Die Übermittlung personenbezogener Daten in die USA auf Grundlage des EU-US-Privacy-Shields ist nach dem Urteil des Europäischen Gerichtshofes (EuGH) – Schrems II rechtswidrig. Der EuGH hat den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Privacy-Shield gebotenen Schutzes für ungültig erklärt.

Was hat der EuGH zur Datenübermittlung in die USA entschieden?

Das EU-US-Privacy-Shield ist/war eine von verschiedenen Möglichkeiten die Datenübermittlung in die USA rechtlich abzusichern. Es basierte auf dem Privacy-Shield-Beschlusses 2016/1250 der EU-Kommission. Indem sich ein US-Unternehmen den Regeln des Privacy-Shields unterwirft und sich entsprechend zertifizieren lässt, sollte ein angemessenes Datenschutznivau hergestellt werden. Der EuGH hat nun (u.a.) entschieden, dass das EU-US-Privacy-Shield ungültig ist (Urteil vom 16. Juli 2020, Rechtssache C-311/18; Pressemitteilung).
Der Sachverhalt und die wesentlichen Gründe der Entscheidung sind in der Pressemitteilung zusammengefasst und gut dargestellt.

In der Pressemitteilung wird zu den Feststellungen des EuGH ausgeführt:

„Insoweit stellt er [der EuGH] fest, dass in diesem [Privacy-Shield] Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

(Pressemitteilung des EuGH Nr. 91/20 abgerufen am: 17.7.2020)

Kurzum: Die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme sind (nach europäischen Verständnis) nicht auf das zwingend erforderliche Maß beschränkt. Dies führt zu unverhältnismäßigen Einschränkungen für den Schutz personenbezogener Daten, die von der EU in die USA übermittelt werden. Daneben fehlt den von der Datenverarbeitung betroffenen nicht-amerikanischen Personen die Möglichkeit ihre Rechte nach der DSGVO vor den amerikanischen Behörden durchzusetzen. Durch die amerikanischen Rechtsvorschriften werden den betroffenen Personen zudem keine Rechte verliehen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

WICHTIG: Der EuGH urteilte auch, dass die EU-Standardvertragsklauseln weiterhin als gültig anzusehen sind. Er betonte aber auch, dass die betroffenen EU-Unternehmen, die personenbezogenen Daten in einen Staat außerhalb der EU oder des EWR (Drittland) übermitteln und auch das Unternehmen im Drittland, im Einzelfall prüfen müssen, ob das erforderliche Schutzniveau bei dem empfangenden Unternehmen im Drittland eingehalten wird, oder die Rechtsordnung des Drittlandes dem entgegensteht. Sollte das nicht der Fall sein, muss das EU-Unternehmen die Datenübermittlung aussetzen. Die Aufsichtsbehörden für Datenschutz wären zudem verpflichtet, die Datenübermittlung zu verbieten.

Was ist die Folge der Ungültigkeit des Privacy-Shields?

Da das EU-US-Privacy-Shield – streng genommen der Privacy Shield-Beschluss 2016/1250 – für ungültig erklärt wurde, ist eine Datenübermittlung in die USA ab sofort unzulässig, wenn man sich dabei allein auf das Privacy-Shield gestützt hat. Eine Übergangsfrist gibt es nicht. Es ist anzunehmen, dass sich nun die nationalen Aufsichtsbehörden für den Datenschutz zu dem Urteil äußern werden und ggf. Prüfungen bei den Unternehmen ankündigen werden. Dies wird vermutlich aber nicht kurzfristig erfolgen.

Was ist nach dem EuGH-Urteil zum Privacy-Shield jetzt zu tun?

Sie müssen zu allererst feststellen, ob Sie mit Ihrem Unternehmen (personenbezogene) Daten in die USA übermitteln. Hierzu prüfen Sie, welche Dienste (Tools, Software, Webservices, etc.) Sie in Ihrem Unternehmen nutzen, bei denen personenbezogene Daten auf Servern in den USA gespeichert und verarbeitet werden.
Am besten nehmen Sie sich das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO – Verarbeitungsverzeichnis) zur Hand und schauen unter den Punkten „Empfänger der Daten“ und „Übermittlung in ein Drittland“, ob hier ein US-Amerikanisches Unternehmen aufgelistet ist. An dieser Stelle zeigt sich übrigens der praktische Wert des sog. Verarbeitungsverzeichnisses für Ihr Unternehmen. Die Mühen, die Sie bei der Erstellung des Verzeichnisses aufgewendet haben, machen sich also jetzt bezahlt.

Im zweiten Schritt prüfen Sie, ob der Datentransfer zu dem jeweiligen US-Unternehmen auf das Privacy-Shield-Abkommen und/oder auf die sog. EU-Standardvertragsklausen gestützt wird. Sollte die Datenübermittlung allein auf das Privacy-Shield-Abkommen gestützt werden, müssen Sie den Datentransfer stoppen, da die Übermittlung nach dem Urteil des EuGH unzulässig ist.

Als letzten Schritt müssen Sie mit allen identifizierten Dienstleistern die passenden EU-Standardvertragsklauseln abschließen. Wenn Sie ein gepflegtes und aktuelles Verarbeitungsverzeichnis führen, können Sie die Adressen und Kontaktdaten des US-Unternehmens daraus entnehmen und zügig und gezielt die Vertragsverhandlung zum Abschluss der EU-Standardverträge aufnehmen. Erst danach darf die Datenübermittlung wieder aufgenommen werden.

Tipp: Bei Webservices, schauen Sie in Ihrem Nutzeraccount (Adminaccount) nach, ob sich dort ggf. schon Vertragsunterlagen einsehen lassen. Einige US-Unternehmen fügen die EU-Standardvertragsklauseln Ihren Nutzungsbedingungen als Anlage bei.

Checkliste der (kurzfristigen) ToDos:

  1. Identifikation von Datenübermittlungen an US-Unternehmen mit Datenverarbeitung in den USA (Blick in das Verarbeitungsverzeichnis);
  2. Prüfen, ob Datenübermittlung allein auf Privacy-Shield gestützt wird oder zusätzlich bereits EU-Standardvertragsklauseln abgeschlossen wurden;
  3. Abschluss der passenden EU-Standardvertragsklauseln mit den US-Unternehmen, wenn bisherige Datenübermittlung allein auf Privacy-Shield gestützt wurde;
  4. Die Entwicklung zu den EU-Standardvertragsklauseln im Auge behalten;
  5. Bei allen Zweifelsfragen, nehmen Sie Kontakt zu Ihrem Datenschutzbeauftragten oder Rechtsberater auf.

Mittelfristige Handlungserfordernisse

Der EuGH hat zwar die EU-Standardvertragsklauseln nicht für unzulässig erklärt. Die Bedenken, die er im Rahmen seiner Bewertung zum Privacy-Shield-Abkommen angestellt hat sind jedoch auf bei der Beurteilung der EU-Standardvertragsklauseln zu berücksichtigen. Es ist durchaus zu befürchten, dass mittelfristig auch die EU-Standardvertragsklauseln nicht mehr ausreichend sein werden. Der EuGH machte auch deutlich, dass es nicht ausreicht, allein die Verträge abzuschließen, sondern auch geprüft werden muss, ob deren Vorgaben eingehalten werden. Mittelfristig sollte daher geprüft werden, ob bestimmte Datenverarbeitungsvorgänge zu Dienstleistern innerhalb der EU umgezogen werden könnten. In jedem Fall sollte aber geprüft werden, ob manche Dienste so konfiguriert werden können, dass die Datenverarbeitung durch das US-Unternehmen zumindest ausschließlich auf den Servern innerhalb der EU erfolgt (Wahl des Serverstandorts zur Datenverarbeitung).