Schrems II – Der Paukenschlag: Der Privacy Shield-Beschluss wird vom EuGH für ungültig erklärt. Standardvertragsklauseln hingegen bleiben, auch wenn der Gerichtshof betont, dass Datenexporteur und Empfänger einer Übermittlung vorab stets prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland tatsächlich eingehalten wird.
Worum geht es?
Drittstaatenübermittlungen nach der DSGVO
Die DSGVO unterscheidet hinsichtlich der Anforderungen an die Rechtmäßigkeit von grenzüberschreitenden Datenübermittlungen zwischen solchen in „sichere Staaten“ und solchen in „unsichere (Dritt-)Staaten“. Als „unsicher“ in diesem Sinne gelten zunächst all diejenigen Staaten, in denen die DSGVO nicht unmittelbar anwendbar ist, wie etwa die USA. Wenn Unternehmen personenbezogene Daten in einen Staat außerhalb des EWR übermitteln wollen, bedarf es deshalb stets einer zweistufigen Prüfung, bei der zu fragen ist:
- ob die Datenverarbeitung (sprich Übermittlung) grundsätzlich zulässig ist. Hier ergeben sich keine Unterschiede einer Übermittlung an einen Empfänger innerhalb oder außerhalb des EWR; und
- unter welchen Voraussetzungen eine Übermittlung in einen Drittstaat gerechtfertigt werden kann. Die dabei zu beachtenden Vorgaben ergeben sich aus Kapitel V, Artt. 44ff. DSGVO.
Eine Übermittlung in einen Drittstaat kann dabei nur dann gerechtfertigt sein, wenn nachweislich sichergestellt wird, dass die Verarbeitung personenbezogener Daten den von der DSGVO aufgestellten Standards entspricht. Wie dieser – grundsätzlich vom Verantwortlichen geschuldete – Nachweis aussehen kann ist in den Artt. 45 ff DSGVO geregelt. Für Übermittlungen in die USA zählte die Privacy-Shield-Zertifizierung von US-Unternehmen zu dem wichtigsten Instrument.
Was sagt der EuGH?
Der EuGH hat sowohl das Privacy-Shield als auch die Standardvertragsklauseln überprüft. Die Feststellungen zum Privacy Shield sind dabei vernichtend. Der EuGH attestiert der Kommission, dass trotz langwieriger Verhandlung mit den USA nach der Safe-Harbour Entscheidung (Schrems I), ein ausreichendes Datenschutzniveau durch das Abkommen nicht gewährleistet wird. Insbesondere bietet das Abkommen keine ausreichende Rechtsschutzmöglichkeit für betroffene Personen. Betroffene Personen können ihre durch die EU-Grundrechtecharte garantierten Rechte auf Achtung des Privatlebens nicht ausreichend durchsetzen, denn der in dem Abkommen implementierte Ombudsperson-Mechanismus bietet keinen zu einem rechtsstaatlichen Verfahren äquivalenten Schutz (Rn. 168, 187). Gegen das flächendeckende Überwachungsprogramm der USA haben betroffene Personen keinen Rechtsschutz. Eingriffe gestützt auf die FISA und E.O. 12333 unterliegen gerade keinen Anforderungen, „mit denen unter Wahrung des Grundsatzes der Verhältnismäßigkeit ein Schutzniveau gewährleistet werde[n]“ kann. Das Privacy-Shield wird daher für nichtig erklärt.
Die Standardvertragsklauseln halten der rechtlichen Überprüfung durch den EuGH dagegen stand. Das gilt jedoch mit der Einschränkung, dass der Datenimporteur auch tatsächlich in der Lage ist, die vertragliche Vereinbarung zu erfüllen. Die reine Vereinbarung von Standardvertragsklauseln bei einer Übermittlung von Daten in ein Drittland ist damit nicht ausreichend. Vielmehr kommt es auf die effektive Umsetzung von geeigneten Mechanismen zum Schutz von personenbezogenen Daten an. Technisch und organisatorische Maßnahmen bekommen damit bei der Beurteilung der Gewährleistung eines Schutzniveaus eine herausragende Bedeutung.
Handlungsempfehlungen und To Do’s
Ergebnis des Urteils ist, dass das Privacy-Shield ungültig ist (Rn. 201). Eine Datenübermittlung in die USA kann somit nicht mehr auf eine Privacy-Shield Zertifizierung gestützt werden. Dies bezüglich besteht keine Umsetzungsfrist. Verantwortliche müssen somit jetzt ihre Datenübermittlungen prüfen und anpassen.
Weiterhin möglich bleibt es eine Übermittlung auf Standardvertragsklauseln zu stützen. In diesem Fall muss der Verantwortliche (Daten Exporteur) aber zuvor prüfen, ob die in den Klauseln garantierten Sicherheiten durch den Daten Importeur tatsächlich erfüllt werden können. Der bloße Abschluss ist nicht ausreichend. Insbesondere müssen in den Klauseln Mechanismen festgehalten werden, die das Schutzniveau garantieren. Dazu gehören insbesondere technisch und organisatorische Maßnahmen, wie effiziente Verschlüsselungsmechanismen. Können diese Mechanismen gegenüber dem Daten Importeur nicht vereinbart werden, kann die Übermittlung nicht auf die Standardvertragsklauseln gestützt werden. Insbesondere können auch Aufsichtsbehörden die Einhaltung der Klauseln überprüfen und ein Stopp der Übermittlung veranlassen.
Auch Binding Corporate Rules nach Art. 47 DSGVO können ein angemessenes Schutzniveau nachweisen und Unternehmen eine Grundlage für die Übermittlung bieten. Mehrere Dienstanbieter haben bereits oder planen Binding Corporate Rules einzubeziehen. Diese müssen durch die Aufsichtsbehörden verifiziert werden. Jedoch müssen auch Binding Corporate Rules ein mit der DSGVO vergleichbares Schutzniveau gewährleisten. Die Prüfungsmaßstäbe sind hier mit denen, die an die Wirksamkeit von Standardvertragsklausel anzulegen sind, vergleichbar. Ein Prüfverfahren kann zudem langwierig sein.
Der EuGH selbst behauptet schließlich, dass durch die Nichtigkeit des Privacy-Shield kein rechtliches Vakuum entstehe. Vielmehr sollten Übermittlungen nun auf Art. 49 DSGVO gestützt werden. Danach ist eine Übermittlung in ein Drittland bezüglich dessen es kein Angemessenheitsbeschluss gibt zulässig, soweit die Übermittlung auf der ausdrücklichen Einwilligung beruht oder die anderen Tatbestände des Art. 49 DSGVO greifen. Im Rahmen von Consent-Management-Tools kann diese Einwilligung mit abgefragt werden. Soweit ein Betroffener nicht einwilligt, darf dann aber keine Datenübermittlung erfolgen. Die Einwilligung mag tatsächlich eine Lösung bieten, soweit Marketing-Tools genutzt werden. Für andere Verarbeitungen oder Cloudbasierte Lösungen wird es schwierig werden, eine rechtssichere Einwilligung einzuholen.
Fazit
Vielfach wird die jetzige Situation mit der Situation nach der Safe-Harbour-Entscheidung verglichen. Auch damals wurde der Hauptmechanismus für eine Datenübermittlung in die USA für nichtig erklärt. Viele Unternehmen wollten damals die Entscheidung zum Anlass nehmen, Daten zukünftig hauptsächlich in der EU zu speichern und zu verarbeiten. Nur einige hatten diesen Vorsatz seinerzeit umgesetzt, die von der damaligen EuGH-Entscheidung nicht thematisierten Standardvertragsklauseln und nicht zuletzt der vergleichsweise zügige Abschluss des Privacy-Shield-Abkommens boten willkommene Alternativen.
Mit Schrems II hat der EuGH nunmehr explizit in Erinnerung gerufen, was bereits seit Jahren in den Entscheidungen zu den Standardvetragsklauseln der EU-Kommission geschrieben steht: Allein mit dem Abschluss der Klauseln ist es nicht getan. Entscheidend für die Zulässigkeit eines Datentransfers auf der Grundlage von Standardvertragsklauseln ist vielmehr, dass die Inhalte der Vereinbarung auch gelebt werden (können). Unternehmen sollten das Schrems II-Urteil nun (noch einmal) zum Anlass nehmen Datenübermittlung in Drittstaaten auf ihre Notwendigkeit hin kritisch zu überprüfen. Ein schneller und alleiniger Rückgriff auf Standardvertragsklauseln ist nun kaum noch möglich. Vielmehr muss im Einzelfall geprüft werden, ob der Datenimporteur die vertraglich vereinbarten Sicherheiten auch tatsächlich gewährleisten kann, oder ob weitere (kumulative) Schutzmechanismen wie z.B. Binding Corporate Rules eine Drittstaatenübermittlung rechtfertigen können.