EuGH kippt die Vereinbarung “EU‑U.S. Privacy Shield” (Schrems II)
[toc]
Hintergrund
Die Übertragung von personenbezogenen Daten an Länder, die nicht Mitglieder der EU bzw. dem EWR sind (sog. Drittländer) ist nur dann möglich, wenn die (Empfänger-)Länder ein Datenschutzniveau garantieren, dass dem Niveau der DSGVO entspricht. Sichergestellt werden muss insbesondere, dass es geeignete Garantien für den Schutz der personenbezogenen Daten gibt, die betroffene Person ihre Rechte auch durchsetzen kann und sie die Möglichkeit hat, wirksame Rechtsbehelfe bzw. Rechtsmittel einzulegen.
Als Instrumente für die Sicherstellung dieses Niveaus kamen bisher in Frage:
- Angemessenheitsbeschlüsse der Kommission (d.h. die Bewertung der Kommission, dass innerstaatliche Regelungen und internationale Verpflichtung des Empfängerstaates ausreichen um ein angemessenes Datenschutzniveau zu garantieren; liegt vor u.a. für Japan, Kanada, Israel, Schweiz usw.)
- Standardvertragsklauseln (Standard Contractual Clauses, “SCC”. Vertragswerk, dass von der EU-Kommission entwickelt wurde und als Vorlage für individuelle Verträge zwischen Auftraggeber (Versender) und Auftragnehmer (Verarbeiter) zur Datenübermittlung genutzt werden kann; der Datenversender muss aber prüfen, ob die getroffenen Vereinbarungen auch tatsächlich eingehalten werden)
- Binding Corporate Rules (“BCR”, vergl. Art. 46, 47 DSGVO; Unternehmensrichtlinien, die in Zusammenarbeit mit den Datenschutzbehörden entwickelt werden)
- EU‑U.S. Privacy Shield (bei der Übertragung von Daten in die USA)
Vorlage beim EuGH
Der irische Gerichtshof (High Court) hatte dem EuGH die Frage vorgelegt, ob die Vereinbarung zwischen der EU-Kommission und den USA ausreicht, um die in den USA übermittelten Daten hinreichend zu schützen (sog. Vorabentscheidungsersuchen). Der EuGH entscheidet im Rahmen des Vorabentscheidungsersuchens aber nicht den nationalen Rechtsstreit, der insoweit noch in Irland entschieden werden muss. Das nationale Gericht muss die dort anhängige Rechtssache unter Beachtung der Rechtsauffassung des EuGH nun entscheiden. Allerdings bindet die Entscheidung des EuGH andere nationale Gerichte, die mit einer ähnlichen Rechtsfrage beschäftigt sind.
Das Urteil vom 16.07.2020
Am 16.07.2020 verkündete der EuGH in seinem Urteil (Rechtssache C‑311/18), dass
- die Standardvertragsklauseln grundsätzlich gültig sind und insbes. nicht gegen die Charta der Grundrechte der Europäischen Union verstoßen, aber
- der Privacy Shield Beschluss 2016/1250 ungültig ist.
Der EuGH stellte fest, dass die USA beim EU‑U.S. Privacy Shield den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang vor dem Schutz der personenbezogenen Daten einräumen (z.B. Section 702 FISA und EO 12333). Durch die existierenden Zugriffsmöglichkeiten der US-Behörden könne daher den Anforderungen des EU-Rechts an den Datenschutz in den USA nicht entsprochen werden.
FAQ des Europäischen Datenschutzausschusses vom 23.07.2020
Nach dem Urteil des EuGH hat der Europäische Datenschutzausschuss nach einer ersten Stellungnahme in seiner Sitzung am 23. Juli 2020 Fragen und Antworten zur Umsetzung des Urteils veröffentlicht. Die FAQ (englisch) sind unter https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de veröffentlicht.
Hier einige Auszüge…
Hat das Urteil auch Auswirkungen auf Datenübertragungen, die nicht auf dem Privacy Shield basieren?
Der EuGH hat festgestellt, dass das US-Recht für jede Datenübermittlung gilt. Es ist daher für jede Datenübermittlung erforderlich, dass geprüft wird, ob ein angemessenes Schutzniveau sichergestellt werden kann.
Gibt es eine Schonfrist in der Daten zunächst auf der Grundlage des Privacy Shield übertragen werden können?
Nein; der EuGH hat das Privacy Shield für ungültig erklärt. Eine Schonfrist wurde nicht eingeräumt; dieses muss bei jeder Übertragung in die USA berücksichtigt werden.
Was ist bei der Verwendung von Standardvertragsklauseln zu berücksichtigen?
Da der EuGH festgestellt hat, dass das US-amerikanische Recht kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet, muss in jedem Einzelfall geprüft und bewertet werden, ob und wie das angemessene Datenschutzniveau sichergestellt werden kann. Ggf. muss die Übertragung personenbezogener Daten ausgesetzt oder beendet werden.
Was ist bei der Verwendung von Binding Corporate Rules (BCRs) zu berücksichtigen?
Es ist auch bei Verwendung von BCRs erforderlich, dass im Einzelfall geprüft und bewertet wird, ob und wie ein angemessenes Schutzniveau sichergestellt werden kann. Ggf. muss die Übermittlung beendet werden.
Kann die Übermittlung von Daten in die USA auf eine der Ausnahmen des Art. 49 DSGVO gestützt werden?
Es ist weiterhin möglich, Datenübertragungen auf die in Art. 49 DSGVO vorgesehenen Ausnahmeregelungen zu stützen, sofern die Voraussetzungen erfüllt sind.
Wenn die Übertragung auf einer Einwilligung der betroffenen Person beruht, muss die Einwilligung ausdrücklich und für die konkrete Übertragung vorliegen, auch wenn die Übertragung erst nach der Datenerhebung erfolgen soll. Die betroffene Person muss über die Risiken informiert werden und dass die Daten in ein Land übertragen werden, welches kein angemessenes Datenschutzniveau bietet.
Bei Übertragungen, die zur Erfüllung eines Vertrages zwischen der betroffenen Person und dem für die Datenverarbeitung Verantwortlichen erforderlich sind, ist zu beachten, dass die Übertragungen nur “gelegentlich” erfolgen. Es muss im Einzelfall festgestellt werden, ob die Datenübertragungen “gelegentlich” oder “nicht nur gelegentlich” erfolgen. Eine solche gelegentliche Übertragung kann nur im Ausnahmefall und nur dann erfolgen, wenn die Übertragung für die Vertragserfüllung objektiv erforderlich ist.
Es muss der allgemeine Grundsatz eingehalten werden, dass die Ausnahmeregelungen des Art. 49 DSGVO nicht zur “Regel” werden und nur auf Einzelfälle beschränkt werden.
Können weiterhin BCR oder SCC verwendet werden, um Daten in ein anderes Drittland als die USA zu übertragen?
Die Entscheidung des EuGH gilt für jedes Drittland. Es liegt in der Verantwortung des Datenexporteurs und des Datenimporteurs, zu beurteilen, ob das vom EU-Recht geforderte Schutzniveau in dem Drittland eingehalten wird. Es ist zu prüfen, ob ergänzende Maßnahmen zur Gewährleistung eines im Wesentlichen gleichwertigen Schutzniveaus wie im EWR erforderlich sind und ob das nationale Recht des Drittstaates die vereinbarten Regelungen nicht beeinträchtigt um deren Wirksamkeit zu verhindern.
Wenn der Datenexporteur oder der ‑importeur feststellen, dass die BCR oder SCC keinen ausreichenden Schutz bieten, muss die Datenübertragung unverzüglich ausgesetzt werden. Sollte dieses nicht erfolgen, muss die zuständige Datenschutzaufsichtsbehörde informiert werden.
Welche zusätzlichen Maßnahmen sind erforderlich, wenn Daten in Drittländer auf der Grundlage von BCR oder SCC übertragen werden?
Ergänzende Maßnahmen müssen im Einzelfall unter Berücksichtigung aller Umstände der Datenübermittlung und nach Prüfung des nationalen Rechts des Drittlandes bereitgestellt werden, um ein angemessenes Datenschutzniveau zu garantieren.
Der EuGH betont, dass es in der Verantwortung des Datenexporteurs und des Datenimporteurs liegt, die Einzelfallbewertung vorzunehmen und eine Entscheidung über die erforderlichen ergänzenden Maßnahmen zu treffen.
Der Europäische Datenschutzausschuss prüft derzeit, welche rechtlichen, technischen und oder organisatorischen Maßnahmen vorgesehen werden können und wird entsprechende Leitlinien veröffentlichen.
Wie kann ich feststellen, ob ein Auftragsverarbeiter Daten in die USA oder ein anderes Drittland überträgt?
Der Auftragsverarbeitungvertrag sollte Regelungen enthalten, ob Übertragungen in ein Drittland oder der Zugriff auf Daten aus einem Drittland vereinbart ist oder nicht. Es sollte auch eine vertraglich Regelung für Unter-Auftragsverarbeiter vorhanden sein.
Was kann ich machen, wenn im Auftragsverarbeitungsvertrag vorgesehen ist, dass Daten in die USA oder ein anderes Drittland übertragen werden können?
Die einzige Lösung besteht darin, eine Änderung oder ergänzende Klausel zu Ihrem Vertrag auszuhandeln, um Übertragungen in die USA zu verbieten. Wenn Ihre Daten in ein anderes Drittland übertragen werden dürfen, sollten Sie auch die Rechtsvorschriften dieses Drittlandes überprüfen, um zu überprüfen, ob sie den erforderlichen Schutz der personenbezogenen Daten ermöglichen. Wenn dieses nicht der Fall ist, sollten keine personenbezogene Daten übermittelt werden.
Stellungnahme der Datenschutzkonferenz (DSK) vom 28.07.2020
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden teilte in der Pressemitteilung vom 28.07.2020 mit, dass für die Übermittlung personenbezogener Daten in die USA und andere Drittländer das Urteil folgende Auswirkungen hat:
- Die Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden; es gibt insoweit keine Übergangsfrist oder Schonfrist.
- Grundsätzlich kann die Übermittlung personenbezogener Daten in Drittländer auf der Grundlage der Standardvertragsklauseln der Europäischen Kommission erfolgen. Es muss aber individuell geprüft und bewertet werden, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen.
- Eine Übermittlung personenbezogener Daten in eine Drittland ist nach der Ausnahmeregelung des Art. 49 DSGVO weiterhin möglich. Dieses setzt u. a. voraus:
- die besonders informierte betroffene Person hat in die Datenübermittlung für die bestimmte Datenübermittlung oder eine Reihe von Datenübermittlungen ausdrücklich ihre Einwilligung erklärt (vergl. auch EG 111, Art. 4 Nr. 11, 7 DSGVO), nachdem sie über die für sie bestehenden möglichen Risiken der Datenübermittlung unterrichtet wurde (vergl. hierzu Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 vom 25.05.2018 des European Data Protection Board / Europäischer Datenschutzausschuss) oder
- die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
Was ist zu unternehmen?
Das ist eine recht gute Frage… Es ist aber wohl kaum möglich, dass der Verantwortliche selbst beurteilt, ob die nationalen Regelungen der Drittstaaten ausreichen um ein solches Schutzniveau zu gewährleisten, welches dem der DSGVO entspricht.
Nach Art. 45 DSGVO besteht ein angemessenes Schutzniveau in dem Drittland dann, wenn auf Grundlage der innerstaatlichen Rechtsvorschriften und deren Anwendung sowie der Rechtsprechung, der Existenz und der wirksamen Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden sowie der eingegangenen internationalen Verpflichtungen ein Schutzniveau existiert, welches dem in der DSGVO gewährten Schutzniveau gleichwertig ist.
Wir empfehlen daher dringend, jegliche Datenübermittlung in Drittländer zu intensiv zu prüfen, zu bewerten und ggf. zu beenden bis klar ist, unter welchen rechtlichen, technischen und organisatorischen Voraussetzungen eine Übertragung möglich ist.
Setzen Sie sich mit uns zeitnah in Verbindung, damit wir Sie bei dieser Herausforderung unterstützen können.
Update vom 10.08.2020
Heute teilten der amerikanische Handelsminister Wilbur Ross (Republikaner, geb. 28.11.1937, seit 28.02.2017 United States Secretary of Commerce) und der belgische Kommissar für Justiz und Rechtsstaatlichkeit Didier Reynders (Movement Réformateur, geb. 06.08.2958, seit 01.12.2019 Kommissar) mit, dass die US Regierung und die EU Kommission Gespräche über eine Neuregelung für die Datenübermittlung zwischen der EU und den USA aufgenommen haben. Ziel sei es, die Aussichten für einen “verbesserten Rahmen” auszuloten.
Einen Zeitplan oder Details, wie die neuen Absprachen aussehen könnten, gab es in der Pressemitteilung aber nicht.
Quelle: U.S. Department of Commerce (Link zur Pressemittelung)