EuGH-Entscheidung: Privacy Shield suspendiert

Umetikettierung des Vorgängerinstruments des Privacy Shield  – Safe Harbor – mit nur marginalen Verbesserungen führte zu keinem Umdenken der Regierung der USA

[datensicherheit.de, 16.07.2020] Dass es nach Ansicht des höchsten Unionsgerichts nicht „weiter so“ beim Privacy Shield gehen konnte, sei begrüßenswert, meint der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI).Er sieht nach eigenen Angaben „schwere Zeiten für den internationalen Datenaustausch“ aufziehen, nachdem der Europäische Gerichtshof (EuGH) die „Privacy Shield“-Vereinbarung suspendiert und die sogenannten Standardvertragsklauseln bestätigt habe.

HmbBfDI

Prof. Dr. Johannes Caspar: Schwere Zeiten für den internationalen Datenaustausch!

Privacy Shield als Rechtsbasis der Datenübermittlung in die USA für unwirksam erklärt

Mit seiner Entscheidung am 16. Juli 2020 (Rechtssache C-311/18) habe der EuGH das sogenannte Privacy Shield zur Datenübermittlung in die USA für unwirksam erklärt – gleichzeitig aber die Gültigkeit des Beschlusses zu den „Standardvertragsklauseln“ aufrechterhalten.
Dass es nach Ansicht des höchsten Unionsgerichts nicht „weiter so“ beim „Privacy Shield“ gehen könne, sei begrüßenswert. Die Umetikettierung des im Jahr 2015 für ungültig erklärten Vorgängerinstruments – „Safe Harbor“ – mit nur marginalen Verbesserungen habe zu keinem Umdenken der Regierung der USA geführt:
„Weder wurde bei der Praxis der anlasslosen Massenüberwachung etwas geändert, noch wurde eine substanzielle Stärkung der Betroffenenrechte erreicht.“ Zu Recht verweise der EuGH beispielhaft auf die faktisch nicht hilfreiche Einführung einer Ombudsperson, welche zunächst nach einem effektiven Instrument klinge, jedoch über keine angemessenen Befugnisse verfüge.

Privacy Shield: Ungültigkeit primär mit ausufernder Geheimdienstaktivitäten begründet

Vor diesem Hintergrund sei die Entscheidung des EuGH, die „Standardvertragsklauseln“ (SCC) als angemessenes Instrument beizubehalten, „nicht konsequent“. Wenn die Ungültigkeit des „Privacy Shield“ primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet werde, müsse dasselbe auch für die „Standardvertragsklauseln“ gelten.
Vertragliche Vereinbarungen zwischen Datenexporteur und -importeur seien gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. „Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen. Allerdings hat er sich bei seiner Prüfung auf die formale Eignung im bilateralen Verhältnis zwischen europäischem Verarbeiter und dem im Drittland beschränkt.“
Zugleich habe er klargestellt, dass die rechtlichen Verhältnisse in dem jeweiligen Drittland unter Berücksichtigung aller Umstände und mit den Maßstäben, welche die DSGVO für die Prüfung bei Angemessenheitsbeschlüssen durch die EU-Kommission formuliere, zusätzlich zu prüfen seien, um einen Datentransfer über SCC zu ermöglichen.

Privacy Shield: Konsequenzen der weiteren Nutzung zu klären!

Die Handlungsmöglichkeiten datenexportierender Unternehmen seien nun dieselben wie schon vor fünf Jahren, als der „Safe-Harbor“-Mechanismus für ungültig erklärt wurde. Neben „Binding Corporate Rules“ und Einzelvereinbarungen seien es vor allem die SCC, welche als Grundlage für Übermittlungen in Drittstaaten genutzt werden könnten. Gleichzeitig sei jedoch die Unsicherheit dieses Mal gestiegen:
Der EuGH spiele den Ball den europäischen Aufsichtsbehörden zu. Er betone ihre jeweilige Aufgabe, Datentransfers auf Grundlage der „Standardvertragsklauseln“ auszusetzen oder zu verbieten. Dabei würden sie die inhaltlichen Maßstäbe der heutigen Entscheidung zu beachten haben. Insbesondere müssten sie nun ein besonderes Augenmerk auf das Datenschutzniveau im Empfängerstaat legen.
Sowohl die Verhältnismäßigkeit behördlicher Zugriffsmöglichkeiten als auch die Garantie eines funktionierenden Rechtsschutzes habe der Exporteur seiner örtlich zuständigen Datenschutzbehörde auf Verlangen nachzuweisen. Die Aufsichtsbehörden im Europäischen Datenschutzausschuss seien ihrerseits aufgerufen, gemeinsam die rechtliche und tatsächliche Situation in den Empfängerstaaten zu evaluieren. „Neben den USA betrifft diese Verantwortung gerade auch die übrigen Staaten außerhalb des EWR, für die keine Angemessenheitsentscheidungen der Europäischen Kommission vorliegen.“ Der Verbund der Datenschutz-Aufsichtsbehörden in Deutschland und in Europa müsse sich nun schnell verständigen, wie mit Unternehmen umgegangen wird, die nun unzulässigerweise weiter auf das „Privacy Shield“ setzen. Dasselbe gelte für Unternehmen, welche „Standardvertragsklauseln“ für die Übermittlung in die USA und in andere Drittstaaten benutzen.

Entscheidung zu Privacy Shield betrifft internationalen Datentransfer insgesamt

„Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über ,Standardvertragsklauseln‘ kritisch zu hinterfragen. Das betrifft dann letztlich aber nicht nur Staaten, die sich wie die USA zumindest immerhin bemüht hatten, den Eindruck zu machen, adäquate Strukturen des Datenschutzes zu schaffen“, kommentiert Prof. Dr. Johannes Caspar, der HmbBfDI.
Für Länder wie China seien derartige datenschutzrechtliche Vorkehrungen „weit entfernt“. Auch mit Blick auf den „BrExit“ werde sich die Frage der zulässigen Datenübermittlung stellen. Für den internationalen Datenverkehr zögen „schwere Zeiten“ auf. Unter dem Strich blieb die Erkenntnis: „In den vergangenen Jahren ist es den USA, aber auch der EU-Kommission nicht gelungen, eine tragfähige Grundlage für einen angemessenen Schutz von Daten zu implementieren, die dem europäischen Datenschutzstandard entspricht.“
Die Auswirkungen dieses Urteils betreffen laut Professor Caspar den internationalen Datentransfer insgesamt. Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau werde es daher künftig nicht mehr geben dürfen. „Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen“, betont der HmbBfDI.

Weitere Informationen zum Thema:

datensicherheit.de, 02.02.2020
EU-US Privacy Shield könnte 2020 kippen

datensicherheit.de, 27.05.2019
Internetwirtschaft diskutiert Datenschutz in Washington: EU-US Privacy Shield stärken