Bye-bye, Privacy Shield Bye-bye, Privacy Shield

Es ist so weit. Was einst mit einer Beschwerde in Bezug auf die Übermittlung personenbezogener Daten in die USA bei der zuständigen Aufsichtsbehörde begann, wurde zu einem der größten Verfahren zur Klärung datenschutzrechtlicher Anforderungen der letzten Jahre: Der Gerichtshof der Europäischen Union (EuGH) wurde von der zuständigen Aufsichtsbehörde um eine Vorabentscheidung zur Rechtmäßigkeit der Standarddatenschutzklauseln der Europäischen Kommission sowie des EU-US Privacy Shields gebeten. Die Entscheidung ist gefallen, und sie heißt „bye, bye Privacy Shield“. Der EuGH hat das Privacy-Shield-Abkommen für ungültig erklärt, mit der Folge, dass fortan die Übermittlung von personenbezogenen Daten aus der EU in die USA auf Grundlage des Privacy Shields als rechtswidrig gilt und für die Zukunft auf andere Rechtsgrundlagen zurückgegriffen werden muss.

Das Privacy-Shield-Abkommen wurde in der Vergangenheit bereits vielfach kritisiert. Insbesondere die freiwillige Unterwerfung der Unternehmen sowie die mangelnde Möglichkeit zur Einhaltung eines angemessenen Datenschutzniveaus waren besondere Kritikpunkte. In diesem Zusammenhang standen vorwiegend die Überwachungsgesetze der USA im Vordergrund, die es Geheimdiensten und Behörden wie der NSA oder dem FBI erlauben, Daten von europäischen Kunden der US-Konzerne auszuwerten. Zwar konnte im Rahmen des Privacy-Shield-Abkommens eine Ombudsperson in den USA installiert werden, an die sich EU-Bürger wenden sollten, wenn sie ihre Privatsphäre durch US-Unternehmen verletzt sehen. Für die Luxemburger Richter war dies jedoch nicht ausreichend, um die Rechte und Freiheiten der betroffenen Personen angemessen zu schützen. Sie sehen die Ombudsperson als nicht unabhängig genug und bezweifeln ihre tatsächlichen Durchgriffsmöglichkeiten - schließlich ist keine Möglichkeit für betroffene Personen vorgesehen, vor Gericht zu klagen. 

Das Privacy-Shield-Abkommen wurde 2016 als Nachfolger des seinerzeit für ungültig erklärten „Safe Harbour Abkommens“ zwischen der EU und den USA beschlossen. Es diente der Feststellung eines angemessenen Schutzniveaus der personenbezogenen Daten durch die EU. Für Datenübermittlungen an Unternehmen in die USA, die sich dem Privacy Shield angeschlossen und in das hierfür vorgesehene Verzeichnis eingetragen haben, lag damit ein Angemessenheitsbeschluss i. S. d. Art. 45 DSGVO vor. Dies hatte zur Folge, dass Datenübermittlungen in die USA in rechtmäßiger und vor allem datenschutzkonformer Weise erfolgen konnten. Die Eintragung amerikanischer Unternehmen in die Privacy-Shield-Liste implizierte die Datenschutzkonformität des jeweiligen Unternehmens. Hinterfragt oder überprüft wurde dies allerdings nicht.

Unternehmen, die bisher auf den Bestand der Privacy-Shield-Vereinbarung vertraut haben, stehen nun vor dem Problem, dass ihre Datenübermittlungen in dieser Form künftig rechtswidrig sind. Die Europäische Datenschutz-Grundverordnung (DSGVO) sieht in den Fällen, in denen eine Datenübermittlung aus der EU in ein Drittland erfolgen soll, strenge Regeln vor. Der Schutz der personenbezogenen Daten der EU-Bürger endet nicht mit der Grenze, sondern ist insbesondere über die Grenzen hinaus sicherzustellen. 

Es ist nun erforderlich, dass Unternehmen die Übermittlung personenbezogener Daten in die USA nicht länger auf das Privacy-Shield-Abkommen und den damit verbundenen Angemessenheitsbeschluss stützen, sondern die Übermittlung durch eine andere Rechtsgrundlage oder Ausnahme der DSGVO legitimieren. In Betracht kommen beispielsweise das bereits vielfach genutzte Verfahren der sogenannten Standarddatenschutzklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Hilfe der Standarddatenschutzklauseln versichert der Vertragspartner im Drittland, dass bei der Übermittlung ins Ausland ein angemessener Schutz für die Daten der EU-Bürger gewährleistet wird. Auch diese waren Gegenstand des hiesigen EuGH-Verfahrens. Zwar wurden die Standarddatenschutzklauseln seitens des EuGHs als grundsätzlich zulässig erachtet, allerdings stellt der EuGH klar, dass die Unternehmen ihren aus den SCC erwachsenen Pflichten zwingend nachkommen müssen. Dies bedeutet, dass Unternehmen, die eine Übermittlung personenbezogener Daten auf Grundlage der SCC vornehmen wollen, sich explizit mit der Gesetzlage des Drittlandes auseinandersetzen müssen und ggf. die Datenübermittlung aussetzen oder vom Vertrag zurücktreten müssen, wenn die Gesetzeslage die Einhaltung der vertraglichen Pflichten unmöglich macht. Dies ergibt sich auch aus den veröffentlichten FAQs des Europäischen Datenschutzausschusses (EDSA). Ob ein Datentransfer an US-Unternehmen zulässig ist, die den Anwendungsbereichen der vom EuGH betrachteten Überwachungsgesetze unterliegen, muss von Fall zu Fall untersucht werden. 

Neben dem Angemessenheitsbeschluss und der SCC sieht die DSGVO weiterhin die Möglichkeiten der verbindlichen internen Datenschutzvorschriften („Binding Corporate Rules“)  für Übermittlungen innerhalb von Unternehmen (Art. 47 DSGVO) vor, die jedoch einen langwierigen internen Prozess bis zur Schließung zur Folge haben können. Die Übermittlung personenbezogener Daten auf Basis einer Einwilligung, als weitere Alternative, kann in der Praxis an den Grundprinzipien der Informiertheit, der Transparenz und der Freiwilligkeit scheitern. 

Die Folgen des Beschlusses des EuGHs liegen auf der Hand. Personenbezogene Daten lassen sich mühelos um die Welt schicken, aber nicht sorglos:  Es besteht nun immense Unsicherheit für viele Unternehmen; schnelles Handeln, eine klare Analyse und effiziente Anpassungen müssen folgen.

Im Ergebnis bedeutet die Entscheidung des EuGHs nun nicht, dass eine Datenübermittlung von der EU in die USA schier unmöglich wird. Vielmehr sind Unternehmen jetzt dazu aufgefordert, Datenübermittlungen auf Grundlage des Privacy-Shield-Abkommens in die USA innerhalb ihres Unternehmens zu identifizieren und damit die eigene Betroffenheit zu analysieren. Darüber hinaus sind die internen Prozesse schnellstmöglich zu prüfen, zu adaptieren und final alternative Rechtsgrundlagen zur Übermittlung personenbezogener Daten in Drittländer zu schaffen. Die Alternativen gilt es nun zu untersuchen und im Einzelfall passend zu wählen. Auch Übermittlungen auf Grundlage der SCC sind zu prüfen und kritisch zu hinterfragen, ob die Umsetzung aller Pflichten in Bezug auf die Gesetzeslage in den Drittländern möglich ist. Nach Maßgabe des EDSA ist der Datentransfer einzustellen, sofern keine zusätzlichen Schutzmaßnahmen möglich sind oder trotz solcher Maßnahmen kein angemessenes Schutzniveau gewährleistet werden kann. Wenn Unternehmen ohne geeigneten Schutz einen Datentransfer in die USA beabsichtigen, müssen sie die zuständige Aufsichtsbehörde benachrichtigen.

Wer also weiterhin Übermittlungen auf das Privacy-Shield-Abkommen stützt, handelt datenschutzwidrig und erfüllt dadurch einen Bußgeldtatbestand der DSGVO. Die bisherige Bußgeld-Praxis der europäischen Datenschutzaufsichtsbehörden zeigt, dass von den abschreckenden Sanktionsmöglichkeiten der DSGVO Gebrauch gemacht wird, und Unternehmen hohe Bußgelder zu befürchten haben. Aber auch die Umstellung auf SCC unterliegt datenschutzrechtlichen Hürden. Es gilt somit die Möglichkeiten der passenden Rechtsgrundlage zur Datenübermittlung sorgfältig zu prüfen und Veröffentlichungen und Hinweise bspw. zum Umgang mit den SCC von den zuständigen Datenschutzaufsichtsbehörden und weiteren Stellen im Auge zu behalten.