Der EuGH hat seine datenschutzfreundliche Rechtsprechung fortgesetzt: Mit der Schrems‑II‑Entscheidung (C‑311/18) wurde das Privacy Shield für ungültig erklärt. Das Privacy Shield war – auf Grundlage eines Beschlusses der Europäischen Kommission (EU/2016/1250) – bisher eine praktikable Möglichkeit, an entsprechend zertifizierte Unternehmen in den USA Daten zu übermitteln.
Die Entscheidung war zu erwarten. Mit der Schrems‑I‑Entscheidung hatte der EuGH bereits den Vorgängerbeschluss zum Privacy Shield – das Safe‑Harbor‑Abkommen – für ungültig erklärt. Datenschutzrechtlich Verantwortliche hatten deshalb in der Vergangenheit nach alternativen Möglichkeiten für Datentransfers in den USA gesucht. Eine rechtssichere Alternative sollten hierfür die EU‑Standardvertragsklauseln sein, die in der DS‑GVO als Instrument für die Übermittlung personenbezogener Daten in Drittländer explizit vorgesehen sind.
Diese Standardvertragsklauseln standen für den EuGH nun in der Kritik. Für sich allein können sie die Übermittlung von personenbezogenen Daten in die USA nicht mehr rechtfertigen. Datenschutzerklärungen, Verträge und Digitalisierungsprojekte, die in der Vergangenheit unter Einbindung von Dienstleistern mit Sitz in den USA und auch mit Sitz in anderen Drittstaaten implementiert wurden, müssen nun neu überprüft werden. Standardvertragsklauseln können zwar weiterhin eine wirksame Grundlage für die Datenübermittlung in ein Drittland sein. Indes sind zusätzliche Garantien erforderlich, die unverhältnismäßige Zugriffsmöglichkeiten der Behörden kompensieren. Ein europäischer Datenexporteur ist insoweit verpflichtet, in jedem Einzelfall zu überprüfen, ob das Recht des Drittstaats nach Maßgabe des Unionsrechts einen angemessenen Schutz der übermittelten Daten gewährleistet. Das die Daten exportierende Unternehmen muss dabei die maßgeblichen Aspekte des Schutzniveaus bewerten und zusätzliche Maßnahmen (beispielsweise Verschlüsselung und Anonymisierung) ergreifen. Die von der Kommission beschlossenen Standardvertragsklauseln können zur Gewährleistung eines höheren Datenschutzniveaus modifiziert werden. Wie der Datenexporteur jedoch einen defizitären Aufsichts- und Rechtsschutzmechanismus in einem Drittland durch zusätzliche Maßnahmen kompensieren können soll, lässt sich dem Urteil nicht entnehmen.
Die Entscheidung lässt deshalb – mit Blick auf die bisherige EuGH‑Entsprechung leider erneut – Unternehmen, Behörden und Institutionen mit einer erheblichen Rechtsunsicherheit zurück. Die Datenschutzaufsichtsbehörden haben diese Rechtsunsicherheit in manchen Bundesländern – besonders in Baden‑Württemberg und Berlin – noch verstärkt und angekündigt, gegen Unternehmen vorzugehen, die auf Grundlage des Privacy Shields und/oder auf Grundlage von nicht näher überprüften Gegebenheiten trotz Standardvertragsklauseln personenbezogene Daten an Verantwortliche in Drittstaaten übermitteln. Kurz- und mittelfristig gibt es dennoch – auch mit den Ausnahmevorschriften des Art. 49 DS‑GVO – Wege, der Transferproblematik zu begegnen.
Unser Partner Dr. Cornelius Böllhoff wird das Schrems‑II‑Urteil und die sich hieraus ergebenden erheblichen Konsequenzen in prominenter Runde – u. a. mit dem Bundesdatenschutzbeauftragten Prof. Ulrich Kelber sowie der Datenschutzbeauftragten des Landes Schleswig‑Holstein Marit Hansen – am kommenden Donnerstag (10.09.2020, 10:00 bis 12:00 Uhr) auf Einladung des Behörden Spiegel in der Reihe „Digitaler Staat online“ diskutieren. Die Veranstaltung findet online statt und ist unter folgendem Link abrufbar: https://www.digitaler‑staat.online/programm/#1595407504827‑3d91d03c‑6f81
Dr. Cornelius Böllhoff
Partner
Rechtsanwalt
(boellhoff@redeker.de)
Dr. Gero Ziegenhorn
Partner
Rechtsanwalt
(ziegenhorn@redeker.de)
Dr. Diane Lindermann
Senior Associate
Rechtsanwältin
(lindermann@redeker.de)
Dr. Stefanie Schulz‑Große
Senior Associate
Rechtsanwältin
(schulz-grosse@redeker.de)
Der Newsletter stellt keine individuelle Rechtsberatung dar und verfolgt ausschließlich den Zweck, über ausgewählte Themen zu informieren. Bei Fragen zum Newsletter wenden Sie sich bitte an einen genannten Ansprechpartner.