Datenschutzbeauftragter Hildesheim

EuGH kippt die Vereinbarung “EU‑U.S. Privacy Shield” (Schrems II)

Hintergrund

Die Über­tra­gung von per­so­nen­be­zo­ge­nen Daten an Län­der, die nicht Mit­glie­der der EU bzw. dem EWR sind (sog. Dritt­län­der) ist nur dann mög­lich, wenn die (Empfänger-)Länder ein Daten­schutz­ni­veau garan­tie­ren, dass dem Niveau der DSGVO ent­spricht. Sicher­ge­stellt wer­den muss ins­be­son­de­re, dass es geeig­ne­te Garan­tien für den Schutz der per­so­nen­be­zo­ge­nen Daten gibt, die betrof­fe­ne Per­son ihre Rech­te auch durch­set­zen kann und sie die Mög­lich­keit hat, wirk­sa­me Rechts­be­hel­fe bzw. Rechts­mit­tel einzulegen.

Als Instru­men­te für die Sicher­stel­lung die­ses Niveaus kamen bis­her in Frage:

  1. Ange­mes­sen­heits­be­schlüs­se der Kom­mis­si­on (d.h. die Bewer­tung der Kom­mis­si­on, dass inner­staat­li­che Rege­lun­gen und inter­na­tio­na­le Ver­pflich­tung des Emp­fän­ger­staa­tes aus­rei­chen um ein ange­mes­se­nes Daten­schutz­ni­veau zu garan­tie­ren; liegt vor u.a. für Japan, Kana­da, Isra­el, Schweiz usw.)
  2. Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses, “SCC”. Ver­trags­werk, dass von der EU-Kom­mis­si­on ent­wi­ckelt wur­de und als Vor­la­ge für indi­vi­du­el­le Ver­trä­ge zwi­schen Auf­trag­ge­ber (Ver­sen­der) und Auf­trag­neh­mer (Ver­ar­bei­ter) zur Daten­über­mitt­lung genutzt wer­den kann; der Daten­ver­sen­der muss aber prü­fen, ob die getrof­fe­nen Ver­ein­ba­run­gen auch tat­säch­lich ein­ge­hal­ten werden)
  3. Bin­ding Cor­po­ra­te Rules (“BCR”, vergl. Art. 46, 47 DSGVO; Unter­neh­mens­richt­li­ni­en, die in Zusam­men­ar­beit mit den Daten­schutz­be­hör­den ent­wi­ckelt werden)
  4. EU‑U.S. Pri­va­cy Shield (bei der Über­tra­gung von Daten in die USA)

Vorlage beim EuGH

Der iri­sche Gerichts­hof (High Court) hat­te dem EuGH die Fra­ge vor­ge­legt, ob die Ver­ein­ba­rung zwi­schen der EU-Kom­mis­si­on und den USA aus­reicht, um die in den USA über­mit­tel­ten Daten hin­rei­chend zu schüt­zen (sog. Vor­ab­ent­schei­dungs­er­su­chen). Der EuGH ent­schei­det im Rah­men des Vor­ab­ent­schei­dungs­er­su­chens aber nicht den natio­na­len Rechts­streit, der inso­weit noch in Irland ent­schie­den wer­den muss. Das natio­na­le Gericht muss die dort anhän­gi­ge Rechts­sa­che unter Beach­tung der Rechts­auf­fas­sung des EuGH nun ent­schei­den. Aller­dings bin­det die Ent­schei­dung des EuGH ande­re natio­na­le Gerich­te, die mit einer ähn­li­chen Rechts­fra­ge beschäf­tigt sind.

Das Urteil vom 16.07.2020

Am 16.07.2020 ver­kün­de­te der EuGH in sei­nem Urteil (Rechts­sa­che C‑311/18), dass

  1. die Stan­dard­ver­trags­klau­seln grund­sätz­lich gül­tig sind und ins­bes. nicht gegen die Char­ta der Grund­rech­te der Euro­päi­schen Uni­on ver­sto­ßen, aber
  2. der Pri­va­cy Shield Beschluss 2016/1250 ungül­tig ist.

Der EuGH stell­te fest, dass die USA beim EU‑U.S. Pri­va­cy Shield den Erfor­der­nis­sen der natio­na­len Sicher­heit, des öffent­li­chen Inter­es­ses und der Ein­hal­tung des ame­ri­ka­ni­schen Rechts Vor­rang vor dem Schutz der per­so­nen­be­zo­ge­nen Daten ein­räu­men (z.B. Sec­tion 702 FISA und EO 12333). Durch die exis­tie­ren­den Zugriffs­mög­lich­kei­ten der US-Behör­den kön­ne daher den Anfor­de­run­gen des EU-Rechts an den Daten­schutz in den USA nicht ent­spro­chen werden.

FAQ des Europäischen Datenschutzausschusses vom 23.07.2020

Nach dem Urteil des EuGH hat der Euro­päi­sche Daten­schutz­aus­schuss nach einer ers­ten Stel­lung­nah­me in sei­ner Sit­zung am 23. Juli 2020 Fra­gen und Ant­wor­ten zur Umset­zung des Urteils ver­öf­fent­licht. Die FAQ (eng­lisch) sind unter https://​edpb​.euro​pa​.eu/​n​e​w​s​/​n​e​w​s​/​2​0​2​0​/​e​u​r​o​p​e​a​n​-​d​a​t​a​-​p​r​o​t​e​c​t​i​o​n​-​b​o​a​r​d​-​p​u​b​l​i​s​h​e​s​-​f​a​q​-​d​o​c​u​m​e​n​t​-​c​j​e​u​-​j​u​d​g​m​e​n​t​-​c​-​3​1​1​1​8​-​s​c​h​r​e​m​s​_de veröffentlicht.

Hier eini­ge Auszüge…

Der EuGH hat fest­ge­stellt, dass das US-Recht für jede Daten­über­mitt­lung gilt. Es ist daher für jede Daten­über­mitt­lung erfor­der­lich, dass geprüft wird, ob ein ange­mes­se­nes Schutz­ni­veau sicher­ge­stellt wer­den kann.

Nein; der EuGH hat das Pri­va­cy Shield für ungül­tig erklärt. Eine Schon­frist wur­de nicht ein­ge­räumt; die­ses muss bei jeder Über­tra­gung in die USA berück­sich­tigt werden.

Da der EuGH fest­ge­stellt hat, dass das US-ame­ri­ka­ni­sche Recht kein im Wesent­li­chen gleich­wer­ti­ges Schutz­ni­veau gewähr­leis­tet, muss in jedem Ein­zel­fall geprüft und bewer­tet wer­den, ob und wie das ange­mes­se­ne Daten­schutz­ni­veau sicher­ge­stellt wer­den kann. Ggf. muss die Über­tra­gung per­so­nen­be­zo­ge­ner Daten aus­ge­setzt oder been­det werden.

Es ist auch bei Ver­wen­dung von BCRs erfor­der­lich, dass im Ein­zel­fall geprüft und bewer­tet wird, ob und wie ein ange­mes­se­nes Schutz­ni­veau sicher­ge­stellt wer­den kann. Ggf. muss die Über­mitt­lung been­det werden.

Es ist wei­ter­hin mög­lich, Daten­über­tra­gun­gen auf die in Art. 49 DSGVO vor­ge­se­he­nen Aus­nah­me­re­ge­lun­gen zu stüt­zen, sofern die Vor­aus­set­zun­gen erfüllt sind.

Wenn die Über­tra­gung auf einer Ein­wil­li­gung der betrof­fe­nen Per­son beruht, muss die Ein­wil­li­gung aus­drück­lich und für die kon­kre­te Über­tra­gung vor­lie­gen, auch wenn die Über­tra­gung erst nach der Daten­er­he­bung erfol­gen soll. Die betrof­fe­ne Per­son muss über die Risi­ken infor­miert wer­den und dass die Daten in ein Land über­tra­gen wer­den, wel­ches kein ange­mes­se­nes Daten­schutz­ni­veau bietet.

Bei Über­tra­gun­gen, die zur Erfül­lung eines Ver­tra­ges zwi­schen der betrof­fe­nen Per­son und dem für die Daten­ver­ar­bei­tung Ver­ant­wort­li­chen erfor­der­lich sind, ist zu beach­ten, dass die Über­tra­gun­gen nur “gele­gent­lich” erfol­gen. Es muss im Ein­zel­fall fest­ge­stellt wer­den, ob die Daten­über­tra­gun­gen “gele­gent­lich” oder “nicht nur gele­gent­lich” erfol­gen. Eine sol­che gele­gent­li­che Über­tra­gung kann nur im Aus­nah­me­fall und nur dann erfol­gen, wenn die Über­tra­gung für die Ver­trags­er­fül­lung objek­tiv erfor­der­lich ist.

Es muss der all­ge­mei­ne Grund­satz ein­ge­hal­ten wer­den, dass die Aus­nah­me­re­ge­lun­gen des Art. 49 DSGVO nicht zur “Regel” wer­den und nur auf Ein­zel­fäl­le beschränkt werden.

Die Ent­schei­dung des EuGH gilt für jedes Dritt­land. Es liegt in der Ver­ant­wor­tung des Daten­ex­por­teurs und des Daten­im­por­teurs, zu beur­tei­len, ob das vom EU-Recht gefor­der­te Schutz­ni­veau in dem Dritt­land ein­ge­hal­ten wird. Es ist zu prü­fen, ob ergän­zen­de Maß­nah­men zur Gewähr­leis­tung eines im Wesent­li­chen gleich­wer­ti­gen Schutz­ni­veaus wie im EWR erfor­der­lich sind und ob das natio­na­le Recht des Dritt­staa­tes die ver­ein­bar­ten Rege­lun­gen nicht beein­träch­tigt um deren Wirk­sam­keit zu verhindern.

Wenn der Daten­ex­por­teur oder der ‑impor­teur fest­stel­len, dass die BCR oder SCC kei­nen aus­rei­chen­den Schutz bie­ten, muss die Daten­über­tra­gung unver­züg­lich aus­ge­setzt wer­den. Soll­te die­ses nicht erfol­gen, muss die zustän­di­ge Daten­schutz­auf­sichts­be­hör­de infor­miert werden.

Ergän­zen­de Maß­nah­men müs­sen im Ein­zel­fall unter Berück­sich­ti­gung aller Umstän­de der Daten­über­mitt­lung und nach Prü­fung des natio­na­len Rechts des Dritt­lan­des bereit­ge­stellt wer­den, um ein ange­mes­se­nes Daten­schutz­ni­veau zu garantieren.

Der EuGH betont, dass es in der Ver­ant­wor­tung des Daten­ex­por­teurs und des Daten­im­por­teurs liegt, die Ein­zel­fall­be­wer­tung vor­zu­neh­men und eine Ent­schei­dung über die erfor­der­li­chen ergän­zen­den Maß­nah­men zu treffen.

Der Euro­päi­sche Daten­schutz­aus­schuss prüft der­zeit, wel­che recht­li­chen, tech­ni­schen und oder orga­ni­sa­to­ri­schen Maß­nah­men vor­ge­se­hen wer­den kön­nen und wird ent­spre­chen­de Leit­li­ni­en veröffentlichen.

Der Auf­trags­ver­ar­bei­tung­ver­trag soll­te Rege­lun­gen ent­hal­ten, ob Über­tra­gun­gen in ein Dritt­land oder der Zugriff auf Daten aus einem Dritt­land ver­ein­bart ist oder nicht. Es soll­te auch eine ver­trag­lich Rege­lung für Unter-Auf­trags­ver­ar­bei­ter vor­han­den sein.

Die ein­zi­ge Lösung besteht dar­in, eine Ände­rung oder ergän­zen­de Klau­sel zu Ihrem Ver­trag aus­zu­han­deln, um Über­tra­gun­gen in die USA zu ver­bie­ten. Wenn Ihre Daten in ein ande­res Dritt­land über­tra­gen wer­den dür­fen, soll­ten Sie auch die Rechts­vor­schrif­ten die­ses Dritt­lan­des über­prü­fen, um zu über­prü­fen, ob sie den erfor­der­li­chen Schutz der per­so­nen­be­zo­ge­nen Daten ermög­li­chen. Wenn die­ses nicht der Fall ist, soll­ten kei­ne per­so­nen­be­zo­ge­ne Daten über­mit­telt werden.

Stellungnahme der Datenschutzkonferenz (DSK) vom 28.07.2020

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den teil­te in der Pres­se­mit­tei­lung vom 28.07.2020 mit, dass für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­län­der das Urteil fol­gen­de Aus­wir­kun­gen hat:

  1. Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA auf Grund­la­ge des Pri­va­cy Shield ist unzu­läs­sig und muss unver­züg­lich ein­ge­stellt wer­den; es gibt inso­weit kei­ne Über­gangs­frist oder Schonfrist.
  2. Grund­sätz­lich kann die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­län­der auf der Grund­la­ge der Stan­dard­ver­trags­klau­seln der Euro­päi­schen Kom­mis­si­on erfol­gen. Es muss aber indi­vi­du­ell geprüft und bewer­tet wer­den, ob die Rech­te der betrof­fe­nen Per­so­nen im Dritt­land ein gleich­wer­ti­ges Schutz­ni­veau wie in der EU genießen.
  3. Eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in eine Dritt­land ist nach der Aus­nah­me­re­ge­lung des Art. 49 DSGVO wei­ter­hin mög­lich. Die­ses setzt u. a. voraus: 
    1. die beson­ders infor­mier­te betrof­fe­ne Per­son hat in die Daten­über­mitt­lung für die bestimm­te Daten­über­mitt­lung oder eine Rei­he von Daten­über­mitt­lun­gen aus­drück­lich ihre Ein­wil­li­gung erklärt (vergl. auch EG 111, Art. 4 Nr. 11, 7 DSGVO), nach­dem sie über die für sie bestehen­den mög­li­chen Risi­ken der Daten­über­mitt­lung unter­rich­tet wur­de (vergl. hier­zu Leit­li­ni­en 2/2018 zu den Aus­nah­men nach Arti­kel 49 der Ver­ord­nung 2016/679 vom 25.05.2018 des Euro­pean Data Pro­tec­tion Board / Euro­päi­scher Daten­schutz­aus­schuss) oder
    2. die Über­mitt­lung ist für die Erfül­lung eines Ver­tra­ges zwi­schen der betrof­fe­nen Per­son und dem Ver­ant­wort­li­chen oder zur Durch­füh­rung vor­ver­trag­li­cher Maß­nah­men erforderlich.

Was ist zu unternehmen?

Das ist eine recht gute Fra­ge… Es ist aber wohl kaum mög­lich, dass der Ver­ant­wort­li­che selbst beur­teilt, ob die natio­na­len Rege­lun­gen der Dritt­staa­ten aus­rei­chen um ein sol­ches Schutz­ni­veau zu gewähr­leis­ten, wel­ches dem der DSGVO entspricht.

Nach Art. 45 DSGVO besteht ein ange­mes­se­nes Schutz­ni­veau in dem Dritt­land dann, wenn auf Grund­la­ge der inner­staat­li­chen Rechts­vor­schrif­ten und deren Anwen­dung sowie der Recht­spre­chung, der Exis­tenz und der wirk­sa­men Funk­ti­ons­wei­se einer oder meh­re­rer unab­hän­gi­ger Auf­sichts­be­hör­den sowie der ein­ge­gan­ge­nen inter­na­tio­na­len Ver­pflich­tun­gen ein Schutz­ni­veau exis­tiert, wel­ches dem in der DSGVO gewähr­ten Schutz­ni­veau gleich­wer­tig ist.

Wir emp­feh­len daher drin­gend, jeg­li­che Daten­über­mitt­lung in Dritt­län­der zu inten­siv zu prü­fen, zu bewer­ten und ggf. zu been­den bis klar ist, unter wel­chen recht­li­chen, tech­ni­schen und orga­ni­sa­to­ri­schen Vor­aus­set­zun­gen eine Über­tra­gung mög­lich ist.

Set­zen Sie sich mit uns zeit­nah in Ver­bin­dung, damit wir Sie bei die­ser Her­aus­for­de­rung unter­stüt­zen können.

Update vom 10.08.2020

Heu­te teil­ten der ame­ri­ka­ni­sche Han­dels­mi­nis­ter Wil­bur Ross (Repu­bli­ka­ner, geb. 28.11.1937, seit 28.02.2017 United Sta­tes Secre­ta­ry of Com­mer­ce) und der bel­gi­sche Kom­mis­sar für Jus­tiz und Rechts­staat­lich­keit Didier Reyn­ders (Move­ment Réfor­ma­teur, geb. 06.08.2958, seit 01.12.2019 Kom­mis­sar) mit, dass die US Regie­rung und die EU Kom­mis­si­on Gesprä­che über eine Neu­re­ge­lung für die Daten­über­mitt­lung zwi­schen der EU und den USA auf­ge­nom­men haben. Ziel sei es, die Aus­sich­ten für einen “ver­bes­ser­ten Rah­men” auszuloten.

Einen Zeit­plan oder Details, wie die neu­en Abspra­chen aus­se­hen könn­ten, gab es in der Pres­se­mit­tei­lung aber nicht.

Quel­le: U.S. Depart­ment of Com­mer­ce (Link zur Pres­se­mit­te­lung)