Auswirkungen der Entscheidung „Schrems II“ auf Unternehmen
1. Zu welchem Ergebnis kommt der EuGH in Bezug auf den Privacy Shield?
Die Europäische Kommission hatte entschieden, dass der EU-US-Datenschutzschild (Privacy Shield) ein angemessenes Schutzniveau für Datenübermittlungen an US-Unternehmen bewirkt, wenn sie sich den Bedingungen dieses Schutzschildes unterworfen haben. Das ergab sich aus dem Durchführungsbeschluss (EU) 2016/1250 der Europäischen Kommission vom 12. Juli 2016.
Diesen Durchführungsbeschluss hat der EuGH für ungültig erklärt. Damit steht fest, dass der Privacy Shield gerade nicht für ein angemessenes Schutzniveau bei Datenübermittlungen in die USA sorgt. Die Entscheidung mit der Kurzbezeichnung „Schrems II“ ist abrufbar unter https://ogy.de/eugh-entscheidung-schremsII.
2. Was waren für Unternehmen die Vorteile des Privacy Shield?
Der Privacy Shield war aus Unternehmenssicht eine Art Register, in das sich US-Unternehmen selbst eintragen konnten („Selbstzertifizierung“). Sobald sich ein US-Unternehmen eingetragen hatte, war es rechtlich an die Vorgaben des Privacy Shield („Privacy Shield Principles“) gebunden. Aufwendige individuelle Anpassungen an die konkrete Situation des Unternehmens waren nicht erforderlich.
Die Selbstzertifizierung eines US-Unternehmens bewirkte, dass für Datenübermittlungen aus der EU an dieses Unternehmen von einem angemessenen Schutzniveau auszugehen war. Damit waren Datenübermittlungen von Unternehmen in der EU an das Unternehmen in den USA unter denselben Voraussetzungen zulässig wie zwischen zwei Unternehmen innerhalb der EU. Die übermittelnden Unternehmen in der EU mussten dafür nichts zusätzlich tun.
Insgesamt hatten sich nach dem Stand vom 16. Juli 2020 5.394 US-Unternehmen und US-Organisationen in das Privacy-Shield-Register eingetragen. Es ist unter https://www.privacyshield.gov/list weiterhin öffentlich zugänglich.
Vermutlich haben Hundertausende Unternehmen in der EU von den Vorteilen des Privacy Shield profitiert. Ganze Wirtschaftsbranchen haben die Übermittlung von personenbezogenen Daten in die USA bisher weitgehend auf der Basis des Privacy Shield durchgeführt.
Die Personen, die von einer Datenübermittlung betroffen waren, mussten bei der Nutzung des Privacy Shield in keiner Weise eingebunden werden. Insbesondere war ihre Einwilligung nicht erforderlich. Das ersparte den Unternehmen erheblichen Aufwand.
3. Was ist die unmittelbare rechtliche Folge aus dem Wegfall des Privacy Shield?
Alle Datenübermittlungen aus der EU in die USA, die ausschließlich auf der Basis des Privacy Shield erfolgen, verstoßen gegen die Datenschutz-Grundverordnung (DSGVO) und sind damit rechtswidrig. Das betrifft Datenübermittlungen an externe Geschäftspartner in den USA ebenso wie Datenübermittlungen zwischen rechtlich selbstständigen Unternehmen innerhalb eines Konzerns. Der Privacy Shield als Rechtsinstrument gehört der Geschichte an. Nun stellt sich die Frage, wie Unternehmen mit dieser Situation umgehen sollen.
4. Gibt es eine Übergangsfrist?
Nein. Das Urteil des EuGH beansprucht ab sofort Geltung. Die Frage, ob der Europäische Gerichtshof auch anders hätte verfahren können, hat keine praktische Bedeutung. Das Gericht hat dies eindeutig nicht getan.
5. Ist mit einer Nachfolgeregelung für den Privacy Shield zu rechnen?
Der Privacy Shield ist bereits das zweite Regelungswerk für Datenübermittlungen in die USA, das der EuGH für ungültig erklärt hat.
Vorläufer des Privacy Shield war das Safe-Habor-Abkommen. In einer Entscheidung vom 26.7.2000 hatte die Europäische Kommission festgelegt, dass dieses Regelungswerk für Datenübermittlungen in die USA ein angemessenes Schutzniveau sicherstellt. Der EuGH hat diese Entscheidung mit dem Urteil „Schrems I“ am 6. Oktober 2015 für ungültig erklärt. Zu diesen Vorgängen rund um Safe Harbor siehe Ehmann, Datenschutz PRAXIS 11/2015, Seite 1.
Aus der Sicht von Unternehmen hatten die Safe-Harbor-Regelungen ähnliche Vorteile, wie sie für den Privacy Shield geschildert wurden. Insbesondere war es nicht nötig, die betroffenen Personen in irgendeiner Art und Weise in den Abschluss von Vereinbarungen einzubeziehen.
Die USA und die Europäische Kommission könnten erneut den Versuch unternehmen, ein allgemeines Regelungswerk zu schaffen, das ein angemessenes Schutzniveau für Datenübermittlungen in die USA bewirken soll. Das U.S. Department of Commerce und die Europäische Kommission haben am 10. August 2020 erklärt, sie hätten Diskussionen in die Wege geleitet, um das Potenzial für ein verbessertes Privacy-Shield-Regelungswerk abzuschätzen, das die Vorgaben des EuGH in „Schrems II“ erfüllt (siehe https://ogy.de/pm-privacy-shield).
Konkrete Verhandlungen, die auf ein baldiges Ergebnis hoffen lassen, sehen anders aus. Mit Hilfe von dieser Seite können betroffene Unternehmen daher jedenfalls auf absehbare Zeit nicht rechnen.
6. Was hat der EuGH in Bezug auf die Standardvertragsklauseln entschieden?
Die Europäische Kommission hat Standardvertragsklauseln bereitgestellt. Ihre Verwendung bei Datenübermittlungen in die USA bewirkt, dass ein angemessenes Datenschutzniveau besteht. Die Standardvertragsklauseln sind in einem Beschluss der Europäischen Kommission enthalten (Beschluss 2010/87/EU vom 5.2.2010, hier abrufbar: https://ogy.de/standardvertragsklauseln).
Hinsichtlich dieses Beschlusses hat der EuGH folgende Entscheidung getroffen: „Die Prüfung des Beschlusses 2010/87/EU … hat nichts ergeben, was seine Gültigkeit berühren könnte.“ (Tenor Nr. 5 der Entscheidung „Schrems II“).
7. Ermöglicht dies einen problemlosen Rückgriff auf die Standardvertragsklauseln?
Das wirkt so, als könnten Unternehmen als Alternative zum Privacy Shield weitgehend problemlos auf die Standardvertragsklauseln zurückgreifen. Dieser Eindruck ändert sich allerdings, wenn man die Begründung des EuGH-Urteils analysiert. Aus ihr ergibt sich Folgendes:
- Die Verwendung der Standardvertragsklauseln bewirkt keinen „Freibrief“. Entscheidend ist vielmehr, dass ihre Vorgaben bei Datenübermittlungen auch tatsächlich eingehalten werden.
- Ob das der Fall ist, darf und muss die zuständige Datenschutzaufsichtsbehörde überprüfen. Das gilt v.a. dann, wenn ihr eine Beschwerde über angebliche Verstöße vorliegt.
- Kommt die Aufsichtsbehörde zu dem Ergebnis, dass die Vorgaben der Standardvertragsklauseln im Zielland des Datenexports – etwa in den USA – nicht eingehalten werden oder dass sie wegen dessen Rechtsordnung gar nicht eingehalten werden können, ist die Aufsichtsbehörde verpflichtet, die Übermittlung personenbezogener Daten in dieses Zielland auszusetzen oder die Übermittlung zu verbieten (Rn 113 und Rn 135 von „Schrems II“).
- In einem solchen Fall muss die Aufsichtsbehörde lediglich dann nicht eingreifen, wenn der Verantwortliche die Übermittlung der Daten selbst aussetzt oder beendet (Rn 113 von „Schrems II“).
- Dass die Europäische Kommission die Standardvertragsklauseln durch einen Beschluss für angemessen erklärt hat, schränkt die Überprüfungsbefugnisse der Aufsichtsbehörde nicht ein (Rn 120 von „Schrems II“).
8. Worin liegt die Brisanz dieser Vorgaben für den Umgang mit Standardvertragsklauseln?
Falls es gar nicht möglich ist, zwingende Vorgaben der DSGVO in den USA aufgrund der dortigen Rechtsordnung einzuhalten, verhindert das auch bei den Standardvertragsklauseln, dass mit ihrer Hilfe ein angemessenes Datenschutzniveau entstehen kann.
- Deshalb ist es erforderlich, das Urteil „Schrems II“ daraufhin zu analysieren, ob der EuGH den Privacy Shield aus diesem Grund für ungültig erklärt hat. Die Ungültigkeit des Privacy Shield ergibt sich nach Auffassung des EuGH im Wesentlichen aus zwei Punkten:
- Die von den USA durchgeführten Überwachungsprogramme für das Internet (wie etwa das Programm PRISM) kennen keine Schranken, die den Grundsatz der Verhältnismäßigkeit im Einzelfall berücksichtigen (Rn 180 von „Schrems II“).
- Betroffene Personen, die nicht US-Bürger sind, haben keinerlei Rechtsschutzmöglichkeiten, um gegen eine Überwachung aus Gründen der nationalen Sicherheit der USA vorzugehen (Rn 191 von „Schrems II“).
Im Ergebnis hilft die Verwendung von Standardvertragsklauseln im Verhältnis zu den USA voraussichtlich nur vorübergehend weiter. Über kurz oder lang werden die Datenschutzaufsichtsbehörden der EU-Staaten prüfen, ob die Vorgaben der Standardvertragsklauseln im Rechtsrahmen der USA überhaupt erfüllbar sind. Vieles spricht dafür, dass diese Prüfung negativ ausgehen wird. Dann wären die Standardvertragsklauseln nicht geeignet, ein angemessenes Schutzniveau zu bewirken. Die Folge wäre, dass die Aufsichtsbehörden die Übermittlung von Daten in die USA auf der Basis der Standardvertragsklauseln untersagen müssen.
9. Was folgt daraus für die Praxis der Unternehmen?
Angesichts dieser Begründung überrascht es, dass der EuGH die Standardvertragsklauseln nicht insgesamt als ungeeignet ansieht, um ein angemessenes Schutzniveau für Datenübermittlungen in die USA – und andere Staaten außerhalb der EU – herzustellen. Vermutlich will er die Möglichkeit offenlassen, dass ein Unternehmen noch zusätzliche Maßnahmen ergreift, die dann zusammen mit den Standardvertragsklauseln im Ergebnis doch ein angemessenes Schutzniveau gewährleisten (siehe dazu Rn 133 von „Schrems II“). Wie solche zusätzlichen Maßnahmen aussehen könnten, deutet das Gericht jedoch nicht einmal an.
10. Gibt es einen sicheren Weg, um einen Verstoß gegen die DSGVO zu vermeiden?
Wer einen absolut sicheren Weg sucht, um datenschutzkonforme Zustände herzustellen, hat im Augenblick nur eine Möglichkeit, die alle Risiken ausschließt: Er muss die Übermittlung personenbezogener Daten in die USA einstellen.
Tatsächlich hat die Datenschutzaufsicht Berlin genau dies auch bereits gefordert. In einer Pressemitteilung vom 17. Juli 2020 (abrufbar unter https://ogy.de/berlin-schremsII) heißt es: „Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
11. Ist es eine vertretbare Alternative, nach dem Motto „Augen zu und durch“ zu verfahren?
Ein solches Vorgehen wäre in zwei Varianten möglich:
- Variante 1: Ein Unternehmen hat bisher ausschließlich auf der Basis des Privacy Shield Daten in die USA übermittelt. Es ignoriert, dass der Privacy Shield ungültig ist. Dabei hofft es, dass die zuständige Aufsichtsbehörde nicht eingreift.
- Es versteht sich von selbst, dass eine solche Verfahrensweise indiskutabel ist. Das Unternehmen würde in diesem Fall vorsätzlich rechtswidrig handeln. Die zuständige Aufsichtsbehörde könnte die Beendigung der Datenübermittlungen anordnen und ferner eine Geldbuße nach Art. 83 DSGVO verhängen.
- Variante 2: Das Unternehmen nimmt den Wegfall des Privacy Shield zum Anlass, zu den Standardvertragsklauseln zu wechseln. Es hofft darauf, dass diese Klauseln genügen, um ein angemessenes Datenschutzniveau zu bewirken. Weitere Maßnahmen zugunsten betroffener Personen trifft das Unternehmen nicht.
Dieses Vorgehen dürften in nächster Zeit viele Unternehmen wählen, mehr oder weniger aus Ratlosigkeit. Die wenigsten Unternehmen werden die Datenübermittlungen in die USA einfach einstellen können. Dann erscheint es vertretbar, einstweilen mithilfe der vorhandenen Standardvertragsklauseln als dem derzeit geringsten Übel zu arbeiten. Das trägt jedenfalls so lange, bis die zuständige Aufsichtsbehörde möglicherweise eingreift und die Übermittlung untersagt.
Sollte der Vertragspartner in den USA mitteilen, dass sich Änderungen von Rechtsvorschriften der USA sehr nachteilig auf die Garantien und Pflichten gemäß den Standardvertragsklauseln auswirken, muss der Vertragspartner in der EU die zuständige Aufsichtsbehörde darüber informieren (siehe Rn 145 von „Schrems II“).
12. Was sagt der Europäische Datenschutzausschuss (EDSA)?
Der EDSA hat am 23. Juli 2020 eine Zusammenstellung häufiger Fragen zur Entscheidung „Schrems II“ veröffentlicht. Sie ist hier abrufbar: https://ogy.de/edpb-faq-schrems (bisher nur auf Englisch). Sie bietet kaum weiterführende Informationen.
13. Wie lässt sich die Situation aus der Sicht eines Unternehmens insgesamt beschreiben?
Viele Unternehmen empfinden eine gewisse Hilflosigkeit. Sie sind einerseits auf die Übermittlung personenbezogener Daten in die USA angewiesen, weil sie sonst ihre Geschäftstätigkeit zumindest teilweise einstellen müssten. Andererseits fehlt es jedoch im Augenblick an sicher belastbaren Rechtsgrundlagen. Eine saubere Lösung für dieses Dilemma ist nicht in Sicht.
