EuGH: Privacy Shield Abkommen gekippt

Sollen personenbezogene Daten von EU-Bürgern in Drittländer übermittelt werden, müssen Garantien vorliegen, dass diese Daten auch dort einem vergleichbar hohen Schutzniveau unterliegen. Eine dieser Garantien war eine Zertifizierung nach dem EU-U.S. Privacy-Shield Abkommen. Dieses Abkommen haben die Richter am Europäischen Gerichtshof (EuGH) nunmehr gekippt. Hintergründe und Maßnahmen haben wir in diesem Beitrag für Sie zusammengefasst.

Das Problem

Viele europäische Unternehmen (EU-Exporteure) bedienen sich für die Leistungserbringung der Hilfe von Anbietern digitaler Dienste mit Sitz außerhalb der Europäischen Union (sog. Drittländer). Ganz übliche Beispiele für die Verwendung von Dienstleistern in Drittstaaten (z.B. den USA) sind etwa der Versand von Newslettern, das Hosting von Webseiten oder der Einsatz von Cookies. Sollen aber personenbezogene Daten von EU-Bürgern in ein Drittland übermittelt werden, so bestimmt die EU-Datenschutz-Grundverordnung gem. Art. 44 ff. DSGVO, dass dies nur dann geschehen darf, wenn das betreffende Land ein angemessenes Schutzniveau für diese Daten gewährleistet.

Zulässige Datenübermittlung in ein Drittland

So kann die EU-Kommission etwa gem. Art. 45 Abs. 3 DSGVO auf Grund eines Angemessenheitsbeschlusses feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Derzeit existieren etwa Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay.

Mit dem Angemessenheitsbeschluss der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sog. EU-U.S. Privacy Shield stand seit 1. August 2016 eine Grundlage für Datenübermittlungen in die USA zur Verfügung. Damit wurde die Lücke, die durch die Nichtigerklärung der Safe Harbor Entscheidung durch den EuGH entstanden war, geschlossen. Heute, am 16.07.2020, hat der EuGH nun auch das Privacy Shield Abkommen für ungültig erklärt.

Was war passiert

Kläger ist ein österreichischer Staatsangehöriger, der seit 2008 Nutzer von Facebook ist. Wie bei allen anderen in der Europäischen Union wohnhaften Nutzern werden auch seine personenbezogenen Daten ganz oder teilweise zunächst von Facebook Ireland erhoben und verarbeitet und anschließend an Server der Facebook Inc. Weitergegeben. Letztere befindet sich in den Vereinigten Staaten. Der Kläger legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen an die Facebook Mutter mit Sitz in den Vereinigten Staaten verbieten zu lassen. Er machte geltend, dass Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten.

Er beantragte daher, die von Facebook Ireland auf der Grundlage der vorgenommenen Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten.

Mit seinem heute verkündeten Urteil hat der EuGH festgestellt, dass die Standardvertragsklauseln als Genehmigung für eine Übermittlung in ein Drittland weiterhin gültig sind. Den Privacy Shield-Beschluss 2016/1250 erklärt der EuGH hingegen für ab sofort ungültig.

Was das bedeutet

Es stehen nunmehr noch drei Möglichkeiten zur Verfügung, personenbezogene Daten von EU-Bürgern DSGVO-konform in die USA zu übermitteln:

• Binding Corporate Rules gem. 47 DSGVO
• Ausdrückliche Einwilligung der betroffenen Person gem. 49 DSGVO
• EU-Standardvertragsklauseln gem. 46 Abs. 2 lit. c) DSGVO

Verbindliche interne Datenschutzvorschriften / Binding Corporate Rules

Die DSGVO bietet mit Art. 47 DSGVO die Möglichkeit, den Datenschutz beim Datentransfer in ein Drittland über verbindliche interne Datenschutzvorschriften zu gewährleisten. Diese müssen dann von den zuständigen Aufsichtsbehörden im Rahmen des Kohärenzverfahrens nach Art. 63 DSGVO geprüft und abgenommen werden bevor sie wirksam sind.

Wie die international übliche Verwendung des Begriffs „Binding Corporate Rules“ bereits zeigt, sind verbindliche interne Datenschutzvorschriften gem. Art. 47 DSGVO auf Unternehmen bzw. Unternehmensgruppen ausgerichtet. Genehmigte BCR ermöglichen einen freien Datenfluss innerhalb von multinationalen Konzernen bzw. Unternehmensverbünden. Denn Standarddatenschutzklauseln stellen für die Datenübermittlung innerhalb multinationaler Unternehmensgruppen regelmäßig kein praktikables Instrument dar. Denn jeder Verantwortliche müsste mit jedem einzelnen Datenempfänger in einem Drittland einen einzelnen, jeweils auf den konkreten Übermittlungsvorgang angepassten Standardvertrag abschließen.

Der weltweit bekannte Zahlungsdienstleister Paypal verfügt etwa über BCR, die bereits im Februar 2018 von der Datenschutzaufsicht in Luxemburg geprüft und abgenommen worden sind.

Ausdrückliche Einwilligung

Sofern der Datentransfer erfolgt, ohne dass der Empfänger-Staat ein durch die Europäische Kommission angemessenes Schutzniveau aufweist oder eine geeignete Garantie für die Datenverarbeitung vorliegt, kann ein Transfer auch durch eine im Katalog des Art. 49 DSGVO aufgeführten Ausnahmetatbestand erfolgen, beispielsweise durch die ausdrückliche und informierte Einwilligung des Betroffenen.

Grundvoraussetzung einer wirksamen Einwilligung ist eine ordnungsgemäße Vorabinformation der betroffenen Person, d.h. die betroffene Person muss über das konkrete Risiko der Datenübermittlung in ein Drittland ohne adäquates Schutzniveau aufgeklärt werden. Die Information muss dabei folgende Angaben enthalten:

• Welche personenbezogenen Daten betroffen sind
• Auf welche Verarbeitungsvorgänge und -zwecke sich die Zustimmung bezieht
• Angabe des Empfängers und des Zielortes
• Hinweises auf die dortigen Verarbeitungsvoraussetzungen (z.B. etwaige Auswertungen, Überwachungen und sonstige Nutzungen)

Nach der Legaldefinition in Art. 4 Nr. 11 DSGVO bedarf es einer unmissverständlich abgegebenen Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Da die Einwilligung ohne jeden Zweifel erfolgen muss, führt gem. Erwägungsgrund 42 DSGVO jeglicher Zweifel daran, ob die Einwilligung tatsächlich gegeben worden ist, dazu, dass die Ausnahmeregelung nicht gilt. Da die Einwilligung für den bestimmten Fall gegeben werden muss, sind Pauschaleinwilligungen in Drittlandübermittlungen außerdem ausgeschlossen.

Die Artikel-29-Datenschutzgruppe hat zur Vorgängerregelung betont, dass die Einwilligung aus praktischen Gründen in der Regel keine geeignete Grundlage für wiederholte, systematische oder routinemäßige Übermittlungen in unsichere Drittstaaten bietet (WP 114, 13). Auch die Möglichkeit eine Einwilligung jederzeitigen widerrufen zu können, darf bei einem Rechtfertigungsversuch über die Einwilligung nicht vergessen werden.

Aber auch wenn die Artikel-29 Datenschutzgruppe Zweifel am praktischen Nutzen der Einwilligung für die Übermittlung personenbezogener Daten in Drittländer hat, lässt sich dem Gesetzeswortlaut nicht entnehmen, dass diese Einwilligung nur für „gelegentliche“ Übermittlungen anwendbar sein soll. Schließlich ist die Einwilligung im Sinne der DSGVO die Entscheidung der betroffenen Person, dem Datenverarbeiter die Verarbeitung der eigenen personenbezogenen Daten zu gestatten. Als stärkster Ausdruck des Rechts auf informationelle Selbstbestimmung kommt der Einwilligung damit eine zentrale Rolle zur Legitimation der Verarbeitung personenbezogener Daten zu. Denn sie ist Ausdruck der Freiheit und Schutzinteressen der geschützten Person sowie der Rücksichtnahme auf die Grundrechte und Interessen der Datenverarbeiter.

Aufgrund dieser hervorgehoben Stellung unterliegt eine wirksame Einwilligung aber strengen Anforderungen. So muss die Einwilligung gem. Art. 7 DSGVO etwa freiwillig sein, durch eine eindeutig bestätigende Handlung erfolgen, informiert und widerruflich sein. Trotz Fehlens von Schutzgewährleistungen für die Daten nach deren Übermittlung in ein Drittland ist es daher grundsätzlich möglich, auch wiederholte oder systematische Übermittlungen in ein Drittland auf eine ausdrückliche Einwilligung zu stützen, soweit alle Anforderungen an eine wirksame ausdrückliche Einwilligung gem. Art. 4 Nr. 11, Art. 7, 8, 49 DSGVO erfüllt sind.

Standardvertragsklauseln

Schließlich kann die Verwendung der von der Europäischen Kommission genehmigten Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO eine Datenübermittlung in ein Drittland ermöglichen. Bereits auf Grundlage der alten EU- Datenschutzrichtlinie (Richtline 95/46/EG) wurden durch die Kommission Standardvertragsklauseln für unterschiedliche Konstellationen der Übermittlung von personenbezogenen Daten in Drittländer erlassen.

Standardvertragsklauseln für die Datenübermittlung an Empfänger, die die Daten als Verantwortliche erhalten:

• Set I: https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32001D0497
• Set II: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32004D0915

Standardvertragsklauseln für die Datenübermittlung an Auftragsdatenverarbeiter

• https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE:PDF

In den allermeisten Fällen wird der Standardvertrag für die Datenübermittlung an Auftragsverarbeiter (also z.B. Cookie-, Newsletter- oder Hostinganbieter) einschlägig sein. Ist der Empfänger der personenbezogenen Daten mit Sitz in einem Drittland Verantwortlicher, so ist das Set II vorzuziehen, da dieses nicht nur das jüngere Werk ist, sondern auch von Wirtschaftsverbänden entworfen und von der EU-Kommission abgenommen wurde.

Es ist übrigens auch möglich, die Standarddatenschutzklauseln gem. Erwägungsgrund 109 DSGVO auch in umfangreichere Vertragswerke (z.B. zwischen zwei Auftragsverarbeitern; im Rahmen von Service-Level-Agreements) einzubauen oder um zusätzliche Klauseln zu ergänzen. Zu bedenken ist allerdings, dass die Übermittlung der Daten nur dann genehmigungsfrei ist, wenn die Standarddatenschutzklauseln unverändert verwendet werden.

Fazit
Verantwortliche oder Auftragsverarbeiter können ab dem 16.07.2020 keine personenbezogenen Daten mehr auf Basis des EU-US Privacy Shields an Empfänger in den Vereinigten Staaten übermitteln.

Die Verwendung von Standarddatenschutzklauseln stellt somit gerade für kleinere und mittlere Unternehmen aber ein einfach handhabbares Instrument zur rechtmäßigen Übermittlung personenbezogener Daten in Drittländer dar. Viele Diensteanbieter mit Sitz in Drittländern werden sich wohl kurz- und mittelfristig mit diesem Themenkomplex auseinandersetzen müssen und den Abschluss entsprechender Standardvertragsklauseln anbieten.

Als erste Sofortmaßnahmen für unsere Mandanten haben wir nunmehr als erstes damit begeonnen unsere Vorlage zur Datenschutzerklärung anzupassen. Zweitens prüfen wir bei allen uns bekannten Auftragsverarbeitern unserer Mandanten die nach dem EU-U.S. Privacy-Shield Abkommen zertifiziert waren, ob diese auch gleichzeitig Standardvertragsklauseln verwendet haben. Verwenden die Auftragsverarbeiter die Privacy Shield zertifiziert waren auch gleichzeitig Standardvertragsklauseln, gibt es dort keinen Handlungsbedarf. Bei allen Auftragsverarbeitern die nicht zusätzlich zur Privacy Shield Zertifizierung Standardvertragsklauseln verwendet haben, werden wir das weitere Vorgehen im Einzelfall mit unseren Mandanten abstimmen.

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) fordert zudem:

• Sanktionsmaßnahmen von EU-Aufsichtsbehörden bezüglich der Datenexporte in Drittländer, insbesondere die USA, sind vorerst auszusetzen. Datenverarbeiter müssen die Möglichkeit erhalten, ihre Datenflüsse in Drittländer nach dem Urteil des EuGH evaluieren können.
• Seitens des Europäischen Datenschutzausschusses sind Hinweise zu erarbeiten, nach welchen Kriterien Datenexporte auf Basis der EU-Standardvertragsklauseln in ein Drittland auszusetzen sind. Hier wären beispielsweise Black- oder Whitelists für Länder oder bestimmte Sektoren denkbar. Alleingänge nationaler Aufsichtsbehörden wären nicht zielführend.
• Verhandlungen zwischen der Europäischen Kommission und den Vereinigten Staaten für Änderungen des EU-US Privacy Shields sind zeitnah aufzunehmen. Insbesondere die Datenzugriffe von Behörden aus Sicherheitsinteressen müssen einer effektiven und verbindlichen Kontrolle unterliegen und sich am Verhältnismäßigkeitsgrundsatz orientieren. Rechtsschutzmöglichkeiten für EU-Bürger sind stärker zu berücksichtigen.

Sollten Sie weitere Fragen zu diesem Thema haben, stehen wir Ihnen gerne zur Verfügung.