EuGH erschwert Datentransfers zwischen der EU und den USA

Privacy Shield gekippt _ Wer in Europa personenbezogene Daten verarbeitet, muss die strengen Vorgaben der Datenschutzgrundverordnung (DSGVO) beachten. Eine Weitergabe von Daten in Länder außerhalb der EU bedarf zusätzlicher Schutzmaßnahmen.

Die Anforderungen an diese Maßnahmen hat der Europäische Gerichtshof (EuGH) nun noch erheblich erhöht: In dem Verfahren Schrems II (Az.: C-311/18) erklärte der EuGH am 16.7.20 den Angemessenheitsbeschluss für das Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig. Die Folge: Datentransfers in die USA, die allein auf das EU-US Privacy Shield gestützt werden, sind ab sofort unzulässig.

Mit einem Angemessenheitsbeschluss hatte die EU-Kommission 2016 Unternehmen in den USA, die sich nach dem Privacy Shield zertifiziert hatten, datenschutzrechtlich als sicher eingestuft. Dieser Angemessenheitsbeschluss ist nun für unwirksam erklärt worden. „Der EuGH begründet dies damit, dass es in den USA staatliche Zugriffsrechte auf Daten gibt, die nicht dem Verhältnismäßigkeitsgrundsatz nach europäischen Standards entsprechen“, erläutert Nikolaus Bertermann, Partner bei SKW Schwarz Rechtsanwälte.

Unternehmen müssen Vertragswerke nun prüfen

Der Jurist und Datenschutzaktivist Max Schrems war mit seiner Klage vor dem EuGH nicht nur gegen das Privacy Shield vorgegangen. Vielmehr hatte er auch die weit verbreiteten EU-Standardvertragsklauseln angegriffen, die Unternehmen zur Rechtfertigung des Datenaustauschs mit den USA einsetzen. „Die Standardvertragsklauseln hat der EuGH zwar nicht generell für ungültig erklärt“, so Bertermann weiter. „Er hat allerdings Unternehmen aufgegeben, zusätzlich zu prüfen, ob Verbraucher in dem Drittland tatsächlich angemessen durchsetzbare Rechte haben.“ Lässt sich dies wie in den USA nicht belegen, muss das Unternehmen zusätzliche Schutzmaßnahmen ergreifen.

Die Aufsichtsbehörden können – trotz vereinbarter EU-Standardvertragsklauseln – Datenübermittlungen aussetzen oder verbieten. „Die Entscheidung betrifft alle Unternehmen mit Konzerngesellschaften oder Dienstleistern außerhalb der EU“, betont Anwalt Bertermann. „Haben sie sich bisher allein auf das Privacy Shield berufen, so müssen sie ihren konzerninternen Datenaustausch einstellen oder auf eine neue vertragliche Basis stellen. Auf EU-Standardvertragsklauseln können sie sich nur berufen, wenn sie zusätzliche geeignete Garantien zum Schutz der Daten einführen.“

Die Aufsichtsbehörden haben in ihren ersten Stellungnahmen betont, dass es keine Umsetzungsfristen gibt. Die Entscheidung des EuGH ist sofort umzusetzen. Anbietern, die Daten in den USA verarbeiten, empfiehlt Bertermann daher zu prüfen, ob sich der Personenbezug von Daten durch Anonymisierung oder Verschlüsselung aufheben oder begrenzen lässt. „Website- und App-Betreiber können auch über Cookie-Banner versuchen, eine ausdrückliche Einwilligung in den Drittlandtransfer einzuholen“, so Bertermann. „Allerdings müssen die Nutzer dann deutlich über die dadurch entstehenden Risiken aufgeklärt werden.“