Der Europäische Gerichtshof (EuGH) hat entschieden, dass europäische Unternehmen ihre Datenübermittlung in die USA nicht mehr auf das zwischen der EU-Kommission und der US-Regierung ausgehandelte Privacy Shield-Abkommen stützen können.
a) Sachverhalt
Der Entscheidung des EuGH ging eine Beschwerde bei der irischen Datenschutzbehörde voraus. Der Österreicher Max Schrems beanstandete die Weiterleitung seiner personenbezogenen Daten von Facebook Ireland an Facebook Inc. in den USA. Nach seiner Auffassung sei kein ausreichender Schutz vor dem Zugriff der US-amerikanischen Behörden auf aus der EU übermittelte Daten gegeben. Herr Schrems stellte die Rechtmäßigkeit des Datentransfers auf Grundlage des Privacy Shields und den sogenannten Standardvertragsklauseln der EU-Kommission in Frage. Diese Fragen legte der irische High Court dem EuGH vor.
b) Entscheidungsgründe
Der EuGH erklärte das Privacy Shield für ungültig, jedoch könne eine Datenübermittlung an ein Drittland aufgrund von Standardvertragsklauseln weiterhin zulässig sein.
Die Übermittlung personenbezogener Daten sei nach der Datenschutz-Grundverordnung (DS-GVO) nur zulässig, wenn ein angemessenes Datenschutzniveau im Drittland gewährleistet werde. Aufgrund der weitreichenden Zugriffsmöglichkeiten der amerikanischen Sicherheitsbehörden auf elektronisch gespeicherte Daten seien die europäischen Anforderungen an den Datenschutz für in die USA übertragene Nutzerdaten nicht gewährleistet. Auch sei der Rechtsschutz für Betroffene unzureichend.
Demgegenüber könne eine zulässige Datenübermittlung weiterhin mit Standardvertragsklauseln, in denen sich die Vertragsparteien dazu verpflichten, ein angemessenes Datenschutzniveau einzuhalten, erfolgen. Die Vertragsklauseln unterliegen der ständigen Kontrolle durch die Aufsichtsbehörden. Zudem seien die Vertragsparteien zur Prüfung verpflichtet, ob die Rechtslage im Empfängerland die Einhaltung der Standardvertragsklauseln zulässt.
c) Folgen für die Praxis
Datenübermittlungen in die USA, die ausschließlich auf das Privacy Shield gestützt werden, müssen eingestellt werden. Zwar bleiben die als alternative Grundlage für Datentransfers in Drittstaaten genutzten „Standardvertragsklauseln“ grundsätzlich wirksam. Sie unterliegen aber der strengen Aufsicht der Datenschutzbehörden und erfordern umfassende Prüf- und Handlungspflichten der Vertragsparteien. Der EuGH präzisiert diese Pflichten nicht, was die Anwendung in der Praxis erschwert. Sollte die Datenübermittlung nicht auf Basis der Standardvertragsklauseln in zulässiger Weise stattfinden können, kann sie lediglich auf Grundlage des Art. 49 DS-GVO erfolgen. Danach bildet z. B. eine Einwilligung eine zulässige Rechtsgrundlage für die Datenübermittlung in Drittstaaten.
Die Europäische Kommission hat bereits angekündigt, ihre Standardvertragsklauseln an die Entscheidung des EuGH anzupassen. Unternehmen, die bereits heute Standardvertragsklauseln verwenden, sollten dokumentieren, dass sie die nationale Rechtslage des Empfängerlandes und die Einhaltung der Vertragsbedingungen hinreichend kontrolliert haben, um etwaige Vorwürfe behaupteter DS-GVO-Verstöße effektiv entkräften zu können.