Mit einem Paukenschlag hat der europäische Gerichtshof (EuGH) in seinem Urteil vom 16.07.2020 die Regelung des Privacy Shield für nicht mehr anwendbar erklärt. Der Privacy Shield biete kein angemessenes Schutzniveau mehr bei Datenübermittlungen in die USA.
Der Privacy Shield war aus Unternehmenssicht eine Art Register, in dass sich US-Unternehmen selbst eintragen konnten und damit rechtlich an die Vorgaben des Privacy Shield („privacy shield principles“) gebunden waren. Aufwendige individuelle Anpassungen an die konkrete Situation des jeweiligen Unternehmens waren im Hinblick auf Datenübertragungen damit nicht mehr erforderlich. Man konnte davon ausgehen, dass das Schutzniveau für Datenübermittlungen aus der EU an jedes US-Unternehmen gewährleistet war. Auch die übermittelden Unternehmen in der EU mussten bei ihrer Datenübermittlung keine weiteren Schutzvorkehrungen mehr treffen. Hunderttausende Unternehmen in der EU haben von den Vorteilen des Privacy Shield profitiert. Ganze Wirtschaftsbranchen dürften die Übermittlung von personenbezogenen Daten in die USA weitgehend auf der Basis des Privacy Shield durchgeführt haben. Personen, die von dieser Datenübermittlung betroffen waren, mussten bei der Nutzung des Privacy Shield nicht gesondert eingebunden werden. Insbesondere war keine diesbezügliche Einwilligung erforderlich. Das ersparte den Unternehmen letztlich erheblichen bürokratischen Aufwand. Der EuGH hat nun mit seinem Urteil entschieden, das alle Datenübermittlungen aus der EU in die USA, die ausschließlich auf der Basis des Privacy Shield erfolgten, gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und damit rechtswidrig sind. Davon umfasst sind Datenübermittlungen zwischen rechtlich selbstständigen Unternehmen innerhalb eines Konzerns sowie auch Datenübermittlungen an externe Geschäftspartner in den USA.
Die Ungültigkeit des privacy shield begründete der EuGH im Wesentlichen mit zwei Argumenten:
1. Die von den USA durchgeführten Überwachungsprogramme für das Internet (z.B. PRISM) kennen keine Schranken, die den Grundsatz der Verhältnismäßigkeit im Einzelfall berücksichtigen.
2. Betroffene Personen, die nicht US-Bürger sind, haben keinerlei Rechtsschutz Möglichkeiten, um gegen eine Überwachung aus Gründen der nationalen Sicherheit der USA vorzugehen.
Da es keine Übergangsfrist gibt, ist das Urteil des EuGH sofort rechtskräftig, somit sind sämtliche Datenübermittlungen aus der EU in die USA, gestützt auf das Privacy Shield Abkommen, rechtswidrig.
Als Alternative zum Privacy Shield bietet sich der Rückgriff auf die nach wie vor gültigen EU-Standardvertragsklauseln an. Ihre Verwendung bei Datenübermittlungen in die USA kann bewirken, dass ein angemessenes Datenschutzniveau besteht. Allerdings besteht eine Prüfpflicht auf Seiten des Verantwortlichen (Datenexporteur) sowie des Datenimporteurs. Diese Prüfpflicht bezieht sich darauf, ob die Standardvertragsklauseln für die Übermittlung bereits hinreichende Garantien bieten oder ob zusätzliche Garantien geschaffen bzw. individuell vereinbart werden müssen. Dies erfordert in der Praxis eine Neubewertung bereits im Einsatz befindlicher internationaler Datenflüsse durch eine Bestandsaufnahme und Untersuchung der Umstände der einzelnen Datenübermittlungen. Dabei ist insbesondere auf den Schutzbedarf der jeweils durch den Datenimporteur zu verarbeitenden Daten abzustellen. Es kann dann geprüft werden, inwieweit die übermittelten Daten überhaupt dem landesspezifischen Risiko bspw. eines Zugriffs durch Sicherheitsbehörden ohne adäquate Rechtsschutzmöglichkeit ausgesetzt sind.
Bei Beschwerden im Hinblick auf die Übermittlung von personenbezogenen Daten in die USA auf der Basis der EU-Standardvertragsklausel kann die jeweilige Aufsichtsbehörde nämlich jederzeit überprüfen, ob diese Vorgaben eingehalten werden. Kommt eine Aufsichtsbehörde zu dem Ergebnis, dass die Vorgaben der Standardvertragsklausel im Zielland des Datenexports, also etwa auch in die USA, nicht eingehalten werden oder das sie wegen dessen Rechtsordnung gar nicht eingehalten werden können, ist die Aufsichtsbehörde verpflichtet, die Übermittlung der personenbezogenen Daten in dieses Zielland auszusetzen oder Unternehmen die Übermittlung gar zu verbieten.
Es empfiehlt sich daher für Unternehmen noch zusätzliche Maßnahmen zu ergreifen, die dann zusammen mit den Standardvertragsklausel im Ergebnis ein angemessenes Schutzniveau für die Datenübertragung gewährleisten können. Solche Maßnahmen können z.B. die Anonymisierung von personenbezogenen Daten oder die Pseudonymisierung (z.B: Einsatz eines Pseudonymisierungs-Gateways oder Beauftragung eines Daten-Treuhänders) oder Neu-Analyse der in das Drittland übermittelten personenbezogenen Daten hinsichtlich ihrer Art des Umfangs, des Zwecks, des Kontextes der Verarbeitung sowie der vorgesehenen Empfänger.
Angesichts der unklaren rechtlichen Situation muss man feststellen, dass es im Moment keinen absolut sicheren Weg gibt, um ein datenschutzkonformes Niveau bei der Übermittlung von personenbezogenen Daten in die USA zu gewährleisten. Dies gilt umso mehr als sich selbst die Datenschutzaufsichtsbehörde selbst in ihrer Bewertung uneins sind. Die aktuellen Gespräche zwischen der EU und USA darüber, wie der transatlantische Datenfluss künftig geregelt werden kann, gestalten sich wegen der sehr unterschiedlichen Datenschutzniveaus als schwierig. Da die wenigsten Unternehmen die Datenübermittlungen in die USA einfach einstellen können erscheint es im Moment einstweilen als vertretbar, mithilfe der vorhandenen Standardvertragsklauseln und zusätzlichen Maßnahmen als in der Zwischenzeit geringeren Übel zu arbeiten.
