2015 wurde schon „Safe Harbor“ für Datenübermittlungen in die USA auf Initiative des österreichischen Datenschutzrechtlers Max Schrems vom EuGH für ungültig erklärt (Rs C-362/14).[1] Nun steht als Fortsetzung der – aufgrund der Ungültigerklärung von Safe Harbor mittlerweile abgeänderten – Beschwerde von Schrems gegen Facebook womöglich die nächste richtungsweisende Entscheidung des EuGH bevor.
Der EuGH befasste sich am 9.7.2019 erneut mit der Übermittlung personenbezogener Daten von Facebook Ireland in die USA. Im Fokus stehen dabei vor allem die EU-Standardvertragsklauseln (2010/87/EU) für Übermittlungen an Auftragsverarbeiter außerhalb der EU und des EWR, auf die sich Facebook nach Ungültigerklärung von Safe Harbor zur Legitimierung der Datentransfers in die USA stützt. Auch das EU-US-Privacy-Shield als Nachfolger von Safe Harbor könnte an der Kippe stehen. Die Entscheidung des EuGH könnte erhebliche Auswirkungen für alle Unternehmen haben, die Daten in die USA oder andere Drittländer übermitteln.
Worum geht es in dem Verfahren vor dem EuGH?
Im fortgesetzten Verfahren hat der irische High Court dem EuGH Fragen zur Sicherheit der Daten von EU-Bürgern in den USA vorgelegt (Rs C-311/18). Grund dafür sind insbesondere die den US-Geheimdiensten weitreichend gewährten Abhörbefugnisse zum Schutz der nationalen Sicherheit, welche spätestens seit den Enthüllungen von Edward Snowden öffentlich bekannt sind. Diese Befugnisse stellen nach Ansicht des irischen High Court und von Schrems erhebliche Eingriffe in das Grundrecht auf Datenschutz dar und unterlaufen dadurch das vom europäischen Datenschutzrecht geforderte „angemessene“ Datenschutzniveau in den USA. Davon betroffen sind alle Datenübermittlungen in die USA, die per Gesetz einer „Massenüberwachung“ unterliegen, wie z.B. im Zusammenhang mit Cloud-Services und Kommunikationsanbietern.
Schrems: Datenübermittlungen von Facebook in USA unterbinden
Schrems ist der Ansicht, die irische Datenschutzbehörde müsse Datenübermittlungen von Facebook in die USA wegen der weitreichenden Befugnisse der US-Behörden unterbinden. Die nun von Facebook verwendeten EU-Standardvertragsklauseln böten eine angemessene Lösung, damit die irische Datenschutzbehörde die Datenübermittlung von Facebook in die USA stoppen könnte. Die irische Datenschutzbehörde hält Datenübermittlungen in die USA im Hinblick auf die US-Überwachungsgesetze zwar auch für europarechtlich problematisch, die EU-Standardvertragsklauseln eröffneten ihrer Ansicht nach jedoch keinen Handlungsspielraum, Facebook die Übermittlung zu untersagen. Die EU-Standardvertragsklauseln müssten deshalb zuerst vom EuGH für ungültig erklärt werden.
Facebook hat sich hinsichtlich des EU-Rechts auf dessen Beurteilung durch die Kommission im Rahmen des EU-US-Privacy-Shields gestützt. Nach Schrems sei diese Beurteilung falsch und das EU-US-Privacy-Shield müsse für ungültig erklärt werden. Aber nicht nur in diesem Verfahren vor dem EuGH kommt das EU-US-Privacy-Shield unter Beschuss, sondern auch in einem von französischen NGOs initiierten Verfahren vor dem Gericht der EU.[2]
Somit liegt es nun am EuGH darüber zu entscheiden, ob die EU-Standardvertragsklauseln und das EU-US-Privacy-Shield dasselbe Schicksal erfahren wie Safe Harbor und für ungültig erklärt werden.
Inwiefern betrifft das Verfahren österreichische Unternehmen?
Personenbezogene Daten von Kunden und Mitarbeitern werden heutzutage nahezu von jedem österreichischen Unternehmen in ein Drittland transferiert, wie z.B. bei der Übermittlung von personenbezogenen Daten an ausländische Konzerngesellschaften, an Kunden oder sonstige Geschäftspartner sowie auch bei Übermittlungen an Cloudanbieter wie Amazon oder Google.
Sollte der EuGH das EU-US-Privacy-Shield oder die EU-Standardvertragsklauseln für ungültig erklären, so hätte dies zur Folge, dass viele Datenübermittlungen in die USA mit einem Schlag rechtswidrig wären.
Wie könnte der EuGH entscheiden?
Das EU-US-Privacy-Shield stellt zwar eine Verbesserung gegenüber Safe Harbor dar, leidet aber im Grunde nach an denselben Unzulänglichkeiten. Gelangt der EuGH daher zur Ansicht, dass das US-Recht unvereinbar ist mit dem europäischen Datenschutzrecht, müsste er konsequenterweise das EU-US-Privacy-Shield und die EU-Standardvertragsklauseln sowohl für Übermittlungen an Auftragsverarbeiter (2010/87/EU) als auch an Verantwortliche (2001/497/EG und 2004/915/EG) für ungültig erklären. Der EuGH könnte aber auch der Rechtsansicht von Schrems folgen und entscheiden, dass der jeweiligen Datenschutzbehörde ein ausreichender Spielraum zukommt, Datenübermittlungen im Einzelfall zu untersagen, ohne das EU-US-Privacy-Shield oder die EU-Standardvertragsklauseln für ungültig zu erklären.
Aufgrund der enormen Wichtigkeit beider Instrumente für die Gewährleistung eines angemessenen Datenschutzniveaus bei Übermittlungen in Drittstaaten, gilt es das laufende Verfahren genaustens im Auge zu behalten. Bereits jetzt sollten sich Unternehmen für eine Ungültigerklärung des EU-US-Privacy-Shield oder der EU-Standardvertragsklauseln wappnen. Denn sollten diese tatsächlich vom EuGH für ungültig erklärt werden, wäre der Großteil der aktuellen Datentransfers in Drittstaaten – und damit nicht nur jene in die USA – rechtswidrig. Übermittlungen ohne angemessenes Datenschutzniveau wären damit nach der DSGVO mit einer Geldbuße von bis zu 20.000.000 EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens bedroht, je nachdem, welcher der Beträge höher ist.
Fazit: Was sollten Unternehmen nun tun?
Die Zeit drängt, denn die Entscheidung des EuGH im Verfahren Schrems gegen Facebook wird bereits für nächstes Jahr erwartet. Um hohe Geldbußen zu vermeiden, können Unternehmen entweder die betroffenen Datenverarbeitungen in Drittländern, wie den USA, wieder an einen Auftragsverarbeiter im EWR „zurückholen“, diese wieder in ihr Unternehmen „insourcen“ oder auf ein alternatives Instrument der Art 45 bis 49 DSGVO zurückzugreifen. Jede der möglichen Varianten ist jedenfalls mit einem nicht zu unterschätzenden zeitlichen Aufwand verbunden, weswegen sich Unternehmen rechtzeitig um die Absicherung ihrer Datenübermittlungen in Drittstaaten kümmern sollten.
Im Hinblick auf die nach der DSGVO möglichen Alternativen sind vor allem aus praktischer Sicht verbindliche interne Datenschutzvorschriften (sogenannte „Binding Corporate Rules“) für Datenübermittlungen im Konzern relevant, die jedoch von der Datenschutzbehörde vorab genehmigt werden müssen. Abhängig vom Einzelfall könnte auch einer der in Art. 49 DSGVO normierten Ausnahmen einschlägig sein, wenn bspw. die Übermittlung in das Drittland zur Vertragserfüllung erforderlich ist.
Sollten Sie Fragen zum Verfahren oder Datenübermittlungen in Drittländer haben, stehen Ihnen unsere Spezialisten gerne zur Verfügung. Gerne beraten wir Sie, wie Sie die Datenübermittlungen Ihres Unternehmens in Drittländer rechtlich absichern können.
________________________________________
[1]heise online, Datenschutz bei Facebook & Co.: EuGH erklärt Safe Harbor für ungültig, https://heise.de/-2838025 (6.9.2019).
[2]Lomas, EU-US Privacy Shield complaint to be heard by Europe’s top court in July, https://tcrn.ch/2Wr6FZf (7.9.2019).
Autor: Johannes Scharf
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.