EU-US Privacy Shield ungültig - Der EuGH kippt das transatlantisches Datenschutzabkommen
Es ist bereits der zweite Erfolg des österreichischen Datenschutzaktivisten und Juristen Max Schrems gegen Facebook, der Auswirkungen auf den transatlantischen Datentransfer und damit auch auf die Datenverarbeitung von Firmen wie Microsoft, Apple und anderen Telekommunikationsanbietern in den USA hat. Bereits Anfang Oktober 2015 hatte der europäische Gerichtshof (EuGH) auf seine Beschwerde hin in der Safe-Harbor- bzw. Schrems-I-Entscheidung (Rechtssache C-362/14) das gleichnamige transatlantische Datenschutzabkommen für ungültig erklärt. Nun ist auch der Nachfolger, der sogenannte EU-US Privacy Shield, mit dem sogenannten Schrems-II-Urteil des EuGH vom 16. Juli 2020 (Rechtssache C-311/18) Geschichte.
Der Privacy Shield bildete bislang als Angemessenheitsbeschluss der Europäischen Union im Sinne von Art. 45 DS-GVO sowie der korrespondierenden kirchlichen Regelungen in § 40 KDG/KDR-OG und § 10 DSG-EKD neben den sogenannten EU-Standarddatenschutzklauseln die Grundlage für einen legitimen Datentransfer zwischen der EU und den USA. Ein Angemessenheitsbeschluss dient dazu, in dem betreffenden Drittland ein angemessenes Datenschutzniveau festzustellen.
Aber gerade über die Feststellung des angemessenen Schutzniveaus in den USA wurde in Fachkreisen aufgrund der exzessiven Überwachungspraxis der US-Nachrichtendienste teils heftig gestritten. In den USA sind Unternehmen dazu verpflichtet, Behörden wie der NSA und dem FBI zur Strafverfolgung oder zur Prävention von Straftaten auf Anfrage Daten von Betroffenen zugänglich zu machen, ohne dabei die Interessen des Betroffenen zu berücksichtigen. Vor diesem Hintergrund hatte Herr Schrems gegenüber der irischen Datenschutzbehörde Beschwerde gegen Facebook und mithin dem Privacy Shield erhoben, weshalb schließlich ein irisches Gericht die Frage nach der Wirksamkeit des Privacy Shield und der sogenannten EU-Standarddatenschutzklauseln dem EuGH vorlegte. Die EU-Standarddatenschutzklauseln sind ein weiteres Instrument, um einen Datentransfer in ein Drittland vertraglich zu legitimieren.
Der EuGH entschied nun, dass der Privacy Shield u.a. aufgrund des weitreichenden Zugriffs der US-Nachrichtendienste kein angemessenes Datenschutzniveau bei der Verarbeitung biete und nicht mehr als Grundlage für den transatlantischen Datentransfer dienen könne. Die EU-Standarddatenschutzklauseln hingegen beanstandete der EuGH nicht. Diese können also nach wie vor als geeignete Garantien im Sinne von Art. 45 DS-GVO, § 40 KDG/KDR-OG und § 10 DSG-EKD für den transatlantischen Datentransfer genutzt werden.
Im Kern sollen diese Klauseln ähnlich wie ein Angemessenheitsbeschluss die Garantie dafür bieten, dass der Vertragspartner ein angemessenes Datenschutzniveau im Rahmen der Verarbeitung im Drittland gewährleistet. Problematisch ist jedoch, dass sich auch bei der Verwendung der EU-Standarddatenschutzklauseln der Verantwortliche versichern muss, dass in dem Drittland ein angemessenes Datenschutzniveau herrscht, woran im Falle der USA aufgrund des relativ unbegrenzten Zugriffs auf Daten und des geringen Rechtsschutzes für Betroffene insgesamt gezweifelt werden kann.
Infolge des Urteils hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit am selben Tag eine Stellungnahme des europäischen Datenschutzausschusses nach Veröffentlichung des gesamten Urteilstextes und in diesem Zusammenhang eine Überarbeitung der EU-Standarddatenschutzklausel durch die europäische Kommission angekündigt.
Die kirchlichen Datenschutzaufsichtsbehörden sind hingegen der Ansicht, dass ein Datentransfer in die USA selbst unter Verwendung der EU-Standarddatenschutzklauseln ein erhebliches Haftungsrisiko berge, da vertraglich keine wirksame Vereinbarung über einen effektiven Rechtsschutz getroffen werden könne. Entsprechende Datenverarbeitungen seien daher auszusetzen, bis ein dem weltlichen bzw. kirchlichen Datenschutzrecht vergleichbares Datenschutzniveau gewährleistet werden könne.
Der amerikanische Softwarehersteller Microsoft beteuerte hingegen in der Zwischenzeit, dass der datenschutzkonforme Datentransfer in die USA durch den Einsatz der EU-Standarddatenschutzklauseln (bzw. im Falle von Microsoft der Standard Contractual Clauses – SCC) nicht gefährdet sei.
Handlungsempfehlungen zum transatlantisches Datenschutzabkommen
Nachdem der EU-US Privacy Shield vom EuGH für ungültig erklärt worden ist, ist auch die alternative Verwendung der EU-Standarddatenschutzklauseln für den transatlantischen Datentransfer fraglich geworden, da ein angemessenes Datenschutzniveau in den USA aufgrund der weitreichenden Überwachungspraxis der amerikanischen Behörden und des mangelnden Rechtsschutzes von Betroffenen derzeit (vertraglich) nicht gewährleistet werden kann. Die weltlichen und kirchlichen Datenschutzbehörden empfehlen, die Datenverarbeitung solange auszusetzen, wie ein der DS-GVO und dem KDG entsprechendes Datenschutzniveau nicht garantiert werden kann.
Seitens der Verantwortlichen sollte nun rasch geprüft werden, welche personenbezogenen Daten derzeit in den USA verarbeitet werden und ob diese Dienste auch in der EU erbracht werden können. Gerne unterstützen wir Sie im Rahmen dieser Feststellungen.