16.07.2020 | IT-Recht und Datenschutz
Hintergrund:
Die EU-Datenschutzgrundverordnung (DSGVO) schreibt ein gewisses Datenschutzniveau sowie bestimmte Rechte der Betroffenen vor. Unternehmen in der Europäischen Union sind an diese Vorgaben unmittelbar gebunden, soweit sie personenbezogene Daten (zum Beispiel Namen, Adressen, Gesundheitsdaten, etc.) verarbeiten. Nicht selten lassen Unternehmen aber die Daten von anderen Unternehmen verarbeiten, die wiederum ihren Sitz nicht in der Europäischen Union haben. Hauptanwendungsfall sind hier IT-Unternehmen in den USA. Da die USA als Drittstaat außerhalb der USA nicht in den Anwendungsbereich der DSGVO fallen, müssen Rechte und Pflichten gemäß der DSGVO gesondert gewährleistet werden.
Eine Möglichkeit, den DSGVO-Vorgaben zu genügen, ist der Abschluss einer Vereinbarung auf Basis der sog. Standardvertragsklauseln: Diese sehen u.a. Garantien der Datenverarbeiter vor und stellen den betroffenen Nutzern wirksam durchsetzbare Rechte zur Seite.
Zudem hatte die EU-Kommission per Beschluss (Beschluss 2016/1250 vom 12.07.2016) das sog. EU-US-Privacy Shield Abkommen als für ausreichend erklärt. In diesem Abkommen hatte die US-Regierung bestimmte Zusicherungen gemacht, woraufhin die EU-Kommission einen sog. Angemessenheitsbeschluss erlassen hat. Zusammengefasst galten demnach Unternehmen, die sich an die Vorgaben des EU-US-Privacy Shield halten, bislang als DSGVO-konform. Da sich etliche Unternehmen in den USA diesem Abkommen unterworfen haben, verweist eine Vielzahl von Vereinbarungen zwischen Unternehmen aus der EU und US-Unternehmen über die konkrete Übermittlung bzw. Verarbeitung von Daten auf eben das EU-US-Privacy Shield.
Aktuelle Entscheidung:
Mit dem heutigen Urteil hat der EuGH den Beschluss der EU-Kommission und damit die Anwendung des EU-US-Privacy Shields für ungültig erklärt. Praktische Folge ist: Sämtliche Übermittlungen, die auf Basis des EU-US-Privacy Shields erfolgen, sind datenschutzrechtlich unzulässig.
Folgen für die Praxis:
Auf eine Vereinbarung auf Basis des EU-US-Privacy Shields kann eine Übermittlung von Daten nicht mehr rechtswirksam gestützt werden. Wenn Unternehmen nicht gänzlich auf die rechtlich zulässige Zusammenarbeit mit US-Diensten verzichten möchten bleiben Unternehmen dem Grunde nach zwei Möglichkeiten:
Eine Datenverarbeitung (auch in den USA) ist stets zulässig, wenn der Betroffene eine wirksame Einwilligung erteilt hat. Wenngleich dies auf den ersten Blick als einfache Lösung erscheint, erweist sich die Einwilligung in der Praxis mitunter als knifflig: Zum einen muss die Einwilligung freiwillig und vom Betroffenen in Kenntnis der Tragweite seiner Entscheidung abgegeben werden. Mit anderen Worten: Dem Betroffenen muss klar sein, was mit seinen Daten passiert. Im Fall einer Übermittlung in die USA muss also ggf. darüber aufgeklärt werden, dass US-Behörden sehr weit reichende Befugnisse zum Umgang mit personenbezogenen Daten haben und dem Nutzer – darauf verweist der EuGH im heutigen Urteil – allenfalls sehr eingeschränkte Rechtschutzmöglichkeiten gegen die behördlichen Maßnahmen zustehen. Abgesehen davon ist die Einwilligung des Betroffenen auch widerruflich. Wenn der Nutzer seine Einwilligung widerruft, darf die Übermittlung nicht mehr darauf gestützt werden und wäre möglicherweise unzulässig. Rein praktisch wird es daher – wenn überhaupt – nur sehr wenige Datenübermittlungen allein basierend auf einer ausreichenden Einwilligung geben.
Die praktisch deutlich relevantere Option ist daher die Vereinbarung der Standardvertragsklauseln. Diese sind auch nach der aktuellen Entscheidung des EuGH derzeit rechtskonform einsetzbar (Rs. C‑311/18). Wenn Unternehmen Daten in die USA übermitteln und sich bislang auf das EU-US-Privacy Shield berufen haben, ist ihnen daher anzuraten, eine Umstellung auf die Standardvertragsklauseln zu prüfen.