Privacy Shield gekippt I: Welche Auswirkungen hat das EuGH-Urteil? Einfacher wird’s nicht

Privacy Shield gekippt I

In einem Verfahren zwischen der irischen Datenschutzaufsichts-behörde, dem Juristen Max Schrems und Facebook sprach der EuGH dieser Tage ein Urteil, das erhebliche Auswirkungen auf den Datentransfer in die USA und andere Drittländer haben wird (s. dazu auch Teil II).

Kurz gesagt, der EuGH kippt das bereits seit langem umstrittene EU-US Privacy Shield, trifft Aussagen zu den sogenannten Standarddatenschutzklauseln und stellt klar, welche Verpflichtungen auch die Aufsichtsbehörden treffen. Hierbei handelt(e) es sich Vereinbarung zwischen EU und den USA, die eine Basis für ein halbwegs gesichertes Niveau bei Transfer von personenbezogenen Daten aus der EU in die USA gewährleisten sollte.

Der EuGH hat in wenigen Sätzen wird die Unwirksamkeit des Beschlusses zum EU-US Privacy Shield festgestellt:

„Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.“

Als Folge sind die Datenschutzaufsichtsbehörden dazu angehalten, von ihren Befugnissen des Art. 58 Abs. 2 lit. f DSGVO Gebrauch zu machen, wenn Grund zur Annahme besteht, dass der Datenimporteur die Vorgaben an das geforderte Datenschutzniveau nicht erfüllt. Die Norm enthält die Befugnis, die jeweilige Verarbeitung zu Beschränken oder gar ganz zu verbieten.

Dies betrifft Unternehmen, die personenbezogene Daten in die USA übermitteln, z.B im Rahmen von Cloud-Services oder konzerninternen Datenübermittlung.

Unmittelbare Folgen:

Datenverkehr auf ausschließlicher Basis des Privacy Shields, als unzulässig muss nunmehr als unzulässig betrachtet werden, soweit er nicht eine andere Garantie aus den Art. 44 ff. DSGVO gestützt ist/werden kann (es drohen behördliche Sanktionen).

Kurzfristig sollten Unternehmen die internen wie externen Datenflüsse in Drittländer Untersuchen.

Mit Datenempfängern in Drittländern sollten kurzfristig die passenden Standarddatenschutzklauseln (SCC, s.u.) geschlossen werden. Hierbei sollte beachtet werden, dass diese nicht nach Gutdünken verändert werden dürfen, sondern im Wesentlichen wortgenau zu übernehmen sind.

Alternativ kommen „Binding Corporate Rules“ (BCR, s.u.) in Betracht. Obwohl die Einführung zeit- und kostenintensiv ist, stellen diese durchaus eine geeignete Maßnahme zur Sicherstellung zumindest des konzerninternen Datenverkehrs vor.

In Entscheidungen über Die Beauftragung/den Wechsel von Dienstleistern oder die Aufnahme von Vertragsbeziehungen zu Dritten sollten nun auch die hier dargelegte Probleme mit aufgenommen werden.

Da die Regelungen zum Datenschutz außerhalb Europas (freundlich formuliert) in durchaus unterschiedlicher Intensität ausgeprägt sind, sieht die DSGVO bei einer Übermittlung in sog. „Drittländer“ vor, dass zusätzliche Voraussetzungen erfüllt werden müssen, um das europäische Niveau des Datenschutzes zu gewährleisten.

Art. 44 ff. DSGVO sehen hierfür verschiedene Möglichkeiten zur Herstellung eines „angemessenen Datenschutzniveaus“ vor. Neben einer geeigneten Rechtsgrundlage bedarf es für einen rechtmäßigen Transfer in ein Drittland demzufolge immer auch entweder eines Angemessenheitsbeschlusses der europäischen Kommission oder einer sonstigen Garantie, z.B.:

Standarddatenschutzklauseln (SCC)

sind spezielle Vertragsklauseln zwischen datenex- und datenimportierendem Unternehmen, die aufgrund eines Beschlusses der EU-Kommission zur Verfügung gestellt wurden und die – soweit sie im Wesentlichen unverändert übernommen werden – ein entsprechendes Datenschutzniveau zwischen den jeweils beteiligten Parteien sicherstellen sollen.

Die Entscheidung könnte auch hierauf Auswirkungen haben. Es soll im Einzelfall geprüft werden müssen, ob die nationale Gesetzgebung eine angemessene Sicherheit auch im Hinblick auf die abgeschlossenen Standarddatenschutzklauseln bietet.

Binding Corporate Rules (BCR)

Hierbei handelt es sich um unternehmensinterne Regelungen, die den Umgang mit personenbezogenen Daten betreffen und die ein entsprechendes Genehmigungsverfahren durchlaufen haben. Aufgrund des erheblichen Aufwandes und der im Regelfall hohen Kosten dieser Maßnahme scheuen viele Unternehmen diesen Schritt.