In der Datenschutz-Fachwelt schlug diese Nachricht ein wie eine Bombe, obwohl die Experten damit bereits gerechnet hatten. In seinem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) den EU-US-Privacy-Shield für unwirksam erklärt. Die Folgen des Urteils zeichnen sich mittlerweile ab und kaum jemand scheint auf diese vorbereitet zu sein.
Am 12. Juli 2016 trat der sogenannte EU-US-Privacy-Shield in Kraft. Dabei handelt es sich um eine informelle Vereinbarung zwischen den USA und der EU, um in den USA ein Datenschutzniveau nach DSGVO-Standard zu schaffen. US-Unternehmen konnten sich freiwillig dem Privacy-Shield unterwerfen, um einen Datenimport aus der EU zu legitimieren, indem Sie gewährleisteten, dass personenbezogene Daten nur im Sinne der DSGVO verarbeitet werden.
Der Vorgänger des Privacy-Shield, das Safe-Harbour-Abkommen, wurde 2015 vom EuGH für ungültig erklärt. Geklagt hat Maximilian Schrems, ein österreichischer Jurist und Datenschutzaktivist. Schrems hatte bereits im Jahr 2013 eine Beschwerde bei der irischen Aufsichtsbehörde eingereicht, mit der Begründung, in den Vereinigten Staaten läge kein angemessenes Datenschutzniveau vor und eine Datenübermittlung von Facebook Ireland an die Server der Facebook Inc. in den USA sei rechtswidrig (Schrems I).
Auch gegen das weitere Instrument der Standardvertragsklauseln, durch die ein Datenimport in die USA legitimiert werden kann, und den 2016 vereinbarten Privacy-Shield, zog Schrems mit seiner Datenschutz-NGO „NOYB" ins Feld und reichte erneut eine Beschwerde bei der irischen Aufsichtsbehörde ein. Die Frage, ob die USA einen ausreichenden Schutz, insbesondere vor dem Zugriff der US-Geheimdienste und sonstiger Stellen, der dorthin übermittelten Daten gewährleisten, wurden letztlich erneut dem EuGH vorgelegt (Schrems II). Der EuGH stellte nun mit Urteil vom 16. Juli 2020 fest, dass die Prüfung über die Stan-dardvertragsklauseln nichts ergeben habe, was deren Gültigkeit berühren könne. Den Privacy-Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig.
Die Entscheidung des EuGH hat unmittelbare Auswirkungen auf die Datenübermittlung in die Vereinigten Staaten, aber auch allgemein in das außereuropäische Ausland. Zum einen wären alle Auftragsverarbeitungsverträge, die durch den EU-US-Privacy-Shield legitimiert sind, unwirksam, zum anderen müssen alle auf Standardvertragsklauseln gestützten Übermittlungen auf das jeweilige Datenschutzniveau im Empfängerland geprüft werden. Einigkeit und ein einheitliches Verständnis des Urteils ist bei den Datenschutzbehörden bisher noch nicht eingetreten.
Während einige den Datenverkehr in die USA wohl einstellen möchten, sehen andere noch die Möglichkeit der Standardvertragsklauseln und streben eine einheitliche Lösung mit anderen Aufsichtsbehörden an. Im wohl strengsten Fall, wie ihn die Berliner Datenschutzbeauftragte fordert, sollen die Verantwortlichen, die personenbezogene Daten in die USA übermitteln, umgehend auf Dienstleister in der EU oder in einem anderen Land mit angemessenen Datenschutzniveau wechseln. Bereits übermittelte Daten müssten „zurück geholt" werden. Dies würde beispielsweise auch Daten in der Cloud betreffen oder die Nutzung anderer großer US-Unternehmen, wie Google oder Microsoft.
Obwohl Datenschützer schon seit Jahren vor zu großem Vertrauen auf den Privacy-Shield warnten, ist kaum jemand auf die erheblichen Folgen des Urteils vorbereitet.
Besonders hart trifft es vor allem Unternehmen, die regelmäßig personenbezogene Daten aufgrund der Legitimation des Privacy-Shield in die USA übermitteln, z. B. im Rahmen des Online-Marketings. Denn fast alle großen Anbieter, die hier genutzt werden können – allen voran sind hier die Dienste von Google zu nennen – haben Ihren Firmensitz eben in den Vereinigten Staaten. Und letztlich dürften diese Dienste nun nicht wie bisher weiter genutzt werden.
Denn bisher haben sich die Datenübertragungen entweder direkt auf den Privacy-Shield als Angemessenheitsbeschluss, auf die Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO oder auf das sogenannte berechtigte Interesse nach Art. 6 Abs. 1 lit. h) DSGVO gestützt. Letztere Beiden setzten voraus, dass die Verantwortliche Stelle, also der Webseitenbetreiber, einen Vertrag über die Auftragsverarbeitung oder einen Vertrag auf Grundlage der Standardvertragsklauseln mit den Anbietern geschlossen hatte.
Und da den USA ein nicht mit der EU vergleichbares Datenschutzniveau durch den EuGH attestiert wird – immerhin haben die Geheimdienste eine gesetzliche Legitimation und die Möglichkeit Zugriff auf die übertragenen Daten zu nehmen – fallen auch diese Optionen nun aus.
Allerdings sieht die DSGVO in Art. 49 für den Fall, dass weder ein Angemessenheitsbeschluss der EU-Kommission noch geeignete Garantien für die Übermittlung bestehen, die Möglichkeit vor, dass die betroffenen Personen auch ausdrücklich in die Datenübermittlung einwilligen können (vgl. Art. 49 Abs. 1 lit. a DSGVO). Die Anforderungen an diese Art der Einwilligung sind allerdings sehr hoch. So muss der Be-troffene zumindest über die folgenden Punkte informiert werden:
- Konkreter Zweck der Datenübermittlung
- Die genauen Kategorien der übermittelten Daten
- Kategorien der Empfänger nebst genauem Zielort
- Fehlendes Schutzniveau und fehlende Garantien
Erste Beispiele aus der Praxis zeigen, dass das eingesetzte Consent-Management-Tool dahingehend umzugestalten und auch die Datenschutzerklärung grundlegend anzupassen ist.
Fraglich ist indes, wie lange die Aufsichtsbehörden die Datenübermittlung auf Grundlage von Art. 49 DSGVO tolerieren werden. Wünschenswert wäre es zumindest, bis die Bundesregierung das angekündigte Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) verabschiedet hat. Dieses soll erstmals die Regelungen aus der 2009 überarbeiteten EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation im Lichte der DSGVO in nationales Recht umsetzen und die Vorschriften aus DSGVO, Telekommunikations- und Telemediengesetz vereinheitlichen. Mit der Verabschiedung des TTDSG darf noch vor Ende der Legislaturperiode gerechnet werden, sofern sich die Koalitionäre auf gemeinsame Standpunkte einigen können. Zu begrüßen wäre daher, dass die Aufsichtsbehörden die Datenübermittlung in unsichere Drittländer auf Grundlage von Art. 49 DSGVO bis dahin dulden, ansonsten würde dies tatsächlich den Todesstoß für das Online-Marketing in der EU bedeuten und die Wettbewerbsfähigkeit vieler Unternehmen massiv einschränken.
Lesen Sie mehr zu unseren Leistungen im Bereich Datenschutz. Wir unterstützen Sie bei der Umsetzung der neuen Vorgaben. Jetzt mehr erfahren!