01 – Über sichere Häfen und Schutzschilde

24.07.2020

Entscheidung des EuGH (EuGH C311/18 „Schrems II“)vom 16. Juli 2020

Zwar ging es in diesem Verfahren als Vorabentscheidungsverfahren im Kern im die Datenweitergabe von Facebook Irland zu Facebook USA. Diese Entscheidung hat aber generelle und massive Auswirkungen für alle Datentransfers in sogenannte Drittstaaten. Die Entscheidung betrifft aber vor allem auch Leistungen von Cloud-Diensten oder typische Outsourcing-Szenarien. Das EU-US-Privacy Shield kann ab dem Urteilsspruch vom 16. Juli 2020 nicht mehr als Transferinstrument verwendet werden. Datenübermittlungen auf dessen Grundlage sind rechtswidrig

Hintergrund

Mit der Datenschutz-Grundverordnung (DSGVO) haben wir in der ganzen Europäischen Union ein hohes Datenschutzniveau erreicht, mit welchem nicht alle Länder der Erde mithalten können. Die DSGVO selbst zeigt – wenn auch nicht einfache – Wege auf, wie man den Datentransfer in Drittländer dennoch europarechtskonform und datenschutzkonform gestalten kann. Diese sollten die Unternehmen beschreiten. Denn auch bei Verstößen gegen diese Vorschriften drohen empfindliche Bußgelder. Bei einer Datenübermittlung in ein Drittland müssen die spezifischen Anforderungen an die Übermittlung in Drittländer beachtet werden. Bezüglich der USA galt zunächst gemäß Beschluss der europäischen Kommission das sogenannte Safe Harbor-Abkommen. Mit Urteil vom 06.10.2015 hatte der EuGH diesen Beschluss aufgehoben und damit das Safe Harbor-Abkommen außer Kraft gesetzt. Als Nachfolgevereinbarung wurde das EU-U.S. Privacy-Shield-Abkommen auf Grundlage des Beschlusses der EU-Kommission vom 12.7.2016 ins Leben gerufen. US-Unternehmen konnten diesem Abkommen beitreten und damit sich ihrerseits verpflichten, das Datenschutzniveau des Abkommens einzuhalten, welches demjenigen der DSGVO entsprechen sollte. Damit sollte auf einfachem Wege eine Möglichkeit geschaffen werden, transnational und in Bezug auf die USA Daten zu übermitteln. 

Aktuelle Entscheidung

Mit der aktuellen Entscheidung hat nun der EuGH nun auch das EU-US-Privacy Shield-Abkommen für ungültig erklärt. Der EuGH hat zudem festgestellt, dass im Falle von Datentransfers ein solches Schutzniveau gewährleistet sein muss, wie es die DSGVO und die EU-Grundrechte-Charta europäischen Bürgern garantiert. Um das zu beurteilen, zieht der EuGH die Vertragsbeziehungen zwischen denjenigen, die die Daten weitergeben und denjenigen, die die Daten empfangen, heran. Hierzu konnten bisher von der EU-Kommission genehmigte Standardvertragsklauseln verwendet werden. Nur in den Fällen, in denen die in den Standardvertragsklauseln enthaltenen Garantien nicht eingehalten werden können, dürfen diese Standardvertragsklauseln nicht mehr als Grundlage für Datenübermittlungen dienen. Die Sicherheitsgesetze in den USA, wie der Foreign Intelligence Surveillance Act (FISA) 702, erlaubt den US-Behörden ohne richterlichen Beschluss Zugriff auf personenbezogene Daten. Das Betrifft Unternehmen z.B. dann, wenn diese Unternehmen Dienstleistungen wie etwa Cloud-Dienste in Anspruch nehmen. Dann besteht die Möglichkeit, dass die US-Sicherheitsbehörden auf diesem Wege Zugriff auf die Daten erhalten. Darüber hinaus hat im Zusammenhang mit der Datenübermittlung in die USA die US-amerikanischen Executive Order 12.333 Gültigkeit, die auch eine Überwachung der Daten vornimmt. Kann vor diesem Hintergrund also das geforderte Schutzniveau nicht positiv festgestellt werden, müssten Unternehmen dann als letzte Konsequenz den Datenexport einstellen oder aber den Vertrag kündigen. Mit der aktuellen Entscheidung ist die Datenweitergabe an Empfänger in den USA auf Basis des EU-US-Privacy Shield-Abkommen jedenfalls ab sofort unzulässig. 

DIGITALRECHT- Datenschutz, Arbeits- und IT-Recht. Podcast und Beratung. Henning Koch ist Rechtsanwalt, zugleich Fachanwalt für IT-Recht und Fachanwalt für Arbeits- und Sozialrecht sowie zertifizierter Datenschutzbeauftragter. Schwerpunkte seiner täglichen Arbeit liegen im Datenschutzrecht, dem Arbeitsrecht und dem IT-Recht. Herr Koch ist auch Trainer für Betriebsverfassungsrecht und Datenschutzrecht. Herr Koch kommt aus Marburg und ist Rechtsanwalt in der Wetzlarer Wirtschaftskanzlei Ruhmann Peters Altmeyer, kurz RPA, (www.rpa-kanzlei.de) und zugleich Geschäftsführender Gesellschafter der RPA Datenschutz+Compliance GmbH, einer Gesellschaft, die operativ Aufgaben als Datenschutzbeauftragte für Unternehmen und kommunale Einrichtungen übernimmt (www.rpa-datenschutz.de).

Herr Koch freut sich über Feedback unter info@herrkochhatrecht.de.