Im lang erwarteten Urteil „Facebook vs. Schrems“ (EuGH C-311/18) hat das europäische Höchstgericht nunmehr ausgesprochen, dass eine Übermittlung personenbezogener Daten aus der EU in die USA auf Basis der Datenverarbeitungsvereinbarung des „EU-US-Privacy Shields“ (Nachfolger von „Safe Harbor“) nicht zulässig ist. Den EU-Standardvertragsklauseln hat der EuGH hingegen weiterhin Gültigkeit bescheinigt, weshalb diese theoretisch (näheres zu dieser Einschränkung siehe unten) weiterhin für Datentransfers aus der EU in die USA herangezogen werden können.
1. Hintergrund des Urteils
Der österreichische Datenschutzaktivist Max Schrems hat bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingebracht, um den Datentransfer aus der EU in die USA zu unterbinden. Schrems vertrat die Ansicht, dass die umfangreichen Überwachungsgesetze in den USA im Widerspruch zu den Grundrechten der EU stünden. US-Unternehmern seien demnach verpflichtet, die Daten von EU-Bürgern an US-Behörden wie u.a. dem FBI offenzulegen, ohne dagegen gerichtlich vorgehen zu können.
Der vom irischen High Court angerufene EuGH hat sich nunmehr der Ansicht von Max Schrems angeschlossen und das „EU-US-Privacy Shield“ für ungültig erklärt.
2. Inhalt und Folgen der Entscheidung
Dem EuGH zufolge werde durch das „EU-US-Privacy Shield“ kein dem Unionsrecht angemessenes Datenschutzniveau sichergestellt. Problematisch sei insbesondere, dass der „EU-US-Privacy Shield“ den Betroffenen keine Möglichkeit eröffne, ihre Rechte gegenüber US-amerikanischen Behörden durchzusetzen. Während US-Bürger vor der Offenlegung der Daten an NSA oder FBI geschützt seien, gebe es einen derartigen Schutz für EU-Bürger nicht, wodurch ein Verstoß gegen EU-Recht vorliege.
Der EuGH hat das „EU-US-Privacy Shield“ für ungültig erklärt, wodurch eine Datenübermittlung in die USA auf Basis dieser Datenschutzvereinbarung nicht mehr zulässig ist.
Der EuGH hat hingegen die grundsätzliche Gültigkeit der EU-Standardvertragsklauseln, welche als alternatives Instrument zur Datenübermittlung in Drittländer (sohin auch in die USA) zur Anwendung gelangen, bestätigt. Der EuGH hat aber zugleich festgehalten, dass die Verwendung der EU-Standardvertragsklauseln voraussetzt, dass datenübermittelnde EU-Unternehmen sowie datenempfangende Unternehmen in den jeweiligen Drittstaaten vor der Datenübermittlung prüfen müssen, ob ein „angemessenes“ Datenschutzniveau im Drittstaat vorliegt.
Dies legt jedenfalls nahe, dass eine Übermittlung an US-Unternehmen auf Basis der EU-Standardvertragsklauseln ebenfalls daran scheitern wird, dass viele US-Unternehmen den US-Überwachungsgesetzen (FISA) unterliegen (bspw. Facebook und Microsoft) und dadurch kein „angemessenes“ Datenschutzniveau vorliegt, zumal dies der EuGH in der aktuellen Entscheidung ja auch bestätigt hat.
Datenübermittlungen, die auf der Einwilligung der Betroffenen beruhen oder zur Vertragserfüllung zwingend notwendig sind, dürfen weiterhin gemäß Artikel 49 DSGVO durchgeführt werden. Die Rechtsgrundlage der Vertragserfüllung wird aber nur dann zur Anwendung kommen, wenn die Daten aufgrund eines direkten Vertragsverhältnisses zwischen dem Betroffenen und einem amerikanischen Unternehmen verarbeitet werden. Verarbeitet beispielsweise ein europäisches Unternehmen Kundendaten, dann darf dieses Unternehmen diese Daten ohne Einwilligung der betroffenen Kunden nicht in die USA übermitteln.
Eine Übermittlung in die USA auf Basis einer expliziten Einwilligung der Betroffenen wird aber jedenfalls möglich sein. Diese Einwilligungen sind jedoch in der Praxis schwer zu erlangen.
Ob und inwiefern in sonstigen Fällen eine Datenübermittlung in die USA auf Basis der EU-Standardvertragsklauseln möglich ist, muss nun offenbar von den nationalen Aufsichtsbehörden beurteilt werden. Feststeht jedoch, dass eine Datenübermittlung durch eine „EU-US-Privacy-Shield“-Zertifizierung nicht mehr legitimiert werden kann.
Verantwortliche Datenverarbeiter müssen daher jetzt prüfen, ob sie Daten in die USA übermitteln (bspw., weil sie eine Cloud verwenden) oder ob sie Verträge mit US-Unternehmen haben, die eine Datenverarbeitung in Europa zugesichert haben, jedoch Zugriffe aus den USA (beispielsweise zu Wartung) erlauben. Auch derartige Zugriffe gelten als Datenübermittlung. Es wird daher zu überlegen sein, ob die Datenverarbeitung in den USA noch rechtmäßig ist.
Gerne unterstützen wir Sie bei der Prüfung ihrer Verträge, ob Datenübermittlungen in Drittländer noch rechtmäßig sind. Sollten Sie Fragen haben, stehen wir Ihnen dafür gerne zur Verfügung.
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.