Home
Intern
veröffentlicht am 20. Juli 2020 | Lesedauer ca. 3 Minuten
Paukenschlag für den Datenschutz: Zum zweiten Mal hat der Europäische Gerichtshof (EuGH) entschieden, dass der Datenschutz in den Vereinigten Staaten hinter den europäischen Datenschutz zurückfällt. Unternehmen müssen entschlossen und zügig handeln. Das Urteil hat darüber hinaus weitreichende Konsequenzen, denn der EuGH hat in seinem Urteil zum Privacy-Shield-Abkommens auch eine wegweisende Entscheidung über die Grundsätze der Datenübertragung in Drittländer getroffen. Besonders bei der Anwendung von Standardvertragsklauseln ist äußerste Vorsicht geboten. Die Verwender solcher Klauseln unterliegen weitreichenden Verpflichtungen, um den Datenschutz bei der Übertragung von personenbezogenen Daten in ein Drittland zu gewährleisten
Mit Urteil vom 16. Juli 2020 – C 311/18, hat der EuGH entschieden, dass das sog. Privacy-Shield-Abkommen nicht mit europäischem Datenschutzrecht vereinbar ist. Über die – in den Medien sehr präsente Entscheidung – hinaus, hat der EuGH für die Praxis relevante Anforderungen an die Verwendung der von der Europäischen Kommission entworfenen Standardvertragsklauseln gestellt. Kann das Schutzniveau im Datenschutz bei der Übertragung personenbezogener Daten in ein Drittland nicht gewährleistet werden, ist sie durch die Aufsichtsbehörden auszusetzten oder zu verbieten.
Dem Privacy-Shield-Urteil des EuGH ging eine Klage des österreichischen Datenschützers Max Schrem voraus, der bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingelegt hat. Das Urteil, das nun im Kern der Argumentation des Datenschützers folgt, stellt darauf ab, dass die nachrichtendienstlichen Überwachungsgesetze in den USA die Möglichkeit vorsehen, auf geschützte Daten zuzugreifen. Insbesondere die großen Internetkonzerne wie Facebook seien verpflichtet, den US-Behörden die Daten zugänglich zu machen.
Das Urteil war bereits das zweite Urteil, das der Datenschützer erwirkt hat. Bereits im Jahr 2015 wurde durch den EuGH das Safe-Harbor-Abkommen, der Vorläufer von Privacy-Shield-Abkommens als nicht mit dem europäischen Datenschutz vereinbar erklärt. Der EuGH hat in seinem Urteil zum Privacy-Shield-Abkommens gleichzeitig eine wegweisende Entscheidung über die Grundsätze der Datenübertragung in Drittländer getroffen.
Auch wenn ein Teil der Datenübertragung in die USA auf Grundlage des Privacy-Shield-Urteils nun unrechtmäßig ist, bleibt eine Datenübertragung, wie von dem EuGH grundsätzlich anerkannt, unter Verwendung der von der Kommission erarbeiteten Standardvertragsklauseln möglich. Fraglich ist jedoch, ob die hohen Anforderungen des europäischen Datenschutzes im Fall der Datenübertragung in die USA überhaupt gewährleistet werden können.
Im Grundsatz stellt der Verwender das Schutzniveau sicher, indem er den Vertragspartner vertraglich auf den Datenschutz bindet. Doch hiermit endet nicht die Pflicht des Verwenders. So wirft der EuGH in seiner Entscheidung die Frage auf, welche Gesichtspunkte zu berücksichtigen sind, um festzustellen, ob ein angemessenes Schutzniveau besteht, wenn personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden. Den betroffenen Personen müssen nicht nur geeignete Garantien zugutekommen sondern auch durchsetzbare Rechte sowie wirksame Rechtsbehelfe zur Verfügung stehen.
Bei der im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung des Datenschutz-Schutzniveaus ist ferner ein etwaiger Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten zu berücksichtigen. Weiter spielen die maßgeblichen Elemente der Rechtsordnung des Landes, sowie die in Art. 45 Abs. 2 der DSGVO genannten Elemente (u.a. Bestehen von Aufsichtsbehörden, Sicherheitsvorschriften) eine Rolle.
In diesem Punkt wird die weitreichende Bedeutung des Urteils für die Praxis deutlich. Nach Auffassung des EuGH ist die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet, eine auf Standardvertragsklauseln gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die vertraglichen Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können.
Für den Verwender hat dies ebenfalls Konsequenzen: die Anwendung der Standardvertragsklauseln setzt in jedem Fall eine sorgfältige Prüfung des Schutzniveaus in dem jeweiligen Land voraus. Kann das Datenschutzniveau nicht eingehalten werden, ist eine Datenübertragung zu unterlassen – was in Anbetracht des Urteils und der Gesetzeslage in den USA fraglich ist.
Denn während in Europa der Schutz persönlicher Daten, insbesondere vor dem Hintergrund der Datenschutzgrundverordnung, eine bedeutende Rolle spielt, liegt ein Fokus des US-Gesetzgebers in der Möglichkeit, Behörden den Zugriff auf Daten zu ermöglichen. Ein Beispiel hierfür ist der prominente „Cloud Act", der US-amerikanischen Behörden den Zugriff auf gespeicherte Daten im Internet gewährleisten soll, selbst wenn deren Speicherung nicht in den USA liegt. Die Entscheidung darüber, welcher politische Ansatz der Richtige ist, ist eine Glaubensfrage - die Unvereinbarkeit der verschiedenen Systeme des Datenschutzes ist offensichtlich.
Unternehmen, die Daten in das Ausland übertragen, müssen gerade jetzt eine besondere Sorgfalt anwenden, um Datenschutzkonformität zu gewährleisten. Es ist davon auszugehen, dass Datenschutzaufsichtsbehörden nach dem Urteil ein besonderes Augenmerk auf Datenübertragung in Drittländer legen.
Diese Sorgfalt liegt auch im eigenen Interesse der Unternehmen. Denn Verstöße gegen den Datenschutz sind gemäß Art. 83 DSGVO strafbewährt mit Geldbußen von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
Auch Standardvertragsklauseln bieten per se keinen umfassenden Schutz. Das Schutzniveau des jeweiligen Landes ist in jedem Einzelfall zu prüfen. Kann es nicht gewährleistet werden, ist die Datenübertragung in ein Drittland zu unterlassen.
Stefan Alexander Breider
Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter DSB-TÜV
Associate Partner
Anfrage senden
Profil
Clemens Bauer
Rechtsanwalt
Senior Associate
