Der EU-US-Privacy Shield ist tot, die EU Standardvertragsklauseln wanken: Neue Spielregeln für Drittstaatentransfers
Heute hat der EuGH das das Regelwerk für die Datenübermittlung in Drittstaaten außerhalb der EU bzw. des EWR in Frage gestellt. Insbesondere Datentransfers in die USA werden erheblich erschwert. Der EuGH hat nicht nur den EU-US-Privacy Shield für wirkungslos erklärt, sondern auch die Anforderungen an den Einsatz von EU-Standardvertragsklauseln wesentlich geschärft. Die Auswirkungen für die Praxis sind enorm, da damit die beiden wichtigsten Regelwerke für Datenübermittelungen in Drittstaaten betroffen sind.
Der EU-US Privacy Shield ist tot!
Nach dem EuGH garantiert der EU-US-Datenschutzschild („Privacy Shield“) kein der DSGVO gleichwertiges Datenschutzniveau. Dem EuGH fehlt insbesondere
- eine wirksame Begrenzung der von US-Behörden durchgeführten Überwachungsprogramme und
- ein effektiver Rechtsweg für Nicht-US-Bürger.
Praktisch bedeutet dies: Das Privacy Shield ist als Grundlage für den Transfer von Daten in die USA „tot“. Allein auf das Privacy Shield gestützte Datenübermittlungen müssen umgehend eingestellt werden.
EU-Standardvertragsklauseln: Wirksamkeit bestätigt, aber verschärfte Anforderung an Anwendung
Als pragmatische, kurzfristig umsetzbare Alternative kommt ein Rückgriff auf EU-Standardvertragsklauseln in Betracht. Als vertragliche Vereinbarung zwischen europäischem Datenexporteuer und Empfänger im Drittland können Standardvertragsklauseln grundsätzlich schnell und unbürokratisch abgeschlossen werden können. Ihr Einsatz bedarf – anders als die Genehmigung von sog. Binding Corporate Rules (die aber dennoch für die Zukunft ein Königsweg sind, dazu sogleich) oder Einzelgenehmigungen – nicht der Mitwirkung staatlicher Stellen. Zugleich sind sie in ihrer Reichweite nicht so beschränkt wie die Ausnahmen nach Art. 49 DSGVO (Einwilligung etc.).
Positiv ist daher, dass der EuGH die Wirksamkeit der EU-Standardvertragsklauseln grundsätzlich bestätigt hat. Diese seien grundsätzlich geeignet, ein mit der DSGVO gleichwertiges Schutzniveau sicherzustellen.
Allerdings betont der EuGH in der Entscheidung, dass nur der Abschluss von EU-Standardvertragsklauseln noch nicht ausreiche, um eine wirksame Rechtsgrundlage für den Datentransfer zu schaffen. Vielmehr müsse unter Berücksichtigung der Rechtsordnung des Drittlandes sichergestellt sein, dass in der Praxis tatsächlich ein gleichwertiges Schutzniveau eingehalten werde. Sei das nicht möglich, müsse die Übermittlung der Daten unterbleiben und von Datenschutzbehörden untersagt werden.
In der Praxis bedeutet dies:
- Nur die Unterschrift unter EU-Standardvertragsklauseln zu setzen genügt jedenfalls jetzt nicht (mehr).
- Datenexporteuer und Empfänger im Drittland müssen vor und laufend während der Datenübermittlung prüfen, ob der Empfänger die EU-Standardvertragsklauseln nach der Rechtsordnung des Drittlandes überhaupt einhalten kann und tatsächlich einhält.
- Ist das nicht der Fall, muss die Datenübermittlung unterbleiben bzw. ausgesetzt werden.
Müssen die Aufsichtsbehörden auch Datentransfers in die USA auf Grund von Standardvertragsklauseln verbieten?
Flankierend nimmt der EuGH die Datenschutzaufsichtsbehörden verstärkt in die Pflicht. Wenn diese der Auffassung sind, dass die EU-Standarddatenschutzklausel in einem Drittland nicht eingehalten werden oder nicht eingehalten werden können, müssen sie Transfers in dieses Drittland grundsätzlich aussetzen oder verbieten.
Angesichts der Ausführungen zum Privacy Shield wird eine solche Intervention der Aufsichtsbehörden mit Blick auf Datentransfers in die USA sicherlich nicht lange auf sich warten lassen. Insofern bleibt abzuwarten, ob die Behörden „mit Augenmaß“ vorgehen oder alle Datentransfers in die USA untersagen. Immerhin spricht gegen ein solches Pauschalverbot:
- Anders als beim Privacy Shield hielt der EuGH das Rechtsschutzkonzept der EU-Standardvertragsklauseln grundsätzlich für ausreichend.
- Der Maßstab ist ein anderer. Während für Privacy Shield das Datenschutzniveau insgesamt und für alle Teilnehmer dem der DSGVO gleichwertig sein musste, müssen die Parteien der Standardvertragsklauseln nur ihre Datenverarbeitung prüfen.
- Die meisten Empfänger von Daten auf Grundlage von EU-Standardvertragsklauseln werden nicht stets Gegenstand der Überwachungsprogramme sein, deren fehlende Beschränkung der EuGH bei Privacy Shield bemängelt hat.
- Zudem können die Parteien auf konkrete Aktivitäten der US-Behörden mit einer Aussetzung der Übermittlung reagieren und ggf. auch zusätzliche vertragliche Mechanismen vorsehen.
Es bleibt jedoch spannend – und keineswegs ausgeschlossen, dass US-Transfers auf Grund von EU-Standardvertragsklauseln von den Aufsichtsbehörden pauschal untersagt werden. In jedem Fall ist wahrscheinlich, dass die Aufsichtsbehörden sukzessive die Auswirkungen der nationalen Rechtsordnungen von Drittstaaten auf die Einhaltung der EU-Standardvertragsklauseln untersuchen werden. Wenn auch ggf. Transfers in die USA möglich bleiben, ist ein Verbot jedenfalls bei weniger rechtsstaatlichen Drittstaaten wahrscheinlich.
Abzuwarten bleibt, ob einzelne Aufsichtsbehörden vorpreschen. Im worst case droht bis zum Durchlaufen des Kohärenzverfahrens eine Zersplitterung der Aufsichtspraxis.
Vorerst sichere Alternative: Binding Corporate Rules
Gewinner der Entscheidung des EuGH sind aufgrund der bestehenden Unsicherheiten beim Einsatz von Standardvertragsklauseln solche Unternehmen, die bereits über Binding Corporate Rules („BCR“) gem. Art. 47 DSGVO verfügen (z.B. Cisco, Oracle, DocuSign, SalesForce, Workday). Diese werden vom EuGH nicht thematisiert und können daher zunächst weiter als geeignete Garantien für einen sicheren Drittstaatentransfer angesehen werden.
Entsprechend dürfte nun auch von anderen internationalen Unternehmen ein „Run“ auf Binding Corporate Rules beginnen, der die behördlichen Kapazitäten an ihre Grenzen bringen wird. Möchte man in diese Richtung gehen – wofür angesichts der Unsicherheiten auch bei den EU-Standardvertragsklauseln sicherlich vieles spricht – sollte man also bald agieren, um eine zeitnahe Behandlung des Antrages sicherzustellen.
Die in der Praxis insbesondere in größeren Unternehmen verbreitete Alternative, konzerninterne Drittstaatentransfers – häufig im Rahmen eines umfassenden Data Transfer Framework Agreement o.Ä. – auf Standardvertragsklauseln zu stützen, bleibt zunächst ein ebenfalls gangbarer Weg. Allerdings kann sich dies bei einer Änderung der Aufsichtspraxis (s.o.) sehr schnell ändern. Dies spricht dafür, derartige Vereinbarungen, die häufig ohnehin inhaltlich nahe an BCR sind, möglichst zeitnah zu solchen aufzuwerten.
Ab wann gilt die Entscheidung? Wen betrifft es?
Die Entscheidung des EuGH ist ab sofort zu beachten. Daher sind sämtliche allein auf Privacy Shield gestützten Datenübermittlungen in die USA einzustellen. Bereits transferierte Daten sind – soweit möglich – unverzüglich „zurückzuholen“ oder möglichst zeitnah zu löschen.
Eine Übergangs- oder Schonfrist besteht grundsätzlich nicht. Um auf der sicheren Seite zu sein, sollten deshalb die folgenden Schritte sofort angegangen werden:
1. Bestandsaufnahme: Datentransfers auf Grundlage von Privacy Shield?
Entsprechend ist eine Überprüfung der eingesetzten IT-Dienstleister und sonstigen Empfänger, die Daten in die USA transferieren, erforderlich. Soweit einzig der Privacy Shield als Grundlage für den Transfer in die USA genutzt wird, ist eine Beendigung der Zusammenarbeit erforderlich. Dies betrifft eine Reihe von Anbietern, etwa die Web-Analyse- und Werbeprodukte von Google und bei anderen Anbietern von Webdienstleistungen (vgl. Übersicht unten).
2. Wenn ja: Schnellstmöglich Entscheidung über Vorgehen und Umsetzung
Soweit Transfers auf Grundlage des Privacy Shields erfolgen, muss sehr zeitnah über das weitere Vorgehen entscheiden werden. Wesentliche Lösungsansätze sind:
- Wechsel zu einer lokalisierten Variante des Dienstes (EU-Cloud etc.),
- Abschluss von EU-Standardvertragsklauseln mit Empfänger (sicherlich werden hier viele US-Unternehmen noch nachbessern),
- Beendigung der Zusammenarbeit / Einstellen der Datentransfers und „zurückholen“ der Daten.
Grundsätzlich gilt: Sowohl der Wechsel zu einer lokalisierten Variante des Dienstes wie auch der Abschluss von EU- Standardvertragsklausel legalisiert bereits erfolgte Transfers nicht rückwirkend. Das Risiko dürfte jedoch faktisch begrenzt sein, wenn der Abschluss innerhalb der nächsten Tage erfolgt.
3. Mittelfristig: Beobachtung Status EU-Standardvertragsklauseln / Vorbereitung Fallbackstrategie
Angesichts der auch für EU-Standardvertragsklauseln geltenden Unsicherheit sollte auch insofern die Entwicklung und insbesondere die Praxis der Aufsichtsbehörden genau verfolgt werden. Zudem sollten Vorkehrungen für weitere Verschärfungen der Praxis erfolgen, etwa:
- Wechsel zu / verstärkter Einsatz lokalisierten Diensten (EU-Cloud etc.)
- Einführung von Binding Corporate Rules
4. Status von ausgewählten Produkten / Diensten
Die nachfolgende Übersicht zeigt beispielhaft Dienste von verbreiteten Anbietern und die jeweils eingesetzten rechtlichen Lösungen zum Drittstaatentransfer:
| Dienst / Produkt* | BCR* | EU-Standardvertragsklauseln* | Privacy Shield* |
| Adobe Acrobat | Ja | Ja | |
| Amazon AWS | Ja | ||
| Microsoft Azure | Ja | Ja | |
| Cisco (inkl. Webex) | Ja | Ja | Ja |
| Cloudflare | Ja | Ja | |
| Docusign | Ja | ||
| Episerver | Ja | ||
| Google Analytics | Ja | ||
| Google Cloud | Ja | Ja | |
| Google G Suite | Ja | Ja | |
| Google Werbeprodukte | Ja | ||
| Microsoft Office 365 | Ja | Ja | |
| Salesforce | Ja (Auftrags-verarbeiter) | Ja | Ja |
| Snowflake | Ja | Ja | |
| Zoom | Ja | Ja |
* Ohne Gewähr / teilweise nur für einige Produkte / Dienste.
EuGH, Urteil vom 16. Juli 2020, Rs. Data Protection Commissioner / Maximillian Schrems undFacebook Ireland (C-311/18). Die Pressemitteilung ist hier verfügbar. Der Beitrag enthält Annahmen und Interpretationen. Für seine Inhalt wird keine Gewähr übernommen und er stellt keine rechtliche Beratung dar.
