Nach EuGH-Urteil: Gravierende Folgen für Datentransfers in die USA

Von Dr. Carsten Ulbricht, Partner der Sozietät Menold Bezler in Stuttgart

Der Europäische Gerichtshof hat die Privacy-Shield-Vereinbarung zum Datentransfer zwischen der EU und den USA gekippt. Die Richter entschieden, dass das EU-US Privacy Shield nicht ausreicht, um personenbezogene Daten rechtskonform in die USA zu übertragen (C-311/18).

Das Privacy Shield ist eine Vereinbarung zwischen der EU und den USA, die im Wesentlichen regelt, wie US-Unternehmen bestimmte Datenschutzstandards gewährleisten können. Bislang ging man davon aus, dass US-Unternehmen, die sich dem Privacy Shield unterworfen haben, europäische Datenschutzstandards einhalten - und dass europäische Unternehmen dorthin Daten im Einklang mit der Datenschutzgrundverordnung (DGSVO) übermitteln dürfen.

Dass nach Ansicht des EuGH das Privacy Shield den Anforderungen der DGSVO grundsätzlich nicht genügt, hat Folgen insbesondere für zahlreiche Social-Media-Plattformen, Anbieter und Nutzer von Cloud-Diensten sowie Online-Händler, die personenbezogene Daten in die USA weiterreichen.

Nach dem EU-Datenschutzrecht dürfen personenbezogene Daten nur dann ins nicht-europäische Ausland übertragen werden, wenn in dem Empfängerland oder bei dem Empfänger ein ausreichendes Datenschutzniveau gewährleistet wird. Eben dies sollte das Privacy Shield sicherstellen. Alternativ können Unternehmen sogenannte Standardvertragsklauseln zum Datenaustausch abschließen, mit denen sie sich verpflichten, die erforderlichen Datenschutzgarantien einzuhalten.

Der österreichische Jurist Maximilian Schrems, der bereits das Safe-Habor-Abkommen vor dem EuGH zu Fall gebracht hatte, klagte auch gegen das Privacy Shield. Dabei ging es zunächst um die Frage, ob die Facebook Ireland Ltd. Nutzerdaten auf Grundlage von Standardvertragsklauseln an den US-Mutterkonzern weiterleiten darf.

Es bestanden Zweifel, ob Facebook sich angesichts der vielen US-Überwachungsgesetze überhaupt an die vertraglichen Datenschutzverpflichtungen halten kann. Die irischen Datenschutzbehörden, die als eher konzernfreundlich gelten, waren untätig geblieben. Zugleich gab es aber auch generelle Bedenken gegenüber der Rechtmäßigkeit des Privacy Shield an sich.

Der EuGH entschied, dass das Privacy Shield tatsächlich nicht ausreicht, um ein angemessenes Datenschutzniveau zu gewährleisten und erklärte den Privacy-Shield-Beschluss für ungültig.

Was die Standardvertragsklauseln betrifft, sagt der EuGH, dass diese grundsätzlich herangezogen werden können, um ein angemessenes Datenschutzniveau beim Datenempfänger zu gewährleisten. Allerdings muss der Datenempfänger prüfen, ob das Schutzniveau im betreffenden Drittland auch wirklich eingehalten wird.

Ist dies nicht der Fall und lassen sich die Standardklauseln somit nicht einhalten, muss der Datenexporteur die Datenübermittlung aussetzen oder die Vertragsbeziehung zum Datenempfänger beenden.

Unternehmen, die bislang personenbezogene Daten allein auf Grundlage des Privacy Shield an US-amerikanische Unternehmen exportiert haben, müssen nun unmittelbar tätig werden. Sie riskieren sonst Bußgelder.

Konkret heißt das, sie sollten möglichst unverzüglich auf Standardvertragsklauseln umstellen und darauf achten, dass diese nicht nur den inhaltlichen Voraussetzungen entsprechen, sondern auch tatsächlich eingehalten werden beziehungsweise eingehalten werden können.

Lässt sich dies nicht sicherstellen, kann die rechtsgültige Datenübertragung in die USA wegen der dortigen "Überwachungsgesetze" trotz grundsätzlich wirksamer Standardvertragsklauseln gefährdet sein.

Das Urteil macht noch einmal die Schwächen des Datenschutzniveaus in den USA deutlich und ist insofern wenig überraschend. Die USA müssten ihre "Überwachungsgesetze" ernsthaft ändern, wenn die Datentransfers aus Europa erleichtert werden sollen.

Da eine solche Änderung derzeit eher nicht zu erwarten sein dürfte, ist es an den Unternehmen, zur Vermeidung etwaiger Bußgelder die notwendigen Standards herzustellen.