Update Datenschutz Nr. 82
EuGH verwirft Privacy Shield-Abkommen aber bestätigt Standardvertragsklauseln
Der EuGH hat heute (16. Juli 2020) sein lang erwartetes Urteil zur Gültigkeit der Standardvertragsklauseln bei internationalen Datentransfers gefällt (EuGH, Urteil vom 16. Juli 2020, Az.: C-311/18). Überraschend erklärte der Gerichtshof den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield – das Abkommen, das Datentransfers an bestimmte Unternehmen in den USA ermöglicht – für ungültig. Die Gültigkeit der Standardvertragsklauseln hat er hingegen bestätigt. Den Da der EuGH gleichzeitig die Notwendigkeit der Prüfung des Datenschutzniveaus durch die beteiligten Unternehmen auch bei den Standardvertragsklauseln hervorhebt, ist das Urteil von grundsätzlicher Bedeutung – und auf die Unternehmen kommt Arbeit zu.
Hintergrund
Die DSGVO enthält ein ausdifferenziertes Regelungsregime für die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU bzw. des EWR. Nach Art. 44 ff. DSGVO bedarf es neben den Voraussetzungen für jede Datenübermittlung einer zusätzlichen rechtlichen Grundlage. Dies können ein Angemessenheitsbeschluss der EU-Kommission für ein bestimmtes Drittland (Art. 45 DSGVO), geeignete Garantien (Art. 46 DSGVO) oder bestimmte Ausnahmen, wie z. B. eine Einwilligung des Betroffenen (Art. 49 DSGVO) sein. Zu den geeigneten Garantien gehören insbesondere Binding Corporate Rules und die Standardvertragsklauseln der EU-Kommission. Die Standardvertragsklauseln wurden von der EU-Kommission erarbeitet und verabschiedet (Durchführungsbeschlüsse 2016/2297/EU und 2010/87/EU der EU-Kommission). Wenn sie inhaltlich unverändert vereinbart werden, stellen sie eine Rechtsgrundlage für internationale Datentransfers in das Nicht-EU-Land des Vertragspartners dar. Die Standardvertragsklauseln können für Transfers in alle Länder genutzt werden. Aus Sicht der Praxis handelt es sich dabei um ein relativ leicht handhabbares und wichtiges Instrument, um Datenübermittlungen an andere Unternehmen, wie z. B. Vertragspartner oder Konzernmitglieder, durchzuführen.
Speziell im Verhältnis zwischen der EU und den USA galt neben den Standardvertragsklauseln zunächst das Safe-Harbor-Abkommen. Mittels eines Angemessenheitsbeschlusses war dieses ebenfalls als hinreichendes Instrument für Datentransfers in die USA anerkannt. Der EuGH hat den Beschluss allerdings im Jahr 2015 für unwirksam erklärt. Hintergrund war die Beschwerde des österreichischen Datenschützers Max Schrems gegen die Facebook Ireland Ltd. Das Unternehmen ist Vertragspartner aller Facebook-Nutzer in der EU bzw. im EWR. Es übermittelte die Daten seiner Nutzer an den Mutterkonzern Facebook Inc. in den USA bis zu dessen Unwirksamkeit auf Grundlage des Safe-Harbor-Abkommens. Nach der Entscheidung des EuGH einigten sich die EU und die USA auf ein neues Abkommen, den sogenannten Privacy Shield. Mittels eines erneuten Angemessenheitsbeschlusses der EU-Kommission wurde dieses Abkommen wiederum zu einer ausreichenden Absicherung der Transfers. Sofern ein US-Unternehmen die dort vorgesehenen Prozeduren und Erfordernisse erfüllte, konnten auf Grundlage des Angemessenheitsbeschlusses Datenübermittlungen in die USA stattfinden.
Die Facebook Ireland Ltd. stützte ihre Datenübermittlungen an den Mutterkonzern nach dem Safe-Harbor-Urteil hingegen auf die Standardvertragsklauseln der EU-Kommission. Diese hatte Facebook Ireland Ltd. mit dem Mutterkonzern vereinbart. Schrems legte auch dagegen bei der zuständigen irischen Datenschutzbehörde Beschwerde ein. Die Behörde äußerte Zweifel an der Gültigkeit der Klauseln und strebte ein Verfahren an, um dies gerichtlich überprüfen zu lassen. Nach den verschiedenen Instanzen in der irischen Gerichtsbarkeit hat nun der EuGH dazu sein Urteil gefällt.
Im Gegensatz zum Privacy Shield-Abkommen betrifft die Gültigkeit der Standardvertragsklauseln nicht nur Datenübermittlungen in die USA, sondern in alle Länder der Welt. Daher ist die heutige Entscheidung des EuGH für internationale Datentransfers von großer Bedeutung.
Entscheidung des EuGH
Der EuGH hat die Wirksamkeit der Standardvertragsklauseln bestätigt. Er ist damit den Empfehlungen des Generalanwalts gefolgt. Die Standardvertragsklauseln gewährleisten nach Auffassung des Gerichts ein angemessenes Datenschutzniveau. Entscheidend sei nach Auffassung des Gerichts, dass die Klauseln wirksame Schutzmechanismen vorsehen, die ein angemessenes Schutzniveau und im Falle eines Verstoßes gegen die Klauseln das Aussetzen der Datentransfers sicherstellen. Insbesondere hebt der Gerichtshof als wichtige Schutzmechanismen hervor, dass die Parteien vorab die Rechtslage im Zielland prüfen und dass der Empfänger den Datenexporteur informiert, falls er sich nicht mehr an die Bestimmungen halten kann, mit der Folge, dass der Datenexporteur die Transfers aussetzen muss.
Allerdings hat der Gerichtshof betont, dass die zuständigen Aufsichtsbehörden im Einzelfall prüfen können, ob die Standardvertragsklauseln im Zielland eingehalten werden bzw. werden können. Falls sie zu dem Schluss kommen, dass dies nicht der Fall ist, sind die Behörden verpflichtet, die Aussetzung der Transfers anzuordnen. Die Prüfung durch die Behörden entfällt nur, wenn für das Zielland ein Angemessenheitsbeschluss der EU-Kommission vorliegt.
In diesem Zusammenhang hat der EuGH den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield – obwohl eigentlich gar nicht Gegenstand des Verfahrens – für unwirksam erklärt und damit diese Rechtsgrundlage für Transfers an US-Unternehmen beseitigt. Nach Auffassung des Gerichts bestehe kein angemessenes Schutzniveau in den USA, da zum einen die Zugriffsmöglichkeiten der US-Behörden zu umfassend seien und zum anderen für die Betroffenen kein effektiver Rechtsschutz gegen Zugriffe bestehe. Das Verfahren vor einem Ombudsmann, das der Privacy Shield dafür vorsah, genüge den Anforderungen nicht.
Auswirkungen der Entscheidung
Nach dieser Entscheidung können alle Unternehmen, die die Standardvertragsklauseln der EU-Kommission nutzen, zunächst aufatmen. Die Standardvertragsklauseln sind weiterhin hinreichend zur Absicherung von Datentransfers in Nicht-EU-Länder gemäß Art. 46 DSGVO. Allerdings gilt es, sofern kein Angemessenheitsbeschluss der EU-Kommission für das Land des Vertragspartners vorliegt, die dortige rechtliche Lage im Blick zu behalten. Sofern der Vertragspartner die Einhaltung der Regelungen der Standardvertragsklauseln aufgrund von anderslautenden nationalen Regelungen oder behördlichen Maßnahmen nicht mehr garantieren kann, muss die Übermittlung auf eine andere Rechtsgrundlage gestützt oder eingestellt werden.
Speziell im Hinblick auf Übermittlungen in die USA muss sehr sorgfältig geprüft werden, ob der Vertragspartner dies gewährleisten kann. Die Aussagen des EuGH zum mangelnden Schutzniveau in den USA können auf die Situation bei Standardvertragsklauseln übertragen werden. Die ausufernden Zugriffsmöglichkeiten der US-Behörden und mangelnden Rechtsschutzmittel für Betroffene gefährden auch im Falle der Standardvertragsklauseln die erforderliche Gewährleistung eines angemessenen Schutzes. Hier werden die Unternehmen intensiv das Gespräch mit ihren Vertragspartnern in den USA suchen müssen.
Außerdem müssen die Verlautbarungen und das weitere Vorgehen der Aufsichtsbehörden berücksichtigt werden. Deren Position ist durch das Urteil des EuGH gestärkt worden. Sie können, wenn kein Angemessenheitsbeschluss für das Zielland vorliegt, zu dem Schluss kommen, dass die Einhaltung der Standardvertragsklauseln nicht gewährleistet ist und davon ausgehend die Übermittlung untersagen. Faktisch kann dies dazu führen, dass die Aufsichtsbehörden eine eigene Bewertung der Rechtslage im Zielland vornehmen und ggf. zu dem Schluss kommen, dass diese im Konflikt mit den Standardvertragsklauseln steht.
Davon abgesehen müssen Datentransfers an US-Unternehmen, die bisher auf den Privacy Shield gestützt wurden, umgehend eingestellt oder auf eine andere Rechtsgrundlage gestellt werden. Der Angemessenheitsbeschluss bezüglich des Abkommens ist mit dem heutigen Tage ungültig, sodass darauf gestützte Datenübermittlungen nicht mehr rechtskonform sind. Außerdem müssen Unternehmen prüfen, ob sie mit ihren Auftragsverarbeitern die Einhaltung von Privacy Shield vereinbart haben. Dann müssen sie jetzt Änderungen an der Vereinbarung über die Auftragsverarbeitung vornehmen.