EuGH kippt Privacy Shield – Zukunft des Datentransfers in die USA unklar

Mit Urteil vom 16. Juli 2020 (C-311/18) hat der EuGH den Privacy Shield-Beschluss der EU-Kommission für ungültig erklärt. Dieser Beschluss betrifft das gleichnamige Abkommen über den Transfer personenbezogener Daten in die USA, das die Kommission nach dem Scheitern des Safe Harbor-Abkommens vor rund vier Jahren geschlossen hatte. Auslöser waren in beiden Fällen Beschwerden des österreichischen Datenschützers Max Schrems gegen die Übermittlung von Daten durch Facebook Ireland an Facebook-Server in den USA. Die ebenfalls zur Überprüfung gestellten Standardvertragsklauseln hält der EuGH dagegen grundsätzlich für zulässig.

Der Datentransfer in Drittländer setzt eine Rechtsgrundlage voraus. Das sind in der Praxis vor allem Angemessenheitsbeschlüsse gem. Art. 45 DS-GVO, mit denen die Kommission einem Drittland ein angemessenes Datenschutzniveau bescheinigt, und geeignete Garantien gem. Art. 46 DS-GVO, insbesondere Standardvertragsklauseln.

Im Rahmen des Privacy Shield-Abkommens hatten die USA Zusicherungen zum Schutz personenbezogener Daten abgegeben, die die Kommission in einem Angemessenheitsbeschluss für ausreichend erklärte. In der Folge konnten Daten an US-Unternehmen übermittelt werden, die sich zur Einhaltung der Privacy Shield-Regeln verpflichtet hatten. Der EuGH hält die Schutzmaßnahmen unter dem Privacy Shield für unzureichend. Dabei stellt das Gericht insbesondere auf die – je nach Empfänger – weitreichenden Zugriffsmöglichkeiten von US-Behörden auf die in den USA gespeicherten Daten und das Fehlen gleichwertiger Rechtsbehelfe ab. Eine Datenübermittlung auf Basis des Privacy Shield ist damit unzulässig.

Die von der Kommission genehmigten Standardvertragsklauseln hält der EuGH zwar grundsätzlich für geeignete Garantien. Das Gericht stellt aber gleichzeitig klar, dass die Vereinbarung von Standardvertragsklauseln allein nicht genügt. Es muss in jedem Einzelfall geprüft werden, ob im Empfängerstaat tatsächlich ein gleichwertiges Schutzniveau gewährleistet ist. Diese Pflicht trifft in erster Linie den Verantwortlichen, der Daten in ein Drittland übermitteln möchte. Gegebenenfalls müssen zusätzliche Garantien vereinbart werden.

Datentransfers auf Basis von Standardvertragsklauseln – insbesondere in die USA – sind damit nicht pauschal untersagt, müssen aber einer kritischen Prüfung unterzogen werden. Die Aufsichtsbehörden in Deutschland haben eine Abstimmung angekündigt, um eine einheitliche Rechtsanwendung sicherzustellen. Mit den Ergebnissen ist in den nächsten Monaten zu rechnen. Unternehmen sollten aber bereits jetzt schon die von der Entscheidung betroffenen Datenströme und Transfermechanismen identifizieren, überprüfen und ggf. anzupassen.