Datenschutz

Datenübermittlung in Drittstaaten

EuGH erklärt EU-US Privacy Shield für unwirksam

Der EuGH hat mit Urteil vom 16.07.2020 das EU-US Privacy Shield für unwirksam erklärt. Für die Wirtschaft hat diese Entscheidung weitreichende Auswirkungen. Denn hierdurch werden Datentransfers in die USA, welche auf das EU-US-Privacy Shield gestützt wurden, unzulässig. Die Entscheidung des EuGH tangiert auch die sog. Standardvertragsklauseln (SCC). Diese hat der EuGH nicht prinzipiell für unwirksam erklärt. Allerdings müssten die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen, ob in dem jeweiligen Drittland ein angemessenes Datenschutzniveau gewährleistet ist und mit dem Datenimporteur im Drittland vereinbarte SCC dies sicherstellen können.

Aktuell wird das EuGH Urteil im Europäischen Datenschutz-Ausschuss (EDSA) behandelt. Hierzu wurde eine Task Force gegründet, die Vorgaben hierzu erarbeitet. Zudem erstellt die EU-Kommission neue ‎Standardvertragsklauseln (SCC) und verhandelt mit den USA einen neuen ‎Angemessenheitsbeschluss (Nachfolger von EU-US Privacy Shield). Wir werden die Entwicklung verfolgen und über die IHK-Homepage zeitnah informieren.

Haltung der IHK-Organisation

  • Für die Unternehmen in der EU, die Daten in Drittländer übermitteln, wird hierdurch die Rechtsunsicherheit steigen. Es ist nicht hinnehmbar, dass Unternehmen hier ein kaum mehr beherrschbares Risiko tragen sollen.
  • Datenschutzrecht entwickelt zunehmend extraterritoriale Wirkung. Für die Weiterentwicklung der Digitalökonomie ist dies "eine kritische Situation".
  • Unternehmen mit Datentransfer in Drittstaaten brauchen nun nicht allein für die USA, sondern demnächst auch für Großbritannien und andere Drittstaaten schnelle und belastbare Hinweise von der Europäischen Kommission sowie den zuständigen Datenschutzbeauftragten zur EU-datenschutzrechtskonformen Vertragsgestaltung.

Worum geht es?
Die EU-Kommission hatte im Juli 2016 den mit den USA verhandelten Angemessenheitsbeschluss Privacy Shield erlassen. Das bedeutete für Datentransfers in die USA: Hatte sich ein US-Unternehmen freiwillig den Bedingungen des Privacy Shield unterstellt und das US-Handelsministerium (FTC) die Selbstzertifizierung überprüft, konnten Datenübermittlungen an diese US-Unternehmen auf dieser Rechtsgrundlage erfolgen.

Was war bezogen auf Privacy Shield bei Datenübermittlungen in die USA zu beachten?

  • Erlaubt waren nur Datentransfers an bei Privacy Shields zertifizierte Unternehmen, nicht grundsätzlich in die USA.
  • Voraussetzung war, dass die Datenübermittlung grundsätzlich legitimiert (auf einer Rechtsgrundlage) war.

Wie geht es mit dem Datentransfer in die USA weiter?

Die Entscheidung des EuGH führt dazu, dass die Unsicherheit bei Unternehmen steigt, welche ihre Datentransfers in die USA auf Privacy Shield gestützt haben. Unklar ist, wie im Grundsatz für zulässig angesehene SCC von dem EuGH-Urteil, das eine Einzelfallprüfung des Datenschutzniveaus in einem Drittland fordert, tangiert sein werden.

Praxistipp - Umgang mit der Situation:

  • Prüfen Sie in einem ersten Schritt, welche Datentransfers in Ihrem Unternehmen auf das Privacy Shield gestützt werden.
  • Prüfen Sie in einem zweiten Schritt, ob diese Datentransfers alternativ (z. B. durch Standardvertragsklauseln bzw. durch Standardvertragsklauseln mit Zusatzvereinbarungen (sog. "SCC plus"), Binding Corporate Rules oder z. B. durch Zertifizierungen) abgesichert werden könnten.
  • Orientieren Sie sich an den Empfehlungen, welche die Datenschutzaufsichtsbehörden hierzu geben werden. Für Unternehmen in Bayern ist dies das Bayerische Landesamt für Datenschutzaufsicht (BayLDA).
  • Die Aufsichtsbehörden werden den Unternehmen zwar keine Übergangs-, aber eine Umsetzungsfrist zugestehen, in der sie aber Aktivitäten zur Lösung (schriftlich festhalten/Dokumentationspflicht!) entfalten müssen.
  • SCC plus
    Die (deutschen) Aufsichtsbehörden werden Hinweise zu zusätzlichen Maßnahmen für die Standarddatenschutzklauseln (SCC) erarbeiten. Das soll möglichst auch auf EU-Ebene abgestimmt werden.
  • Die EU-Kommission will die Standarddatenschutzklauseln (Stand 2011) grundlegend bis Ende 2020 überarbeiten.

EU-US Privacy Shield - Sachstand

  • Viele große US-Unternehmen hatten sich dem neuen Regelwerk Privacy Shield zwischenzeitlich unterstellt.
  • Die FTC stellte die Bescheinigungen aus und veröffentlichte eine aktuelle Liste der zertifizierten US-Unternehmen im Internet.
  • Die Liste können Sie hier abrufen und nach Unternehmen recherchieren.
  • Privacy Shield und Standardvertragsklauseln (SCC) werden vielfach kritisiert. Die Frage, ob diese Rechtsinstrumente auf Dauer Bestand haben, hat der EuGH entscheiden. SCC werden im Grundsatz weiterhin als zulässig angesehen.

Kernpunkte der Einigung der EU zu Privacy Shield

  • Selbstverpflichtung von US-Unternehmen: zur Einhaltung angemessener Datenschutzregeln und zu deren Veröffentlichung, sodass damit eine Durchsetzbarkeit nach US-amerikanischem Recht gewährleistet wird. Betroffene sollten sich ferner direkt bei selbstverpflichteten US-Unternehmen beschweren können. Diese haben die Pflicht, Datenschutzverstöße abzustellen. Überwacht werden selbstverpflichtete US-Unternehmen von der Federal Trade Commission (FTC).
  • Rechtsschutzmöglichkeiten für EU-Bürger: In einem mehrstufigen Beschwerde- und Eskalationsverfahren, falls ein selbstverpflichtetes Unternehmen hiergegen verstößt. Eine gerichtliche Klärung soll im Ausnahmefall ermöglicht werden.
  • Sanktionen: Falls selbstverpflichtete Unternehmen gegen Datenschutzregeln verstoßen, soll dies mit Strafen geahndet werden können.
  • Europäische Datenschutzaufsichtsbehörden: Selbstverpflichtete US-Unternehmen haben Entscheidungen europäischer Datenschutzaufsichtsbehörden zu akzeptieren und zu befolgen.
  • Garantien gegen einen massenhaften Zugriff auf Daten durch US-Behörden: Der Zugriff von Geheimdiensten und Gerichten auf Daten von EU-Bürgern soll strengen Vorgaben und einer Überwachung unterliegen, beschränkt sein auf Einzelfälle (kein massenhafter Datenabgriff). Im Falle eines Verstoßes sollen EU-Bürger sich an einen Ombudsmann (wird als neue Stelle beim Department of State/Auswärtiges Amt eingerichtet) wenden können.
    Der EuGH hat in seinem Urteil vom 16.07.2020 den Ombusmann nicht als unabhängiges Organ der Rechtspflege angesehen. Ferner waren die Zugriffsrechte durch US-Behörden auf Daten als zu weitgehend angesehen worden.
  • Jährliche Evaluierung des EU-US-Privacy-Shield-Abkommens: durch die EU und die USA

Wie kam es zu Privacy Shield?

  • Privacy Shield ersetzte das alte Safe Harbor-Abkommen. Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 die Safe-Harbor-Regelung für ungültig erklärt. Diese gewährleiste aus europäischer Sicht kein angemessenes Datenschutzniveau. Ferner hat der EuGH den Datenschutzaufsichtsbehörden die Befugnis attestiert, Datenübermittlungen in die USA auf der Basis des Safe-Harbor-Abkommens zu untersagen.
  • Unternehmen mussten daraufhin ihre Datentransfers auf Standardvertragsklauseln (SCC) umstellen. SCC rechtfertigen einen Datentransfer in die USA nur im Einzelfall. Bei jedem weiteren Fall musste eine neue SCC abgeschlossen werden. Das EuGH-Urteil vom 16.07.2020 verschärft die Vorgaben für SCC (s. o.) noch.
  • Privacy Shield attestierte zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau. Darauf konnten Datenübermittlungen an diese global darauf gestützt werden, die nach dem EuGH-Urteil illegar sein dürften.