EuGH erklärt EU-US Privacy Shield für ungültig

05 August, 2020

Von Dr. Jan-Peter Ohrtmann und Dr. Alexander Golland. Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 geurteilt, dass das EU-US Privacy Shield ungültig ist (Rs. C-311/18). Das Gericht begründet die wegweisende Entscheidung mit dem Umstand, dass das Abkommen den Erfordernissen der nationalen Sicherheit der USA und der Einhaltung von US-Recht Vorrang einräume.

Daher sei durch das Privacy Shield kein angemessener Schutz von Daten in den USA sichergestellt. Die vielfach genutzten EU-Standardvertragsklauseln sind hingegen weiterhin gültig – wenngleich ihr Einsatz Schwierigkeiten bereitet. Der EuGH fordert, dass der Datenimporteur die in den Klauseln enthaltenen Verpflichtungen tatsächlich einhalten kann. Ob dies ohne weitere Maßnahmen in den USA und anderen Ländern möglich ist, muss bezweifelt werden.

Gesetzlicher Rahmen

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn im betreffenden Land für die Daten ein angemessenes Schutzniveau gewährleistet wird. Unternehmen stehen hierfür drei Optionen zur Verfügung:

  1. Angemessenheitsbeschlüsse der EU-Kommission
    Die Kommission kann feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Derartige Angemessenheitsbeschlüsse existieren nur für zwölf Länder.
  2. Binding Corporate Rules
    Liegt kein Angemessenheitsbeschluss vor, darf eine Übermittlung nur erfolgen, wenn der in der EU ansässige Exporteur der Daten geeignete Garantien vorsieht. Derartige Garantien können Unternehmen für konzerninterne Datenflüsse durch sogenannte Binding Corporate Rules (BCRs) schaffen.
  3. EU-Standardvertragsklauseln
    Eine weitere Möglichkeit zur Schaffung dieser Garantien stellen EU-Standardvertragsklauseln dar. Sowohl konzernintern als auch zwischen Unternehmen konnten die Beteiligten diese Klauseln abschließen und hierdurch das erforderliche Schutzniveau herbeiführen.

Für Datenübermittlungen in die USA wurden bislang überwiegend das EU-US Privacy Shield – eine sektorspezifische Angemessenheitsentscheidung der Kommission – und/oder Standardvertragsklauseln genutzt.

Entscheidung des Gerichts

Der EuGH stellte fest, dass der Beschluss 2010/87 über die EU-Standardvertragsklauseln mit der Charta der Grundrechte der Europäischen Union vereinbar und daher weiterhin gültig ist. Den Privacy-Shield-Beschluss 2016/1250 erklärte er für ungültig.

Der Gerichtshof prüfte zunächst die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln. Er sieht sie nicht schon dadurch infrage gestellt, dass die in diesem Beschluss enthaltenen EU-Standardvertragsklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr sei entscheidend, ob der Beschluss wirksame Mechanismen enthalte, die in der Praxis gewährleisten können, dass das verlangte Schutzniveau eingehalten wird und dass Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Nach Ansicht des Gerichts bieten die Standardvertragsklauseln grundsätzlich hinreichende Garantien für einen Transfer in Drittländer. Allerdings betont das Gericht, dass der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werde.

Anschließend prüfte der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250. Der EuGH kam dabei zu dem Ergebnis, dass das Privacy Shield die Befugnisse der US-amerikanischen Behörden, die nach US-Recht auf Daten zugreifen und sie verwenden dürfen, nicht ausreichend einschränkt. Es würden damit nicht die Anforderungen erfüllt, die einen mit dem Unionsrecht gleichwertigen Schutz böten, da die auf die US-amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien. Der Gerichtshof fügte hinzu, dass diese Vorschriften zwar Anforderungen vorsehen würden, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten seien. Sie würden aber den betroffenen Personen keine Rechte verleihen, die auch gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. Die Ausführungen des Gerichts in Bezug auf die Eingriffe in die Grundrechte europäischer Bürger durch US-Behörden sind allgemein gehalten und legen nah, dass sich aufgrund der US-Rechtslage nicht ohne Weiteres ein vergleichbares Datenschutzniveau herstellen ließe.

Das Gericht hebt hervor, dass Unternehmen die Übermittlung in derartige Drittländer unterlassen müssen, sofern kein Schutzmechanismus vorhanden ist, der ein angemessenes Datenschutzniveau im Zielland gewährleistet. Nach Ansicht des Gerichts sind darüber hinaus die Aufsichtsbehörden verpflichtet, Datentransfers zu untersagen, wenn diese nicht von den Unternehmen freiwillig eingestellt werden.

Reaktion der Europäischen Kommission

Die Europäische Kommission hatte noch 2019 das EU-US Privacy Shield als Erfolg gefeiert. In ihrer Pressekonferenz zum Urteil regte die Kommission nun an, den Datentransfer auf Binding Corporate Rules zu stützen. Allerdings bedürfen diese der Genehmigung, gelten nur innerhalb eines Konzerns und spielen in der Praxis keine Rolle: Weltweit verfügen nur wenige Konzerne über die zur Gültigkeit von BCRs erforderliche Genehmigung.

Relevanter ist hingegen, dass die Europäische Kommission mitteilte, bereits an Alternativen zu arbeiten. Worum es sich hierbei handelt, ließ die Kommission offen. Denkbar ist, dass die seit Langem erwarteten neuen sogenannten EU-Standarddatenschutzklauseln, die die Standardvertragsklauseln ablösen sollen, veröffentlicht werden. Ebenfalls ist möglich, dass Verhandlungen mit den USA zu einem Nachfolgemodell des Privacy Shield vorbereitet werden.

Auswirkungen auf die Praxis

Datentransfers in Länder außerhalb der Europäischen Union müssen nach den Vorgaben der DSGVO durch bestimmte Instrumente gewährleisten, dass das Datenschutzniveau im Zielland dem der Europäischen Union entspricht. Das Privacy Shield stellte neben den EU-Standardvertragsklauseln ein oft genutztes Instrument zur Legitimierung von Datentransfers in die USA dar. Sämtliche Datentransfers, die auf das Privacy Shield gestützt werden, müssen ab sofort unterlassen und zum Beispiel auf Standardvertragsklauseln umgestellt werden.

Da das Gericht im Rahmen der Prüfung des Privacy Shield feststellte, dass die Rechtslage in den USA kritisch zu bewerten ist, sind Datentransfers auf Grundlage der Standardvertragsklauseln allerdings mit Rechtsrisiken behaftet. So scheint es nicht möglich, durch den bloßen Abschluss von Standardvertragsklauseln in den USA ein angemessenes Datenschutzniveau herzustellen. Ein Datentransfer in die USA oder andere unsichere Drittländer allein auf Grundlage dieser Klauseln ist jedenfalls ohne weitere Schutzmaßnahmen nicht (mehr) möglich.

Datenübermittelnde und -empfangende Unternehmen müssen zeitnah zusätzliche Maßnahmen implementieren, die zu den Standardvertragsklauseln hinzutreten und insbesondere den Umgang mit behördlichen Herausgabeverlangen regeln, sodass dieses „Gesamtpaket“ die beabsichtigten Datentransfers ins Drittland legitimieren kann. Einzelne Datenschutzaufsichtsbehörden haben bereits angekündigt, den Unternehmen keine Schonfrist zu gewähren.

IT Security & Data Protection News

Dieser Artikel ist Teil des quartalsweise erscheinenden Newsletters IT Security & Data Protection. Die IT Security & Data Protection News informieren regelmäßig über aktuelle Änderungen und Entwicklungen im Bereich IT-Sicherheit und Datenschutz.

Weitere Inhalte und Artikel

Contact us

Dr. Jan-Peter Ohrtmann

Dr. Jan-Peter Ohrtmann

Partner, PwC Germany

Tel.: +49 211 981-2572

Dr. Alexander Golland

Dr. Alexander Golland

Manager, PwC Germany

Tel.: +49 211 981-2007

Follow us