Datenschutz News: EuGH kippt das “Privacy Shield”
Co-Autor: Mag. Arne Greiner LL.M.
Weitreichende Entscheidung zur Datenübermittlung in Drittländer
Gestern, am 16. Juli 2020, veröffentlichte der Europäische Gerichtshof (EuGH) sein Urteil in der mit Spannung erwarteten Rechtssache “Schrems II” (C-311/18). In seinem Urteil hielt der EuGH fest, dass die von der Europäischen Kommission herausgegebenen Standardvertragsklauseln (SCCs) für die Übermittlung personenbezogener Daten an Datenverarbeiter mit Sitz außerhalb der EU zwar (weiterhin) gültig sind, schränkte deren praktische Anwendung jedoch durch einige Klarstellungen ein. Darüber hinaus erklärte das Gericht den Angemessenheitsbeschluss der Kommission über das “Privacy Shield” für ungültig.
Welche Auswirkungen hat dieses Urteil auf die Praxis? Welche Maßnahmen müssen Unternehmen jetzt ergreifen und drohen hier gegebenenfalls auch Strafen?
Hintergrund
Max Schrems reichte eine Beschwerde bei der irischen Datenschutzbehörde (Data Protection Commission Ireland) ein, in der er behauptete, dass die SCCs, auf die sich Facebook Inc. bei der Regelung seiner Datentransfers von der EU in die USA stützt, keinen angemessenen Schutz für betroffene Personen in der EU gewährleisteten, und behauptete, dass US-Gesetze Überwachungsmöglichkeiten einräumen, die gegen das Recht auf Privatsphäre und Datenschutz der betroffenen Personen verstoßen, das ua in der EU-Grundrechtecharta sowie der Datenschutz-Grundverordnung (DSGVO) verankert ist.
Zentrales Argument war in diesem Zusammenhang, dass personenbezogene Daten aus der EU Gefahr laufen könnten, nach der Übermittlung in die USA von der US-Regierung eingesehen zu werden, und dass es für Personen in der EU keine effektiven Rechtsbehelfe dagegen gebe, die den Schutz ihrer personenbezogenen Daten gewährleisten könnten.
Standardvertragsklauseln
Die SCCs bieten grundsätzlich (weiter) einen ausreichenden Schutz für die Übermittlung personenbezogener Daten in Drittländer. Der EuGH hat jedoch die aktive Rolle des Verantwortlichen dadurch unterstrichen, dass er auf die – auch bisher bestehende – Letztverantwortung für Datentransfers hinweist. Hier muss eine aktive Rolle in der Bewertung eingenommen werden, ob in dem jeweiligen Drittland tatsächlich ein „angemessenes Schutzniveau“ besteht. Um ein solches erreichen zu können, müssen zusätzlich zu SCCs weitere Garantien vereinbart werden. Wie diese im Einzelfall konkret ausgestaltet werden müssen, ist derzeit noch unklar.
Unternehmen mit Sitz in einem Drittland, die auf Grundlage der SCCs Daten aus der EU importieren, müssen die Verantwortlichen mit Sitz in der EU aktiv darüber informieren, wenn sie nicht in der Lage sind, die SCCs einzuhalten. Sollte dies der Fall sein und gibt es auch keine zusätzlichen Garantien, die ein „angemessenes Schutzniveau“ gewährleisten, ist der Verantwortliche dazu verpflichtet, den Datentransfer auszusetzen und/oder den Vertrag zu kündigen.
Privacy Shield
Als Grund für die Außerkraftsetzung von Privacy Shield führte der EuGH an, dass die im US-Recht verankerten Überwachungsmöglichkeiten für ihre Zwecke unverhältnismäßig seien und daher nicht den Anforderungen des Unionsrechts entsprechen. Darüber hinaus erkannte der EuGH, dass die Rechtsordnung der USA keine der EU gleichwertige Rechtsdurchsetzung für betroffene Personen ermöglicht.
To-Do’s für Unternehmen
Der Wegfall von Privacy Shield wirkt sich unmittelbar auf alle darauf aufbauenden Datentransfers aus und betrifft auch Verträge mit großen Service- oder Cloud-Dienstleistern. Sofern diese nicht bereits parallel auf andere Garantien gesetzt haben (SCCs od zB Binding Corporate Rules), sind Datentransfers ins Drittland prinzipiell unzulässig. Ein nachträglicher Abschluss von SCCs ist jedoch relativ einfach möglich und wird vermutlich von großen Anbietern in den nächsten Wochen proaktiv angegangen werden. Unternehmen in der EU sind – unabhängig davon – trotzdem gut beraten, ihre Verträge auf Privacy Shield hin zu überprüfen und gegebenenfalls selbst aktiv auf die Verwendung von SCCs zu bestehen. Auch gilt es, Veröffentlichungen von Stellungnahmen und Guidelines der Datenschutzbehörde(n) oder der Kommission im Auge zu behalten. Für zukünftig abgeschlossene Verträge müssen Verantwortliche im Einzelfall entscheiden, ob im jeweiligen Drittstaat ein angemessenes Datenschutzniveau gewährleistet ist.
Offene Fragen
Während das Urteil hinsichtlich der Verwendung von Privacy Shield erwartungsgemäß sehr deutlich ausfällt, bleiben im Zusammenhang mit der Verwendung von SCCs für die Praxis viele Fragen offen: Anhand welcher Kriterien sollen einzelne Verantwortliche ein “angemessenes” Datenschutzniveau beurteilen? Welche Garantien können konkret vereinbart werden, um dieses zu erreichen? Verhindern strukturelle Missstände in einem Drittland (zB Überwachungsmöglichkeiten, Zugriffsrechte, etc) überhaupt einen Datentransfer?
Hier werden auch das European Data Protection Board und die Kommission Verantwortung zeigen und zeitnah praktikable Lösungsansätze liefern müssen. Daneben stellt sich die Frage, ob – ähnlich wie bereits nach Wegfall des Safe Harbor Abkommens – ein Moratorium für Privacy Shield Datentransfers angedacht wird, das die Kommission für den Abschluss eines neuen Angemessenheitsbeschlusses verwenden könnte.
Co-Autorin: Mag. Sabine Brunner, LLB.oec.
Gerne unterstützen wir Sie bei der Prüfung und Anpassung Ihrer datenschutzrechtlichen Vereinbarungen und stehen Ihnen für Rückfragen jederzeit unter +43 1 384 05 50 oder per E-Mail unter office@pwclegal.at zur Verfügung.