Der EuGH hat Datenübermittlungen in die USA auf der Grundlage des sog. Privacy Shield für unzulässig erklärt. Der Privacy Shield ist ungültig und kann keine Datenübermittlung in die USA rechtfertigen. Als Konsequenz aus diesem Urteil wird der LfDI Rheinland-Pfalz zeitnah an Unternehmen herantreten, um festzustellen, ob sie in der Vergangenheit ihre Datenübermittlung in die USA auf das Privacy Shield gestützt haben. Da dies ab sofort nicht mehr möglich ist, müssen von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden. Dazu müssen die Unternehmen aussagefähig sein.
Die Datenübermittlung in die USA und sonstige Drittstaaten außerhalb der Europäischen Union auf der Grundlage von Standardvertragsklauseln ist und bleibt möglich. Sie ist aber voraussetzungsvoll. Die Standardvertragsklauseln müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeutet dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich sind, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden können. Dies ist aber eine Frage des Einzelfalles. Zugleich müssen die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt. Dies war vorher schon so und ist nunmehr erst recht dringend erforderlich, hier werden einschlägige Nachprüfungen angeraten. Der LfDI Rheinland-Pfalz wird im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten.
Der LfDI Rheinland-Pfalz weist darauf hin, dass Verantwortliche ihre Datenübermittlungen aussetzen müssen, wenn diese den Anforderungen der Datenschutz-Grundverordnung wie sie der EuGH in dem Urteil Schrems II konkretisiert hat nicht entsprechen. Darüber hinaus müssen die Verantwortlichen die personenbezogenen Daten, die bis dahin auf der Grundlage des Privacy Shield übermittelt wurden, zurückfordern bzw. vernichten lassen und hierüber eine Dokumentation vorhalten. Falls die Verantwortlichen dies nicht tun, wird der LfDI Rheinland-Pfalz entsprechende Maßnahmen ergreifen. Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kommen auch weitere Sanktionen in Betracht.
Der LfDI Rheinland-Pfalz rät zu Prüfungen, ob und inwieweit Datenübermittlungen in Drittstaaten außerhalb der EU in konkreten Zusammenhängen zwingend erforderlich sind. Lösungen, die sich innerhalb der Europäischen Union abspielen, waren und sind nach wie vor vorzugswürdig und deutlich unproblematischer. Es kann vermutet werden, dass Wirtschaftsunternehmen mit Hauptsitz in den USA ihre Strukturen daraufhin überprüfen, ob europäische Lösungen, die keine Datenübermittlung in die USA beinhalten, möglich sind. Derartige Überlegungen sollten die Geschäftspartner von solchen Unternehmen im Auge behalten.
Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stehen ihm sämtliche von der Datenschutz-Grundverordnung vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.
Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden können. Hier geht es etwa um zusätzliche Vorkehrungen, die mit Standardvertragsklauseln zusammen die internationalen Datenübermittlungen weiterhin tragen. Angesichts der dynamischen Entwicklung der Materie wird der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen.
Weitere Informationen:
- EuGH-Urteil C-311/18
- FAQs des LfDI Rheinland-Pfalz zum EuGH-Urteil
- FAQs des Europäischen Datenschutzausschusses zum EuGH-Urteil (englisch)
- Prüfschritte zur Datenübermittlung in Drittländer nach Schrems II, eine Graphik des LfDI RLP