Zahlreiche Unternehmen übermitteln personenbezogene Daten an Stellen außerhalb der EU, z.B. an Geschäftspartner in den USA oder China. Das wird jetzt schwieriger und anspruchsvoller. Der EuGH hat in seinem heutigen Urteil den sog. EU-U.S. Privacy Shield für ungültig erklärt, der damit als Rechtsgrundlage für Datenübermittlungen in die USA ausscheidet. Die erforderliche Rechtsgrundlage für den Datentransfer können jedoch weiter die Standardvertragsklauseln der EU-Kommission bilden. Dabei muss aber ein hohes Schutzniveau für das Grundrecht auf Datenschutz sichergestellt werden.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Prof. Kugelmann hebt hervor: „Der Grundrechtsschutz endet nicht an der Grenze der EU und verlangt auch die Prüfung, ob und wie etwa US-amerikanische Sicherheitsbehörden Zugriff auf die Daten haben. Der EuGH stärkt einmal mehr die Rechte des Einzelnen. Für die betroffenen Unternehmen bedeutet das ein hartes Stück Arbeit, um im Einklang mit dem Datenschutz ihre Geschäfte betreiben zu können.“
Konkret geht es in dem Urteil im sog. Schrems II-Verfahren um die Wirksamkeit der Rechtsgrundlagen für Datenübermittlungen in die USA, die etwa auch Facebook und andere US-amerikanische Unternehmen benötigen, um ihre Geschäftsmodelle zu verwirklichen. Der EuGH verwirft den sog. Privacy Shield, eine Vereinbarung über Datenschutzgrundsätze für die Übermittlung personenbezogener Daten in die USA, als Rechtsgrundlage, weil die Regelungen keinen angemessenen Schutz gewährleisten. Die Unternehmen, die den Privacy Shield genutzt haben, müssen umstellen.
Die Gültigkeit der Standardvertragsklauseln der EU-Kommission – das vermutlich meistgenutzte Transferinstrument für Datenübermittlungen in Drittländer – wurde bestätigt. Jedoch können sich Verantwortliche, die dieses Transferinstrument nutzen, nicht darauf ausruhen. „Der EuGH hat klargestellt, dass sich Unternehmen mit der Verwendung der Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen können,“ erklärt Professor Kugelmann. „Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“ Dies gilt im Übrigen für Datentransfers in alle Drittländer, nicht nur in die USA.
Notwendig ist eine EU-weite Abstimmung der Aufsichtsbehörden, um eine einheitliche Rechtsanwendung zu erreichen und die Unternehmen in der EU gleich zu behandeln. Der LfDI erwartet aufgrund der Bedeutung entsprechender Datenübermittlungen für viele Unternehmen einen Ansturm von Fragen von Verantwortlichen und betroffenen Personen und bittet diese schon jetzt um Verständnis, wenn die Bearbeitung etwas Zeit in Anspruch nehmen wird. Hilfestellung bieten die FAQs des LfDI zu dem Urteil (Link).
Weitere Informationen:
- Pressemeldung des Europäischen Gerichtshofs vom 16.7.2020
- EuGH-Urteil C-311/18 vom 16.7.2020
- Standard-Datenschutzklauseln der EU-Kommission
- FAQs zum EuGH-Urteil C-311/18 vom 16.7.2020