FAQs zum EuGH-Urteil vom 16.7.2020 (C-311/18), Stand: 24.7.2020

Der EuGH hat den EU-U.S.-Datenschutzschild für ungültig erklärt. Wen betrifft dieser Teil des Urteils?

Auswirkungen hat die Feststellung der Ungültigkeit des EU-U.S.-Datenschutzschilds auf Datenübermittlungen in die USA, die Verantwortliche in der EU konkret auf der Grundlage des EU-U.S.-Datenschutzschild vornehmen oder vorgenommen haben. Dieser Teil des Urteils betrifft also nicht grundsätzlich alle Datenübermittlungen in die USA

Was müssen Verantwortliche, die den EU-U.S.-Datenschutzschild als Transferinstrument im Sinne des Kapitel V DS-GVO für Datenübermittlungen in die USA verwenden, jetzt veranlassen?

Der EU-U.S.-Datenschutzschild kann ab dem Urteilsspruch vom 16. Juli 2020 nicht mehr als Transferinstrument verwendet werden. Datenübermittlungen auf dessen Grundlage sind rechtswidrig. Verantwortliche müssen umgehend auf andere Transferinstrumente des Kapitel V DS-GVO umstellen. Stehen keine anderen Transferinstrumente zur Verfügung und kann auch kein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden, muss der Verantwortliche die Datenübermittlung aussetzen. Darüber hinaus sind bereits übermittelte Daten zurückzufordern bzw. zu vernichten.

Gibt es eine Übergangsfrist?

Nein, Datenübermittlungen auf Grundlage des EU-U.S.-Datenschutzschilds sind seit dem Urteilspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sehen weder das Urteil noch die DS-GVO  vor.

Die Standardvertragsklauseln sind weiterhin gültig. Bleibt für die Verantwortlichen, die diese als Transferinstrument verwenden, alles beim Alten?

Ja und nein. Eine Anpassung der Standardvertragsklauseln durch die EU-Kommission ist nicht erforderlich. Sie sind als solche gültig. Der EuGH hat jedoch klargestellt, dass die Verantwortlichen, die die Standardvertragsklauseln verwenden, ihren daraus erwachsenden Pflichten nachkommen müssen. Wenn sich herausstellt, dass der Auftragsverarbeiter im Drittland Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs, also des Verantwortlichen in der EU, und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, hat der datenexportierende Verantwortliche in der EU z.B. gemäß Klausel 5 des Standardvertrags für Datenübermittlungen von Verantwortlichen in der EU an Auftragsverarbeiter in Drittländern (2010/87/EU) das vertraglich begründete Recht, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten. Um nicht gegen die Vorschriften der DS-GVO zu verstoßen, muss der Verantwortliche in diesem Fall von diesem Recht Gebrauch machen.  

Dies galt auch schon vorher. Mit seinem Urteil verdeutlicht der EuGH, dass sich datenexportierende Stellen dauerhaft mit der Gesetzeslage des Ziellandes auseinandersetzen müssen, um nicht von den Aufsichtsbehörden in der EU für Datenschutzverstöße durch die importierenden Stelle im Drittland belangt zu werden. 

Können die Vertragsparteien die Standardvertragsklauseln selbst anpassen und so für ihre konkrete Vertragsbeziehung geeignete Garantien schaffen?

Der EuGH benennt die Möglichkeit der Ergänzung der Standardvertragsklauseln durch die Vertragsparteien, um in dieser konkreten Vertragsbeziehung dennoch geeignete Garantien dafür zu schaffen, dass das durch die DS-GVO verbürgte Schutzniveau für natürliche Personen nicht beeinträchtigt wird (Rn. 132). Ziel ist hierbei, ein Schutzniveau zu erreichen, das dem in der Union durch die DS-GVO im Lichte der Charta garantierten Niveau der Sache nach gleichwertig ist (Rn. 92, 94, 96, 105). Als Kriterien hierfür sind insbesondere die in Art. 45 Abs. 2 DS-GVO genannten heranzuziehen (Rn. 104). 

Offen ist, ob dies im Einzelfall tatsächlich möglich ist, insbesondere z.B. unter Geltung von Sicherheitsgesetzen wie Sec. 702 Foreign Intelligence Surveillance Act (FISA), da die US-Behörden nicht an die Standardvertragsklauseln gebunden sind. Offen ist darüber hinaus auch, wie sich diese Möglichkeit zu Art. 46 Abs. 3 lit. a DS-GVO verhält, also ab wann die o.g. Ergänzungen einer aufsichtsbehördlichen Genehmigungspflicht unterliegen.

Können die Standardvertragsklauseln generell nicht mehr für Datenübermittlungen in die USA verwendet werden?

Dies wird derzeit geprüft und hängt im Wesentlichen von der Auslegung der US-Sicherheitsgesetze ab. Die Sicherheitsgesetze in den USA, wie Sec. 702 FISA, der den US-Sicherheitsbehörden ohne richterlichen Beschluss erlaubt, in bestimmten Fällen Zugriff auf personenbezogene Daten zu nehmen, gelten vorrangig gegenüber Telekommunikationsunternehmen. Für Datenübermittlungen an solche Unternehmen können die Standardvertragsklauseln in der Regel nicht verwendet werden. 

Darüber hinaus hat das Gesetz ggf. Auswirkungen auch auf andere Unternehmen, z.B. dann, wenn diese Unternehmen Dienstleistungen von Telekommunikationsanbietern, wie etwa Cloud-Dienste, in Anspruch nehmen. Dann besteht die Möglichkeit, dass die US-Sicherheitsbehörden auf diesem Wege doch Zugriff auf die Daten erhalten. 

Denkbar ist zudem, dass allein aufgrund der Tatsache der elektronischen Datenübermittlung, also der Tatsache dass die Daten auf dem Weg zum Empfänger in den USA durch die Kabel US-amerikanischer Telekommunikationsanbietern fließen, Sec. 702 FISA auf alle auf diesem Weg übermittelten Daten Anwendung findet. 

Darüber hinaus ist im Zusammenhang mit der Datenübermittlung in die USA zu bedenken, dass gemäß der US-amerikanischen Executive Order 12.333 auch eine Überwachung der nicht ausreichend verschlüsselten Daten erfolgen kann, wenn diese die transatlantischen Kabel durchqueren.

Allgemeiner gesprochen bedeutet dies: 

In dem Fall, dass die US-Sicherheitsgesetze, die dem EU-Datenschutzrecht entgegenstehen, auf alle Datenübermittlungen von der EU in die USA anwendbar sind, kann das Schutzniveau in den USA insgesamt als nicht dem in der EU herrschenden Schutzniveau gleichwertig angesehen werden. In diesem Fall stellen die Standardvertragsklauseln, so wie sie formuliert sind, keine geeigneten Garantien für die Datenübermittlung in die USA dar.

In dem Fall, dass die US-Sicherheitsgesetze nur auf bestimmte Datenübermittlungen in die USA Anwendung finden, obliegt es dem Datenexporteuer in der EU, unter Einbeziehung des jeweiligen Datenimporteurs in den USA, zu prüfen, ob bzw. welchen Gesetzen seines Heimatlandes der Datenimporteur bzw. die jeweilige Datenübermittlung zu diesem unterliegt und zu bewerten, ob die Standardvertragsklauseln in diesem Fall geeignete Garantien darstellen.

Zur Frage der Anpassung der Standardvertragsklauseln durch die Vertragsparteien siehe die vorangegangene Frage.

Was müssen Verantwortliche, die die Standardvertragsklauseln verwenden, jetzt tun?

Die Verantwortlichen müssen prüfen, welchen Gesetzen der Datenimporteur im Drittland, an den sie die Daten übermitteln möchten und ggf. dessen weitere Vertragspartner in dieser Geschäftsbeziehung, unterliegt und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Ggf. sind die konkreten Datenflüsse zu analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden. Um der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu genügen, sind diese Prüfungen sowie die Ergebnisse zu dokumentieren. Diese Pflichten gelten für Datenübermittlungen in alle Drittländer, nicht nur in die USA.

Sollten sich Beeinträchtigungen offenbaren, besteht die – zumindest theoretische – Möglichkeit, diese durch Ergänzungen der Standardvertragsklauseln zu beheben (Rn. 132). Ob ein Beheben tatsächlich möglich ist, insbesondere im Falle der Kollision der Gesetze des Drittlandes mit dem europäischen Datenschutzrecht, ist fraglich und wird sich in der praktischen Anwendung zeigen. Hier ist der Einzelfall zu prüfen. Auch, ab wann die Grenze zu Ad hoc-Verträgen (Art. 46 Abs. 3 lit. a DS-GVO) überschritten ist, es sich also um genehmigungspflichtige Vereinbarungen handelt, ist eine noch ungeklärte Frage.

Die Prüfung kann ggf. in den Fällen umgangen werden, in denen andere Transferinstrumente des Kapitel V DS-GVO oder ein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden können. Letzteres kommt z.B. häufig bei Reisebuchungen in Betracht, dürfte aber für typische Outsourcing-Szenarien, also Dienstleistungen, die auch in der EU / dem EWR erbracht werden könnten, aber in einem Drittland leichter, billiger oder besser erbracht werden, kaum in Betracht kommen. Beim Wechsel zu anderen Transferinstrumenten ist zu berücksichtigen, dass das EuGH-Urteil auch auf diese Auswirkungen haben könnte (siehe unten).

Was müssen Verantwortliche, die die Standardvertragsklauseln verwenden, veranlassen, wenn die empfangende Stelle im Drittland einem nationalen Gesetz unterliegt, das gegen die Grundsätze der DS-GVO bzw. der Art. 7 und Art. 8 EU-Grundrechtecharta verstößt?

Wenn die mit den Standardvertragsklauseln benannten datenschutzrechtlichen Garantien durch den Datenimporteur aufgrund der Gesetzeslage in seinem Heimatland nicht eingehalten werden können, muss der Datenexporteur, also der Verantwortliche in der EU, Datenübermittlungen dorthin aussetzen, weil er ansonsten selbst gegen das Datenschutzrecht verstößt. Bereits in das Drittland übermittelte Daten sind sämtlich vom Datenimporteur zurückzuschicken oder zu zerstören (Rn. 143). Die Vertragsparteien können versuchen, durch Ergänzungen der Standardvertragsklauseln geeignete Garantien zu schaffen (siehe oben).

Auf welcher Grundlage kann der Verantwortliche weiterhin Datenübermittlungen an die betreffende Stelle im Drittland vornehmen, wenn er die Standardvertragsklauseln nicht nutzen kann?

Der Verantwortliche muss prüfen, welches andere Transferinstrument des Kapitel V DS-GVO für die Datenübermittlungen in Betracht kommt oder ob ggf. ein Ausnahmetatbestand des Art. 49 DS-GVO greift.

Was ist, wenn keine andere Grundlage gefunden werden kann?

Wenn es keine Grundlage gibt, die den Datentransfer legitimiert, muss dieser – ggf. dauerhaft – ausgesetzt werden, da ansonsten ein Verstoß gegen Art. 44 DS-GVO vorliegt. Ggf. haben Verantwortliche die Möglichkeit, auf Anbieter der gleichen Dienstleistungen in der EU bzw. dem EWR auszuweichen.

Welche Fragen müssen sich Verantwortliche in der EU im Zusammenhang mit den Standardvertragsklauseln nun stellen?

a) Übermittele ich personenbezogene Daten in ein Land außerhalb der EU bzw. dem EWR?

b) Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Verwende ich als Transferinstrument im Sinne des Kapitel V DS-GVO Standardvertragsklauseln der EU-Kommission?

c) Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Unterliegt der Datenimporteur im Drittland oder dessen Unterauftragsnehmer in meiner Geschäftsbeziehung Gesetzen dieses Drittlandes, die der DS-GVO bzw. Art. 7 oder Art. 8 EU-Grundrechtecharta zuwiderlaufen oder gibt es andere Anhaltspunkte dafür, dass die in den Standardvertragsklauseln gegebenen Garantien nicht eingehalten werden können? 

d) Wenn nein, ist die Prüfung hier zu Ende. Wenn ja: Können die Standardvertragsklauseln mithilfe weiterer Vereinbarungen zwischen den Vertragsparteien so ergänzt werden, dass das so geschaffene Schutzniveau dem in der Union garantieren Schutzniveau der Sache nach gleichwertig ist?

e) Wenn ja, ist die Prüfung hier zu Ende. Wenn nein: Kann die Datenübermittlung auf ein anderes Transferinstrument im Sinne des Kapitel V DS-GVO oder auf einen Ausnahmetatbestand des Art. 49 DS-GVO gestützt werden? 

f) Wenn ja, ist alles gut. Passen Sie ggf. Ihre Informationen nach Art. 13 DS-GVO an. Beachten Sie bei der Anwendung des Art. 49 Abs. 1 lit. a DS-GVO, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erfolgen muss. Wenn nein: Setzen Sie den Datentransfer umgehend aus und fordern Sie die bereits übermittelten Daten vom Datenimporteur zurück bzw. fordern Sie diesen auf, die Daten zu vernichten. Nehmen Sie Kontakt mit künftigen Vertragspartnern in Ländern auf, in denen die Daten besser geschützt sind.

Hat das Urteil des EuGH Auswirkungen auf andere Transferinstrumente des Kapitel V DS-GVO, wie etwas Binding Corporate Rules?

Der EuGH hat die generelle Aussage getroffen, dass die geeigneten Garantien so beschaffen sein müssen, dass sie ein Schutzniveau gewährleisten, das dem in der EU garantierten Schutzniveau der Sache nach gleichwertig ist (Rn. 96). Dies legt nahe, dass alle Transferinstrumente des Art. 46 DS-GVO am Maßstab dieser Gleichwertigkeit zu messen sind. Verantwortliche und Auftragsverarbeiter sollten daher auch bei der Verwendung anderer Transferinstrumente als den Standardvertragsklauseln prüfen, ob diese den Anforderungen genügen. 

Kann ich als Bürger oder Verbraucher weiterhin meine Daten in die USA übermitteln?

Ja, für Personen, die ihre eigenen personenbezogenen Daten in ein Drittland übermitteln, ändert sich nichts. Sie sind von diesem Urteil nicht betroffen.