Haben Sie Fragen?

Übermittlung von Daten in Drittländer – Was müssen Unternehmen ab sofort beachten?

Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 16.07.2020 das EU-US Privacy Shield "gekippt".

So liest man es von vielen Kommentatoren. Richtiger ist: Der Durchführungsbeschluss (EU) 2016/1250 vom 12.07.2016 (vom EuGH „DSS-Beschluss“ genannt), mit dem die Europäische Kommission die Angemessenheit des vom EU-U.S. Privacy Shield gebotenen Schutzes für die Übertragung personenbezogener Daten in die USA beschlossen hat, wurde vom EuGH für ungültig erklärt.


Was ist das EU-U.S. Privacy Shield?

Bei dem EU-U.S. Privacy Shield handelt es sich um eine seit dem 12.07.2016 bestehende Absprache zwischen der EU und den USA. Sie betrifft den Schutz personenbezogener Daten, die aus der EU in die USA übertragen werden. Das in der EU bestehende, hohe Datenschutzniveau soll so auch bei der Übertragung in die USA gewahrt bleiben. Im Rahmen des EU-U.S. Privacy Shield hat die US-amerikanische Bundesregierung bezüglich des Schutzes personenbezogener Daten verschiedene Zusicherungen gemacht und die EU-Kommission den jetzt für ungültig erklärten Durchführungsbeschluss erlassen.

Das EU-U.S. Privacy Shield besteht also grundsätzlich weiterhin. Das U.S. Department of Commerce (Handelsministerium der Vereinigten Staaten) kündigt auf der Website des EU-U.S. Privacy Shield an, das Programm weiter zu betreiben und Anträge von US-Unternehmen, die sich zertifizieren möchten, weiterhin zu bearbeiten.


Was hat der EuGH entschieden?

Der EuGH hatte sich im konkreten Fall mit Vorlagefragen des irischen High Court zu beschäftigen. Bei dem High Court handelt es sich um das oberste Zivil- und Strafgericht der Republik Irland. Auslöser des dort anhängigen Rechtsstreits war eine Beschwerde des österreichischen Datenschutzaktivisten Max Schrems bei der irischen Datenschutzbehörde, die als solche auch für die Überwachung von Facebook Irland zuständig ist.

Die Beschwerde und der Rechtsstreit drehen sich kurz gesagt um die Frage, ob die Datenübertragungen der Facebook Ireland Ltd. mit Sitz in Dublin an die amerikanische Mutter Facebook Inc. mit Sitz in Kalifornien rechtmäßig erfolgt. Bedenken daran bestehen insbesondere deshalb, weil die Facebook Inc. aufgrund der in den USA geltenden Überwachungsgesetze und den auf deren Grundlage laufenden Überwachungsprogrammen (gerade solche, die auf dem Foreign Intelligence Surveillance Act (FISA) beruhen) nach amerikanischem Recht dazu verpflichtet werden kann, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.

Der Zugriff auf personenbezogene Daten durch (Sicherheits-)Behörden ist auch in Deutschland an der Tagesordnung. Bemerkenswert in den USA ist aber, dass die auf FISA gestützten Überwachungsprogramme zwar bestimmten Anforderungen nach amerikanischem Recht genügen müssen, keine dieser Anforderungen aber den von der Überwachung betroffenen Personen Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden könnten, so dass diese Personen nicht über einen wirksamen Rechtsbehelf verfügen. Das Bestehen wirksamer Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden, ist aber gemäß Art. 45 Abs. 2 lit. a Datenschutz-Grundverordnung (DS-GVO) Voraussetzung dafür, dass ein angemessenes Schutzniveau in einem Drittland bestehen kann.

Der EuGH wurde vom irischen High Court gebeten, zu verschiedenen Fragen Stellung zu nehmen, wobei es unter anderem um die Auslegung und Gültigkeit der beiden Beschlüsse ging, auf deren Grundlage die allermeisten Übertragungen in Drittländer und insbesondere in die USA stattfinden: Dem Beschluss der Kommission über die sogenannten EU-Standardvertragsklauseln ("SDK-Beschluss") und den Durchführungsbeschluss der Kommission über die Angemessenheit des vom EU-US Privacy Shield gebotenen Schutzes ("DSS-Beschluss").

Der EuGH hat im Ergebnis den SDK-Beschluss für gültig und den DSS-Beschluss für ungültig erklärt.


Welche Grundsätze gelten für die Übermittlung von Daten in Drittländer?

Für die rechtmäßige Übermittlung personenbezogener Daten in ein Drittland stellt die für alle Mitgliedsstaaten der EU anwendbare DS-GVO erhöhte Anforderungen. Es genügt für diese Übermittlung nicht nur eine einfache Rechtsgrundlage für die Verarbeitung nach der DS-GVO, sondern es bedarf zusätzlicher Garantien dafür, dass die Daten auch am Bestimmungsort Schutz auf angemessenem Niveau genießen. Die DS-GVO sieht hierfür die folgenden Instrumente vor:

Dadurch, dass der DSS-Beschluss nun für ungültig erklärt wurde, bleibt zwar das System EU-U.S. Privacy Shield selbst wirksam. Allerdings fehlt nun ein Angemessenheitsbeschluss gemäß Art. 45 DS-GVO, sodass die notwendige Garantie des Schutzes der personenbezogenen Daten für die Datenübermittlung in ein Drittland mit einer Zertifizierung des Empfängers unter dem EU-U.S. Privacy Shield nicht mehr gewährleistet werden kann.

Wie gesehen stellt der DSS-Beschluss in Verbindung mit dem EU-U.S. Privacy Shield nicht das einzige Instrument dar, mit dem die Übertragung personenbezogener Daten in die USA möglich ist. Tatsächlich praxisrelevant sind von den genannten Instrumenten der DS-GVO aber nur die Binding Corporate Rules und die EU-Standardvertragsklauseln. Zwar kommt rechtlich auch die Einwilligung der Betroffenen in Frage, diese müsste sich aber auf jede einzelne Übermittlung beziehen und zudem informiert erteilt werden, was in der Praxis kaum umsetzbar ist.

Die EU-Standardvertragsklauseln, bzw. wieder genauer gesagt den Beschluss der Kommission vom 05.02.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (2010/87/EU), hat der EuGH ausdrücklich für weiterhin gültig erklärt.

Leider stellen auch die EU-Standardvertragsklauseln kein Allheilmittel dar. Wie der EuGH nun klargestellt hat, setzt ihre Verwendung voraus, dass der für die Übermittlung Verantwortliche bei Abschluss der EU-Standardvertragsklauseln mit positivem Ergebnis geprüft hat, dass das Recht des Drittlands einen angemessenen Schutz bietet. Da der EuGH im selben Urteil festgestellt hat, dass das Recht der USA, nämlich die dortigen Überwachungsgesetze, dem Betroffenen keinen wirksamen Rechtsbehelf bieten, wird diese Prüfung für die USA im Regelfall zu einem negativen Ergebnis führen. Zu diesem Thema sind die Datenschutzaufsichtsbehörden gefragt, die jetzt klarstellen müssen, unter welchen Voraussetzungen unter Einsatz der EU-Standardvertragsklauseln Daten in Drittländer übertragen werden dürfen.


Wie reagieren die Datenschutz-Aufsichtsbehörden?

Bis heute haben sich die Datenschutz-Aufsichtsbehörden der Länder Baden-Württemberg, Bayern, Berlin, Hamburg, NRW, Rheinland-Pfalz und Thüringen zu dem Urteil des EuGH geäußert. Praktisch alle von ihnen betonen, dass es hinsichtlich der Übertragung auf Grundlage des EU-U.S. Privacy Shield keine Übergangsregelung gibt und das Urteil daher sofort umgesetzt werden muss. Zu der Alternative "EU-Standardvertragsklauseln" weisen die deutschen Behörden auf die Prüfpflicht der Verantwortlichen hin, lassen aber gleichzeitig durchklingen, dass eine solche Prüfung unter Beachtung des Urteils des EuGH für die USA aufgrund der festgestellten Bedenken an den dort geltenden Überwachungsgesetzen dazu führen muss, dass die Übermittlung personenbezogener Daten nicht durchgeführt werden darf.

Der Europäische Datenschutzausschuss stellt in einer Stellungnahme ein konsolidiertes Vorgehen der europäischen Datenschutzbehörden in Aussicht und hat am 24.07.2020 ein FAQ zum Urteil des EuGH herausgegeben. Auch hier wird darauf hingewiesen, dass keine Übergangsfrist besteht und nun grundsätzlich alle Übermittlungen in Drittländer geprüft werden müssen.


Welche Schritte müssen Unternehmen jetzt ergreifen?

Auf der Grundlage des EuGH-Urteils und der Stellungnahmen der Aufsichtsbehörden sind jetzt die folgenden Schritte geboten:

Übermittlungen in Drittländer identifizieren
Anhand des Verzeichnisses über die Verarbeitungstätigkeiten müssen alle Übermittlungen in Drittländer zunächst identifiziert und aufgelistet werden. Die Auflistung sollte sinnvollerweise anhand der jeweils zugrundeliegenden Garantien (Angemessenheitsbeschluss, EU-U.S. Privacy Shield, EU-Standardvertragsklauseln, Binding Corporate Rules etc.) kategorisiert werden. WICHTIG: Das Urteil des EuGH hat nicht nur Auswirkungen auf Datenübermittlungen in die USA, sondern indirekt auch auf Übermittlungen in andere Drittländer. Daher müssen Übermittlungen in sämtliche Drittländer überprüft werden.

Unproblematische Übermittlungen aussortieren
Datenübermittlungen in Drittländer, die auf Grundlage eines Angemessenheitsbeschlusses für das jeweilige Drittland durchgeführt werden, können Sie aussortieren - diese sind unproblematisch. Derzeit existieren Angemessenheitsbeschlüsse für Andorra, Argentinien, Kanada (nur für kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay.

Übermittlungen auf Grundlage des Privacy Shield einstellen
In den Fällen, in denen die Übermittlung einzig auf Grundlage des EU-U.S. Privacy Shield stattfindet, ist die Übermittlung einzustellen, bis mit dem jeweiligen Unternehmen die EU-Standardvertragsklauseln vereinbart worden sind.

Prüfung von Übermittlungen auf Grundlage von Standardvertragsklauseln oder Binding Corporate Rules
Findet die Übermittlung auf Grundlage von Standardvertragsklauseln oder Binding Corporate Rules statt, ist zu prüfen, ob dem Unternehmen die Einhaltung dieser Regeln möglich ist, ob also z. B. im Fall der USA die oben beschriebenen Eingriffsmöglichkeiten durch Sicherheitsbehörden bestehen. Für die Bewertung können auch Stellungnahmen der datenimportierenden Unternehmen selbst herangezogen werden. Es bietet sich deshalb an, bei den eingesetzten Dienstleistern und Unternehmen nachzufragen. Auf der Website https://noyb.eu/de/naechste-schritte-fuer-eu-unternehmen-faqs stellt der Datenschutzaktivist Max Schrems dazu Musterfragebögen bereit, die benutzt werden können. Die verlinkte Seite enthält außerdem viele weitere Hinweise und ist lesenswert.
Ferner können auch die vom Verantwortlichen selbst ergriffenen technischen und organisatorischen Maßnahmen in die Bewertung einfließen. Wird der Zugriff auf übermittelte Daten durch die Verwendung einer Verschlüsselung auf dem Stand der Technik wirksam beschränkt, wirkt sich dies positiv auf die Prüfung der Zulässigkeit der Übermittlung auf Grundlage der EU-Standardvertragsklauseln aus.
Im Ergebnis kann die Datenübermittlung bei Unternehmen, die sich durch Abschluss der EU-Standardvertragsklauseln oder durch eigene Binding Corporate Rules gebunden haben und bei denen die Prüfung positiv verlaufen ist, durchgeführt werden. Andernfalls ist die Datenübermittlung einzustellen.

Bewertungen und Maßnahmen dokumentieren
Die vorgenommenen Bewertungen und Maßnahmen müssen dokumentiert werden. Soweit eine Datenübermittlung trotz schwieriger Bewertung der Zulässigkeit weiterhin durchgeführt werden muss, weil z. B. für ein Unternehmen keine Alternativen verfügbar sind, sollte auch dieses Ergebnis der Prüfung dokumentiert werden.


Fazit und Ausblick

Das Urteil des EuGH sorgt für große Rechtsunsicherheit. Europäische Unternehmen, die für die Übermittlung personenbezogener Daten in Drittländer verantwortlich sind, stecken in einer Zwickmühle. In der heutigen Zeit ist es kaum möglich, auf die Übertragung von Daten in Drittländer - gerade in die USA - vollkommen zu verzichten bzw. diese im Einzelfall überhaupt zu erkennen und wirksam zu verhindern. Gleichzeitig scheint die Übertragung in die USA nach dem Urteil des EuGH in den allermeisten Fällen unzulässig zu sein.

Der Ball liegt deshalb jetzt im Feld der Politik und der Behörden. Es bedarf neuer Regelungen, auf deren Grundlage die Übermittlung in die USA rechtssicher möglich ist. Die Datenschutzbehörden werden bis dahin klar und deutlich feststellen müssen, welche Maßnahmen sie den Unternehmen konkret abverlangen und nach welchen konkreten Maßstäben die Prüfung des Datenschutzniveaus und der Gesetzeslage in einem Drittland vom verantwortlichen Unternehmen vorzunehmen ist.

Wir beobachten die weitere Entwicklung und passen die von uns auf www.getlaw.de bereitgestellten Texte fortlaufend an diese an. Insbesondere, wenn externe Dienste beispielsweise EU-Standardvertragsklauseln als Alternative zum EU-U.S. Privacy Shield anbieten, werden wir darüber informieren.

Über den Autor

Philipp Eickhoff, LL.M. ist Rechtsanwalt, Fachanwalt für IT-Recht und externer Datenschutzbeauftragter. Er berät und vertritt bundesweit Unternehmen im gewerblichen Rechtsschutz, Urheber- & Medienrecht, Datenschutzrecht und IT-Recht. www.kanzlei-meibers.de