Nachdem der EuGH mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18) das EU-US Privacy Shield zu Datentransfers in die USA für unwirksam erklärt hat, hat der Europäische Datenschutzausschuss FAQ zu den Konsequenzen des Urteils für Datenübertragungen in die USA und andere Drittländer veröffentlicht. Die Datenschutzkonferenz schloss sich mit einer Pressemitteilung an. Licht ins Dunkel bringen beide Veröffentlichungen nur bedingt.
Hintergrund
Der EuGH hatte festgestellt, dass im Privacy Shield-Beschluss den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt werde, was Eingriffe in die Grundrechte der Personen ermögliche, deren Daten in die Vereinigten Staaten übermittelt werden. Das US-Recht biete keinen Schutz personenbezogener Daten, die dem in der EU im Wesentlichen gleichwertig wäre. Auch der vorgesehene Ombudsmechanismus ändere daran nichts. Privacy Shield sei daher unwirksam.
Die Standardvertragsklausel dagegen seien weiterhin gültig. Die aufsichtsrechtlichen Kontrollbefugnisse und Kontrollpflichten erachtete der EuGH in Verbindung mit Prüfpflichten des Datenexporteurs und des Datenempfängers in Bezug auf ein hinreichendes Schutzniveau als grundsätzlich ausreichend. Problematisch für die Wirtschaft ist insoweit allerdings, dass die Standardvertragsklauseln nach den Wertungen des EuGH nicht per se eine hinreichende Grundlage bilden, vielmehr auch tatsächlich ein angemessener Schutz sichergestellt sein muss.
Empfehlungen der Aufsicht
Sowohl der Europäischer Datenschutzausschuss als auch die Deutsche Datenschutzkonferenz stellten klar, dass Datenübertragungen in die USA allein auf Grundlage des Privacy-Shields auszusetzen seien. Der EuGH hat den betroffenen Verantwortlichen keine Schonfrist eingeräumt, womit eine Übertragung von Daten in die USA aufgrund des Privacy Shields mit sofortiger Wirkung rechtswidrig ist.
Da aber das US-Recht auf alle Datenübertragungen in die USA Anwendungen finde, böten auch die Standardvertragsklauseln allein kein ausreichendes Schutzniveau. Es müssten zusätzliche Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden. Das gelte sowohl für die USA, als auch für andere Drittländer. Das Recht des Drittlandes dürfe insbesondere auch die Wirksamkeit dieser zusätzlichen Schutzmaßnahmen nicht beeinträchtigen.
Das Gleiche gelte auch für verbindliche interne Datenschutzvorschriften (binding corporate rules), sowie für andere Garantien des Art. 46 DS-GVO. Diese seien stets im Lichte des Art. 44 DS-GVO zu sehen, wonach das Schutzniveau der DS-GVO nie unterlaufen werden dürfe. Deswegen müssten auch in diesem Fall zusätzliche Schutzmaßnahmen getroffen werden, sofern die Rechte der betroffenen Person nicht ein gleichwertiges Schutzniveau wie in der Union genießen.
Die Ausnahmen Art. 49 DS-GVO behalten nach den Empfehlungen ebenfalls ihre Gültigkeit. Dazu hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht und verwies in seinen FAQ ausdrücklich auf die Voraussetzungen der Ausnahmen, wie die Einwilligung der betroffenen Person nach Art. 49 Abs. 1 Satz 1 lit. a DS-GVO.
Weder der Europäische Ausschuss noch die DSK äußerten sich hingegen zu der für die Praxis besonders relevanten Frage, wie die angesprochenen zusätzlichen Schutzmaßnahmen aussehen sollen. Der Europäische Datenschutzausschuss beabsichtigt, das Urteil zu analysieren und in Zukunft Empfehlungen auszusprechen, welche rechtlichen, technischen oder organisatorischen zusätzlichen Schutzmaßnahmen getroffen werden können.
Anmerkungen
Die Stellungnahmen des Europäischen Datenschutzausschusses sowie der DSK sind allenfalls klarstellend und bringen wenig Orientierung. Ganz im Gegenteil werden die Marktakteure mit der kritischen Situation weitgehend allein gelassen. Insbesondere der Europäische Datenschutzausschuss verweist darauf, noch nachliefern zu wollen, wie zusätzliche Schutzmaßnahmen aussehen könnten, betont jedoch gleichzeitig die Verantwortung der Datenverarbeiter.
Unternehmen, die personenbezogene Daten insbesondere in die USA übermitteln möchten, stehen also vor der mit Blick auf die Gesetzeslage in den USA gelinde gesagt problematischen Situation, hinreichende Garantie durch ergänzende Maßnahmen abzubilden, über welche sich die Aufsichtsbehörden selbst nicht so recht im Klaren sind. Andernfalls bleibt nur der in der Praxis auch vielfach beschrittene Weg, einen tatsächlichen Export in die USA zu vermeiden und sich auf eine Datenhaltung bzw. Datenübermittlung innerhalb der EU zu beschränken. Zahlreiche Anbieter von US-Diensten bieten nicht ohne Grund schon seit längerem die Möglichkeit, eine Verarbeitung von Daten in Rechenzentren zu vereinbaren, die in der EU belegen sind.
FAQ des Europäischen Datenschutzausschusses:
https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf
Pressemitteilung DSK:
https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf
