Neues zum Datenschutzrecht
17.7.2020
EuGH: Privacy Shield unwirksam und hohe Anforderungen für Standarddatenschutzklauseln
+ + + UPDATE vom 28.8.2020 + + +
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI B-W) hat eine Orientierungshilfe veröffentlicht, die Hinweise für den weiteren Datentransfer in die USA und sonstige Drittländer gibt. Weitere Informationen finden Sie in den Datenschutz-News vom 28.8.2020.
+ + + UPDATE vom 28.8.2020 + + +
Der Europäische Gerichtshof (EuGH) hat am 16.7.2020 die Regelungen des EU-US-Privacy Shield („Privacy Shield“) – dem „Nachfolger“ von Safe Harbor – für unwirksam erklärt. Dieses Gerichtsurteil (Az. C-311/18) hat weitreichende Folgen für Übermittlungen personenbezogener Daten in die USA, aber auch in andere Drittländer.
Hintergrund
Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland ein angemessenes Datenschutzniveau festgestellt hat. Für die USA gab es diesen Angemessenheitsbeschluss in Bezug auf die Regelungen des Privacy Shield vom 12.7.2016, der vom EuGH nunmehr für ungültig erklärt wurde, wie es das Gericht bereits mit dem Vorgänger des Privacy Shield, den Safe Harbor-Regelungen getan hat.
Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können gemäß Art. 46 Abs.2 DSGVO unter anderem in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) und Standarddatenschutzklauseln bestehen.
Die Standarddatenschutzklauseln scheinen nach Wegfall des Privacy Shield zwar eine naheliegende „Ausweichmöglichkeit". Allerdings sind mit dem EuGH-Urteil die Hürden für den Einsatz von Standarddatenschutzklauseln höher geworden. Das Gericht hat die Standarddatenschutzklauseln zwar weder generell noch speziell für Datenübermittlungen in die USA für unwirksam oder ungeeignet erklärt. Allerdings hat der EuGH deutlich gemacht, dass der Einsatz von Standarddatenschutzklauseln nicht von der datenschutzrechtlichen Verantwortlichkeit entbindet für das Vorliegen ausreichender Garantien für den Schutz der personenbezogenen Daten in dem konkreten Drittland. Da die Standarddatenschutzklauseln keine Garantien bieten können, die über die vertragliche Verpflichtung hinausgehen, für die Einhaltung des angemessenen Schutzniveaus zu sorgen, kann es in Abhängigkeit von der konkreten Lage in einem Drittland erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Das wird regelmäßig der Fall sein bei hoheitlichen Zugriffsmöglichkeiten und insoweit fehlenden hinreichenden Rechtsbehelfen für die betroffenen Personen mit der Folge, dass kein angemessener Schutz vor einem behördlichen Zugriff auf die Daten besteht. Da der EuGH gerade aufgrund dieser beiden Aspekte für Datenübermittlungen in die USA festgestellt hat, dass dort ein angemessenes Schutzniveau nicht durchgängig gewährleistet ist, müssen hier beim Einsatz von Standarddatenschutzklauseln zusätzliche Garantien geschaffen werden.
Fazit und Hinweise für die Praxis
Nach dem Wegfall des Privacy Shield können personenbezogene Daten nicht mehr auf dieser Grundlage in die USA übermittelt werden. Es handelt sich um eine unzulässige Datenverarbeitung, die bußgeldbewehrt ist. Daher bedarf es einer Alternative, die jedoch derzeit schwierig zu finden ist. Die naheliegendste Lösung, auf Standarddatenschutzklauseln zurückzugreifen, erfordert nach dem Urteil des EuGH zusätzliche Maßnahmen. Wie diese konkret aussehen können, ist derzeit unklar. Fest steht, dass eine lediglich vertragliche Zusatzregelung nicht ausreichen kann, weil sie die Behörden und sonstigen staatlichen Organe der USA gerade nicht binden.
Allerdings gelten die zusätzlichen Anforderungen an den Einsatz von Standarddatenschutzklauseln für jedes Drittland, sofern kein Angemessenheitsbeschluss der EU-Kommission vorliegt. Es obliegt dem Verantwortlichen – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Daten bzw. mit dessen Unterstützung – zu prüfen, ob das Recht des Drittlandes nach Maßgabe des EU-Rechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet. Erst nach einer solchen Risikoprüfung unter Berücksichtigung der Rechtslage und der Praxis im betreffenden Drittland können die Standarddatenschutzklauseln zum Einsatz kommen – entweder allein oder erforderlichenfalls mit zusätzlichen Garantien.
Kann der in der Union ansässige Verantwortliche keine hinreichenden zusätzlichen Maßnahmen ergreifen, um einen solchen Schutz zu gewährleisten, ist die Datenübermittlung auf der Grundlage von Standarddatenschutzklauseln nicht möglich. Eine bereits laufende Datenübermittlung in Drittländer muss ausgesetzt oder beendet werden, wenn das Recht des Drittlandes aufgrund von Änderungen nach Verarbeitungsbeginn keinen angemessenen Schutz der übermittelten Daten mehr gewährleistet und keine hinreichenden zusätzlichen Maßnahmen ergriffen werden (können), um diesen Schutz wieder herzustellen.
Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht