EuGH erklärt Privacy Shield für unwirksam

Mit Urteil vom 16.07.2020, Az. C 311/18, hat der EuGH entschieden, dass das EU/US Privacy Shield unwirksam ist. Damit sind alle darauf gestützten Datenübermittlungen zwischen der EU und den USA ab sofort nicht mehr zulässig.

Rechtliche Ausgangslage

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage, zum Beispiel die Einwilligung des Betroffenen oder die Erfüllung einer vertraglichen Verpflichtung.

Soll die Datenverarbeitung nicht in der EU, sondern im außereuropäischen Ausland, also in einem sog. Drittland, erfolgen, bedarf es hierfür bzw. für die damit erforderliche Übermittlung der personenbezogenen Daten von der EU die das Drittland einer zusätzlichen Rechtsgrundlage.

Eine solche zusätzliche Rechtsgrundlage ist ein sog. Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). Hiernach darf eine Übermittlung personenbezogener Daten an ein Drittland vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet.

Das EU/US Privacy Shield

Das EU/US Privacy Shield war ein im Juli 2016 noch unter Geltung der Datenschutzrichtlinie, der Vorgängerregelung der DSGVO, gefasster Angemessenheitsbeschluss der Europäischen Kommission, der Datenübermittlungen zwischen der EU und den USA betraf.

Das Privacy Shield wurde geschlossen, nachdem der EuGH die Vorgängerregelung, das Safe Harbor Abkommen, für unwirksam erklärt hatte.

Unter dem Privacy Shield konnten sich seit dem 01.08.2016 in den USA ansässige Unternehmen im Rahmen einer freiwilligen Zertifizierung verpflichten, ein bestimmtes Datenschutzniveau einzuhalten. Damit waren sie dafür qualifiziert, dass ihnen für Datenverarbeitungen Verantwortliche oder deren Auftragsverarbeiter personenbezogene Daten aus der EU in die USA übermitteln durften.

Bei Datenschützern stand das Privacy Shield von Anfang an in der Kritik. Bemängelt wurde u.a., dass die in die USA übermittelten personenbezogenen Daten dort dem Zugriff von staatlichen Behörden und Geheimdiensten ausgesetzt waren.

Die Entscheidung des EuGH

Mit seinem Urteil vom 16.07.2020 hat der EuGH das Privacy Shield für unwirksam erklärt. Datenübermittlungen in die USA können daher ab sofort nicht mehr auf das Privacy Shield gestützt werden.

Nach dem EuGH grundsätzlich weiterhin zulässig sind jedoch Datenübermittlungen, die auf Grundlage der Standarddatenschutzklauseln der Kommission erfolgen. Allerdings ist hierfür nicht der schlichte Abschluss dieser Standarddatenschutzklauseln ausreichend. Vielmehr muss der für die Datenverarbeitung Verantwortliche deren Einhaltung auch bei dem im Drittland ansässigen Auftragsverarbeiter effektiv durchsetzen können. Ob letzteres bei Datenübermittlungen in die USA der Fall ist, hat der EuGH offen gelassen. Aufgrund seiner übrigen Ausführungen zum Privacy Shield ist dies jedoch äußerst zweifelhaft.

Anlass des Urteils war eine Klage des österreichischen Datenschützers Maximilian Schrems, der bereits gegen die Vorgängerregelung, das Safe Harbor Abkommen, erfolgreich beim EuGH geklagt hatte.

Folgen der Entscheidung

Bisher auf Grundlage des Privacy Shield erfolgte Datenübermittlungen in die USA sind ab sofort nur noch dann zulässig, wenn sie auf eine andere Rechtsgrundlage gestützt werden können.

Da es vermutlich einige Monate dauern wird, bis die Europäische Kommission mit den USA eine Nachfolgeregelung zum Privacy Shield verhandelt haben wird, kommen derzeit als Rechtsgrundlagen vor allem in Betracht:

- Unter großem Vorbehalt: Die bereits erwähnten Standarddatenschutzklauseln der Kommission; auch wenn sich der EuGH hierzu nicht explizit geäußert hat, ist jedoch davon auszugehen, dass diese mangels effektiver Durchsetzbarkeit in den USA wohl nicht als taugliche Rechtsgrundlage für Datenübermittlungen in die USA in Betracht kommen;
- bei Konzernunternehmen: verbindliche konzerninterne Datenschutzvorschriften (sog. „Binding Corporate Rules“; Art. 47 DSGVO);
- dass die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbe­schlusses und ohne geeignete Garantien unterrichtet wurde (Art. 49 Abs. 1 lit. a DSGVO);
- dass die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist.

Was jetzt zu tun ist

Vom Urteil des EuGH betroffen sind alle, die direkt oder über einen Auftragsverarbeiter Dienste von unter dem Privacy Shield zertifizierten US-Unternehmen nutzen. Zu diesen Unternehmen zählen u.a. Facebook, Google und Microsoft.

Besonders betroffen sind Website-Betreiber. Denn auf zahllosen Websites sind Dienste eingebunden, die US-amerikanische Gesellschaften nicht nur über europäische Tochtergesellschaften (wie Facebook Ireland Ltd., Google Ireland Ltd. etc.) erbringen, sondern auch über deren US-amerikanische Muttergesellschaften. Hierzu dürften Dienste wie Google Analytics, Google Maps und Google Fonts (nicht lokal eingebunden), E-Mail-Newsletter-Anbieter wie MailChimp und viele soziale Netzwerke zählen.

Kann auf die Dienste der unter dem Privacy Shields zertifizierten US-Unternehmen vorerst nicht verzichtet werden, empfiehlt sich als Sofortmaßnahme u.a. Folgendes:

1. Europäische Server auswählen

Bei einigen Diensten von US-Unternehmen (z.B. bei Microsoft 365 und der Google G-Suite) kann ausgewählt werden, dass deren Dienste nur über europäische Server erbracht werden. Sofern möglich, sollte diese Einstellung aktiviert werden.

2. Einwilligung der Betroffene einholen

Datenübermittlungen in die USA sind stets zulässig, wenn der hiervon Betroffene in die Übermittlung seiner personenbezogenen Daten an das in den USA ansässige Unternehmen unter Kenntnis der damit verbundenen Risiken (mögliche Preisgabe der Daten an US-amerikanische Behörden und Geheimdienste) ausdrücklich eingewilligt hat (s.o.).

Bei einer Website könnte diese Einwilligung zum Beispiel im Rahmen eines Cookie Banners mittels einer entsprechenden Checkbox eingeholt werden. Wichtig ist insofern, dass bei der Checkbox ausdrücklich auf die Risiken hingewiesen wird und der Betroffene die Checkbox selbst aktiv anklickt (sog. Opt-In); eine bereits voreingestellt aktivierte Checkbox (sog. Opt-Out) ist nach der Rechtsprechung des Bundesgerichtshofs unzulässig.

3. Datenschutzerklärung anpassen

Hatten Website-Betreiber Dienste von US-Unternehmen, die im Rahmen des Privacy Shield zertifiziert waren, auf Ihrer Website eingebunden, wurde in der Datenschutzerklärung meist nur lapidar darauf hingewiesen, dass das US-Unternehmen sich dem Privacy Shield unterworfen hat.

Diese Datenschutzerklärungen sind jetzt an die neue Situation anzupassen. Das bedeutet aber nicht, dass der Privacy Shield Passus jetzt lediglich zu streichen ist.

Sollen die Dienste des US-Unternehmens weiter genutzt werden, bedarf es einer alternativen Rechtsgrundlage (s.o.). Diese ist in der Datenschutzerklärung zu nennen und – zum Beispiel bei der Einwilligung als neuer Rechtsgrundlage – auch die mit der Datenübermittlung verbundenen Risiken darzustellen.

Zurück