigkeit.

Ferner ist Betroffenen kein Rechtsweg eröffnet, der den nach dem Unionsrecht erforderlichen Garantien entspreche.

Nach Auffassung des EuGH ist der Beschluss 2010/87 über Standardvertragsklauseln für die Datenübermittlung an Auftragsverarbeiter in Drittländern weiterhin gültig.

Jedoch muss bei der Verwendung von Standardvertragsklauseln stets geprüft werden, ob ein dem europäischen Datenschutz vergleichbarer Schutz für die Daten in dem Drittland tatsächlich besteht. Dies gilt auch für die Übermittlung auf Basis von Binding Corporate Rules und anderer Transferinstrumente nach Art. 46 DSGVO.

Handlungsempfehlungen für Unternehmen

Folgende Maßnahmen sind angesichts der veränderten Rechtslage zu treffen:

  • Prüfung der Datenübermittlungen: Alle Datentransfers in Drittländer und Rechtsgrundlagen sind zu überprüfen.
  • Prüfung der Transferinstrumente: Sofern der Transfer auf der Grundlage des Privacy Shield erfolgte, ist zu prüfen, ob er auf Standardvertragsklauseln oder ein anderes Transferinstrument aus Art. 46 DSGVO gestützt werden kann oder Ausnahmen nach Art. 49 DSGVO greifen. Ist dies nicht der Fall, ist die Datenübermittlung auszusetzen, bei der zuständigen Datenschutzaufsichtsbehörde anzuzeigen oder zu prüfen, ob EU-Dienstleister mit EU-Servern eingesetzt werden können.

Der Verantwortliche muss außerdem das gültige Recht des Drittstaates darauf überprüfen, ob die Standardvertragsklauseln oder sonstige getroffene Garantien ausgehöhlt werden. Gegebenenfalls müssen ergänzende Schutzmaßnahmen (z. B. zusätzliche Datenverschlüsselungen, Vertragsergänzungen) getroffen werden, die ein angemessenes Schutzniveau gewährleisten.

  • Prüfung der unternehmensinternen Prozesse: Bei Unternehmensprozessen ist zu prüfen, ob diese auf dem Privacy Shield basieren. Hinweise auf das Privacy Shield in Datenschutzerklärungen, Webseiten und Vertragswerken sollten entfernt werden. Auftragsverarbeitungsverträge sind darauf zu überprüfen, ob der Vertragspartner oder seine Subunternehmer Daten in den USA verarbeiten dürfen oder Dienstleistern aus Drittländern Zugriff auf personenbezogene Daten gewährt wird. In diesem Fall sollten Änderungsklauseln ausgehandelt werden. Bei der Auftragsverarbeitung sollte außerdem der Einsatz von Dienstleistern mit US-Subunternehmern vermieden werden.
  • Prüfung der Information an Betroffene: Die verpflichtenden Informationen nach Art. 13, 14 DSGVO sollten angepasst werden.

Unrechtmäßige Datenübermittlungen an Drittstaaten können nach Art. 83 Abs. 5 lit. c DSGVO mit empfindlichen Geldbußen geahndet werden und die Datenübermittlung untersagt werden.