Mit einer viel beachteten Entscheidung vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) im Verfahren “Data Protection Commissioner / Facebook Irland und Schrems” (C-311/18) den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Die “Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern” bleiben hingegen gültig.
Damit ist das Privacy Shield-Abkommen zwischen der EU und den USA endgültig gescheitert und unwirksam. Ein wirksamer Datenexport in die USA lässt sich nun nur noch über die Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften des Datenimporteurs abbilden.
Eine Pressemitteilung wurde bereits veröffentlicht – der Volltext des Urteils steht noch aus.
EuGH folgt Empfehlung des Generalanwalts: Privacy Shield-Entscheidung ist ungültig
Das Gericht folgt damit im Wesentlichen der Empfehlung des Generalanwalts aus den Schlussanträgen. Darin wurde zwar keine unmittelbare Entscheidung des EuGH über die Privacy Shield-Entscheidung der Europäischen Kommission (Beschluss 2016/1250) gefordert.
Der Generalanwalt hegte aber grundsätzliche Zweifel an der Wirksamkeit der Entscheidung – vor allem vor dem Hintergrund ggf. fehlender Rechtsbehelfe und den weitreichenden Befugnissen der US-amerikanischen Sicherheitsbehörden, auf Datenbestände zuzugreifen. Dieser Aspekt hat sich mit der Verabschiedung des CLOUD-Acts im März 2018 noch einmal verschärft.
Der Datenschutzaktivist Schrems konnte bereits 2015 den Privacy Shields-Vorgänger “Safe Harbour” zu Fall bringen: Auch dieses Datenabkommen zwischen EU und USA erklärte der EuGH damals für ungültig (C 362/14).
Nun gab der EuGH Schrems und dem Generalanwalt auch in Bezug auf Privacy Shield (erneut) recht: insbesondere eröffne der “Ombudsmechanismus entgegen den […] von der Kommission [im Beschluss 2016/1250] getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ […], das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären“.
Diese Garantien, insbesondere solche, welche “die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten” oder diese “dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen” seien nicht vorhanden. Dadurch bliebe das Schutzniveau für personenbezogene Daten in den USA so weit unter dem europäischen Standard, dass eine Gleichwertigkeit nicht erkennbar sei und auch durch die zusätzlichen Mechanismen nicht erreicht werden könne.
Standardvertragsklauseln und verbindliche interne Datenschutzvorschriften bleiben gültig
Dagegen hat der EuGH die Angemessenheitsentscheidung der Kommission über die Standardvertragsklauseln (Beschluss 2010/87) unangetastet gelassen.
Insoweit stellt der EuGH fest, dass der Beschluss (und damit die Standardvertragsklauseln) “wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird” und dass entsprechende “Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist.”
Der EuGH legt dabei auch besonderen Wert auf die Mitteilungspflichten und Rücktrittsrechte, welche die Standardvertragsklauseln für den Fall vorsehen, dass der Datenimporteur das vereinbarte Datenschutzniveau nicht (mehr) gewährleisten kann.
Handlungsbedarf: Überprüfung bestehender vertraglicher Regelungen mit Datenexport in die USA
Für Unternehmen, die sich den Dienstleistungen von Auftragsverarbeitern in den USA (z.B. Microsoft Azure oder Amazon AWS) bedienen, besteht jetzt konkreter Handlungsbedarf: Die bestehenden Verträge müssen darauf überprüft werden, welche Regelung zur Datenübertragung bzw. zum Datenexport getroffen worden sind.
Verlässt sich die vertragliche Regelung neben der Privacy Shield-Zertifizierung des Anbieters (ggf. zusätzlich) auch auf Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften, ist der Datenexporteur nur scheinbar auf der sicheren Seite: Gerade jetzt sollte die Korrektheit der verwendeten Standarddatenschutzklauseln dringend noch einmal überprüft werden. Insofern lassen die Aufsichtsbehörden keinerlei Änderungen am Wortlaut zu, die Anhänge müssen korrekt ausgefüllt sein und beim Einsatz von Subdienstleistern sind unter Umständen Direktverträge erforderlich.
Der EuGH hebt zudem hervor, dass der Datenexporteur und der Datenimporteur vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss. Insofern ist bei US-Dienstleistern zu prüfen, ob eine Einhaltung der Klauseln vor dem Hintergrund der Überwachungsprogramme (Stichwort PATRIOT Act und CLOUD Act) möglich ist.
Bei verbindlichen internen Datenschutzvorschriften ist zu prüfen, ob diese ordnungsgemäß von einer Aufsichtsbehörde überprüft und abgesegnet worden sind und für die vorliegende Übermittlungskonstellation gelten (beim Einsatz von Dienstleistern sind regelmäßig sogenannte Binding Corporate Rules for Processors erforderlich).
Beruht der Vertrag hingegen nur auf der Privacy Shield-Zertifizierung des Datenimporteurs, ist dringendes Handeln geboten: Diese Verträge müssen nun sehr zeitnah neu verhandelt und unter Beachtung des Urteils erneut abgeschlossen werden.