„Schrems II“-Urteil: EuGH-Entscheidung zu ­Privacy-Shield – Praxisfolgen für Unternehmen

Beitrag als PDF (Download)

Der EuGH hat am 16.07.2020 das noch nicht einmal fünf Jahre alte „EU-US Privacy-Shield“-Abkommen gekippt (EuGH C-311/18) und stellt damit Unternehmen, insbesondere hinsichtlich ihrer Aussagen zu Standardvertragsklauseln (SCCs), beim Datentransfer an Drittstaaten vor weitaus größere Herausforderungen als die „Schrems I“-Entscheidung aus dem Jahr 2015 zum „Safe Harbour“-Abkommen (EuGH C-362/14, Urteil vom 06.10.2015). Die Entscheidung des EuGH zum Privacy-Shield ist aus juristischer Sicht nicht überraschend, da dem „Privacy Shield“-Abkommen schon lange ein ähnliches Ende wie seinem Vorgänger, dem „Safe Harbour“-Abkommen, vorhergesagt wurde.
Darüber hinaus hat der EuGH nunmehr auch entschieden, dass SCCs, die nach der „Schrems I“-Entscheidung von einer Vielzahl von Unternehmen im Drittstaatendatentransfer eingesetzt wurden, zukünftig nicht mehr pauschal ein angemessenes Schutzniveau sicherstellen. Insoweit wurde die zu begrüßende, grundsätzliche Bestätigung der SCCs durch den EuGH dahingehend eingeschränkt, dass Unternehmen bei Nutzung von SCCs sicherstellen müssen, dass im empfangenden Drittstaat ein angemessenes Datenschutzniveau besteht, insbesondere mit Blick auf möglichen Rechtsschutz Betroffener gegen Eingriffe staatlicher Behörden. Hintergrund dieser Entscheidung waren die Überwachungsaktivitäten und -programme der US-Behörden, die zum einen nicht auf das erforderliche Maß beschränkt seien und zum anderen für EU-Bürger im Gegensatz zu US-Bürgern in den USA keine Möglichkeit vorsähen, ihre Rechte gegenüber US-Behörden geltend zu machen, was einen Verstoß gegen EU-Recht darstelle.

Auswirkung auf Unternehmen
Aus Unternehmenssicht bedeutet dies, dass internationale Datentransfers zwar weiterhin möglich bleiben, jedoch mit Blick auf Datentransfers an Drittstaaten ein hohes Maß an Rechtsunsicherheit und das potentielle Risiko der Rechtswidrigkeit solcher Transfers besteht. Der neuen Entscheidung des EuGH folgend, ist für jeden Datentransfer an Drittstaaten eine Einzelfallprüfung erforderlich, um sicherzustellen, dass im datenempfangenden Land ein angemessenes Datenschutzniveau vorliegt. Neben Datenübermittlungen in die USA bedürfen sicherlich auch Übermittlungen an andere Drittstaaten, wie etwa China oder Russland, einer dezidierten Prüfung, ob und gegebenenfalls unter welchen Voraussetzungen ein angemessenes Datenschutzniveau sichergestellt werden kann.

Abwarten ist keine Option!
Auf politischer Ebene ist man bereits auf der Suche nach Lösungen. So hat die Europäische Kommission schon am 16.07.2020 bestätigt, an aktualisierten SCCs sowie an einer politischen Lösung mit den USA zu arbeiten. Jedoch sollten Unternehmen sich nicht zurücklehnen und auf neue SCCs oder eine Nachbesserung des Privacy-Shields warten. Auch eine zeitnahe Anpassung der US-Überwachungsgesetze, die wesentlich für die Entscheidung des EuGH waren, erscheint unwahrscheinlich. Vielmehr sollten Unternehmen gerade mit Blick auf die jüngsten Aussagen der Aufsichtsbehörden (Datenschutzkonferenz, Positionspapier), aber auch im Sinne einer Good Governance, das Hauptaugenmerk darauf legen, für sämtliche Datentransfers an Drittstatten anhand bereits heute zur Verfügung stehender Mittel risikominimierende Maßnahmen umzusetzen. Unternehmen sollten auch etwaig genutzte Binding Corporate Rules (BCRs) hinterfragen, denn diese sind wie SCCs nur für die jeweiligen Vertragsparteien bindend und nicht für staatliche Stellen, so dass auch bei BCR-gestützten Drittstaatendatentransfers die Angemessenheit des Schutzniveaus durch zusätzliche Maßnahmen sicherzustellen ist.

Was können Unternehmen tun?
Für Unternehmen kommen in Ergänzung zu SCCs zur Herstellung eines – mit Blick auf die übermittelten Datenkategorien – angemessenen Schutzniveaus verschiedene risikominimierende Maßnahmen in Frage, die je nach Einzelfall einen Datentransfer, etwa in einen Drittstaat wie die USA, legitimieren können. Die damit verbundene Einzelfallprüfung ist aus Gründen der Nachweisbarkeit im Rahmen eines „Risk-Assessments“ zu dokumentieren und kann beispielsweise folgende Maßnahmen umfassen:

  • Auswertung des Verzeichnisses für Verarbeitungstätigkeiten und Erstellung einer Übersicht zu Datenübermittlungen in Drittstaaten. Hierbei sollten auch Datenübermittlungen zu Konzerngesellschaften in Drittstaaten umfasst sein.
  • Erstellung eines Fragebogens für Dienstleister in Drittstaaten, um auf Grundlage der Antworten eine erste Risikobewertung durchzuführen.
  • Prüfung, inwieweit der Datenempfänger Eingriffsbefugnissen von Sicherheitsbehörden (etwa in den USA) unterliegt.
  • Sofern es sich um Hostingdienstleistungen handelt, können Daten mit einer unternehmenseigenen Verschlüsselung versehen werden. Dieses Vorgehen versagt jedoch, sobald neben dem reinen Hosting von Daten weitere Verarbeitungen durch einen Dienstleister, wie etwa Support, erforderlich werden.
  • Im Sinne der Datenminimierung gemäß Art. 5 DSGVO können Daten pseudonymisiert werden, so dass diese ohne entsprechendes Zusatzwissen einzelnen natürlichen Personen nicht zugeordnet werden können.
  • Die technische Lösung der Anonymisierung von Daten vor deren Übermittlung würde zwar zu einem rechtskonformen Datentransfer führen, da die DSGVO nicht mehr anwendbar wäre. Diese Maßnahme scheidet jedoch in den meisten Fällen rein faktisch aus, da dadurch die durch den Dienstleister zu erbringende und für das datenexportierende Unternehmen erforderliche Datenverarbeitung nicht mehr möglich wird.
  • Erweiterung bestehender SCCs um zusätzliche Garantien oder Maßnahmen, insbesondere zum Umgang mit Anfragen von Sicherheitsbehörden, um zumindest als Ad-hoc-Maßnahme etwaige Bedenken hinsichtlich der
  • Angemessenheit des Datenschutzniveaus im Empfängerland zu reduzieren.
  • Einzelne Datenübermittlungen könnten sich auch auf einen der Ausnahmefälle nach Art. 49 DSGVO stützen lassen. Allerdings sind die dort aufgelisteten Ausnahmefälle in aller Regel eng auszulegen.

Daneben können Unternehmen weitere Maßnahmen zur Risikominimierung vornehmen, wie etwa:
Überprüfung von bestehenden Datenschutzhinweisen (nicht nur auf Websites) dahingehend, ob auf den Privacy-Shield verwiesen wird, und Implementierung geeigneter Alternativen sowie Anpassung der entsprechenden Hinweise.
Nutzung von Cloudlösungen mit Hosting und Support aus dem europäischen Wirtschaftsraum oder aus Drittstaaten mit einem angemessenen Datenschutzniveau. Dies haben bereits einige US-Konzerne erkannt und werben mit entsprechenden Angeboten.

Fazit
Die Entscheidung des EuGH war — insbesondere aufgrund der ergänzenden Äußerungen zu mangelnden Rechtsschutzmöglichkeiten bei Datenzugriffen durch US-Behörden — ein Paukenschlag. Da kurzfristig keine umfassende und absolut rechtssichere Lösung absehbar ist, sollten Unternehmen strukturiert Drittstaatendatenübermittlungen nach Zielland clustern und für Risikozielländer wie etwa die USA, China und Russland im Rahmen eines dokumentierten Risk-Assessments bewerten. Sofern erforderlich, sind dann risikominimierende Maßnahmen zu ergreifen, zumal im Gegensatz zur „Safe Harbour“-Entscheidung diesmal von Seiten der Datenschutzaufsichtsbehörden keine Schonfrist zugestanden wird. Es sollte auch auf aktuelle Stellungnahmen des Europäischen Datenschutzausschusses (EDSA) oder deutscher (etwa in Berlin, Hamburg, Rheinland-Pfalz, Thüringen) beziehungsweise sonstiger europäischer Datenschutzbehörden geachtet werden, um mit den eigenen Maßnahmen die Erwartungshaltung der Aufsichtsbehörden besser adressieren zu können. ß

Hinweis der Redaktion: Der Beitrag gibt ausschließlich die persönlichen Ansichten des Autors wieder. (tw)

Giovanni.Brugugnone@fmc-ag.com

Aktuelle Beiträge