Heute hat der EuGH das das Regelwerk für die Datenübermittlung in Drittstaaten außerhalb der EU bzw. des EWR in Frage gestellt. Insbesondere Datentransfers in die USA werden erheblich erschwert. Der EuGH hat nicht nur den EU-US-Privacy Shield für wirkungslos erklärt, sondern auch die Anforderungen an den Einsatz von EU-Standardvertragsklauseln wesentlich geschärft. Die Auswirkungen für die Praxis sind enorm, da damit die beiden wichtigsten Regelwerke für Datenübermittelungen in Drittstaaten betroffen sind.
Nach dem EuGH garantiert der EU-US-Datenschutzschild („Privacy Shield“) kein der DSGVO gleichwertiges Datenschutzniveau. Dem EuGH fehlt insbesondere
Praktisch bedeutet dies: Das Privacy Shield ist als Grundlage für den Transfer von Daten in die USA „tot“. Allein auf das Privacy Shield gestützte Datenübermittlungen müssen umgehend eingestellt werden.
Als pragmatische, kurzfristig umsetzbare Alternative kommt ein Rückgriff auf EU-Standardvertragsklauseln in Betracht. Als vertragliche Vereinbarung zwischen europäischem Datenexporteuer und Empfänger im Drittland können Standardvertragsklauseln grundsätzlich schnell und unbürokratisch abgeschlossen werden können. Ihr Einsatz bedarf – anders als die Genehmigung von sog. Binding Corporate Rules (die aber dennoch für die Zukunft ein Königsweg sind, dazu sogleich) oder Einzelgenehmigungen – nicht der Mitwirkung staatlicher Stellen. Zugleich sind sie in ihrer Reichweite nicht so beschränkt wie die Ausnahmen nach Art. 49 DSGVO (Einwilligung etc.).
Positiv ist daher, dass der EuGH die Wirksamkeit der EU-Standardvertragsklauseln grundsätzlich bestätigt hat. Diese seien grundsätzlich geeignet, ein mit der DSGVO gleichwertiges Schutzniveau sicherzustellen.
Allerdings betont der EuGH in der Entscheidung, dass nur der Abschluss von EU-Standardvertragsklauseln noch nicht ausreiche, um eine wirksame Rechtsgrundlage für den Datentransfer zu schaffen. Vielmehr müsse unter Berücksichtigung der Rechtsordnung des Drittlandes sichergestellt sein, dass in der Praxis tatsächlich ein gleichwertiges Schutzniveau eingehalten werde. Sei das nicht möglich, müsse die Übermittlung der Daten unterbleiben und von Datenschutzbehörden untersagt werden.
In der Praxis bedeutet dies:
Flankierend nimmt der EuGH die Datenschutzaufsichtsbehörden verstärkt in die Pflicht. Wenn diese der Auffassung sind, dass die EU-Standarddatenschutzklausel in einem Drittland nicht eingehalten werden oder nicht eingehalten werden können, müssen sie Transfers in dieses Drittland grundsätzlich aussetzen oder verbieten.
Angesichts der Ausführungen zum Privacy Shield wird eine solche Intervention der Aufsichtsbehörden mit Blick auf Datentransfers in die USA sicherlich nicht lange auf sich warten lassen. Insofern bleibt abzuwarten, ob die Behörden „mit Augenmaß“ vorgehen oder alle Datentransfers in die USA untersagen. Immerhin spricht gegen ein solches Pauschalverbot:
Es bleibt jedoch spannend – und keineswegs ausgeschlossen, dass US-Transfers auf Grund von EU-Standardvertragsklauseln von den Aufsichtsbehörden pauschal untersagt werden. In jedem Fall ist wahrscheinlich, dass die Aufsichtsbehörden sukzessive die Auswirkungen der nationalen Rechtsordnungen von Drittstaaten auf die Einhaltung der EU-Standardvertragsklauseln untersuchen werden. Wenn auch ggf. Transfers in die USA möglich bleiben, ist ein Verbot jedenfalls bei weniger rechtsstaatlichen Drittstaaten wahrscheinlich.
Abzuwarten bleibt, ob einzelne Aufsichtsbehörden vorpreschen. Im worst case droht bis zum Durchlaufen des Kohärenzverfahrens eine Zersplitterung der Aufsichtspraxis.
Gewinner der Entscheidung des EuGH sind aufgrund der bestehenden Unsicherheiten beim Einsatz von Standardvertragsklauseln solche Unternehmen, die bereits über Binding Corporate Rules („BCR“) gem. Art. 47 DSGVO verfügen (z.B. Cisco, Oracle, DocuSign, SalesForce, Workday). Diese werden vom EuGH nicht thematisiert und können daher zunächst weiter als geeignete Garantien für einen sicheren Drittstaatentransfer angesehen werden.
Entsprechend dürfte nun auch von anderen internationalen Unternehmen ein „Run“ auf Binding Corporate Rules beginnen, der die behördlichen Kapazitäten an ihre Grenzen bringen wird. Möchte man in diese Richtung gehen – wofür angesichts der Unsicherheiten auch bei den EU-Standardvertragsklauseln sicherlich vieles spricht – sollte man also bald agieren, um eine zeitnahe Behandlung des Antrages sicherzustellen.
Die in der Praxis insbesondere in größeren Unternehmen verbreitete Alternative, konzerninterne Drittstaatentransfers – häufig im Rahmen eines umfassenden Data Transfer Framework Agreement o.Ä. – auf Standardvertragsklauseln zu stützen, bleibt zunächst ein ebenfalls gangbarer Weg. Allerdings kann sich dies bei einer Änderung der Aufsichtspraxis (s.o.) sehr schnell ändern. Dies spricht dafür, derartige Vereinbarungen, die häufig ohnehin inhaltlich nahe an BCR sind, möglichst zeitnah zu solchen aufzuwerten.
Die Entscheidung des EuGH ist ab sofort zu beachten. Daher sind sämtliche allein auf Privacy Shield gestützten Datenübermittlungen in die USA einzustellen. Bereits transferierte Daten sind – soweit möglich – unverzüglich „zurückzuholen“ oder möglichst zeitnah zu löschen.
Eine Übergangs- oder Schonfrist besteht grundsätzlich nicht. Um auf der sicheren Seite zu sein, sollten deshalb die folgenden Schritte sofort angegangen werden:
Entsprechend ist eine Überprüfung der eingesetzten IT-Dienstleister und sonstigen Empfänger, die Daten in die USA transferieren, erforderlich. Soweit einzig der Privacy Shield als Grundlage für den Transfer in die USA genutzt wird, ist eine Beendigung der Zusammenarbeit erforderlich. Dies betrifft eine Reihe von Anbietern, etwa die Web-Analyse- und Werbeprodukte von Google und bei anderen Anbietern von Webdienstleistungen (vgl. Übersicht unten).
Soweit Transfers auf Grundlage des Privacy Shields erfolgen, muss sehr zeitnah über das weitere Vorgehen entscheiden werden. Wesentliche Lösungsansätze sind:
Grundsätzlich gilt: Sowohl der Wechsel zu einer lokalisierten Variante des Dienstes wie auch der Abschluss von EU- Standardvertragsklausel legalisiert bereits erfolgte Transfers nicht rückwirkend. Das Risiko dürfte jedoch faktisch begrenzt sein, wenn der Abschluss innerhalb der nächsten Tage erfolgt.
Angesichts der auch für EU-Standardvertragsklauseln geltenden Unsicherheit sollte auch insofern die Entwicklung und insbesondere die Praxis der Aufsichtsbehörden genau verfolgt werden. Zudem sollten Vorkehrungen für weitere Verschärfungen der Praxis erfolgen, etwa:
Die nachfolgende Übersicht zeigt beispielhaft Dienste von verbreiteten Anbietern und die jeweils eingesetzten rechtlichen Lösungen zum Drittstaatentransfer:
Dienst / Produkt* | BCR* | EU-Standardvertragsklauseln* | Privacy Shield* |
Adobe Acrobat | Ja | Ja | |
Amazon AWS | Ja | ||
Microsoft Azure | Ja | Ja | |
Cisco (inkl. Webex) | Ja | Ja | Ja |
Cloudflare | Ja | Ja | |
Docusign | Ja | ||
Episerver | Ja | ||
Google Analytics | Ja | ||
Google Cloud | Ja | Ja | |
Google G Suite | Ja | Ja | |
Google Werbeprodukte | Ja | ||
Microsoft Office 365 | Ja | Ja | |
Salesforce | Ja (Auftrags-verarbeiter) | Ja | Ja |
Snowflake | Ja | Ja | |
Zoom | Ja | Ja |
* Ohne Gewähr / teilweise nur für einige Produkte / Dienste.
EuGH, Urteil vom 16. Juli 2020, Rs. Data Protection Commissioner / Maximillian Schrems undFacebook Ireland (C-311/18). Die Pressemitteilung ist hier verfügbar. Der Beitrag enthält Annahmen und Interpretationen. Für seine Inhalt wird keine Gewähr übernommen und er stellt keine rechtliche Beratung dar.