Editorial : EuGH kippt EU-US Privacy Shield : aus der RDV 4/2020, Seite 167
Erfordernisse der internationaler Wirtschaft und EU-Freiheitsrechte im Konflikt
Zum zweiten Mal war der österreichische Jurist Max Schrems vor dem EuGH sowohl gegenüber facebook als auch der EU-Kommission erfolgreich. Während er bereits 2015 die auf der Basis des zwischen der Kommission und den USA ausgehandelten „safe harbor“ Abkommens stattfindende Datenübermittlungen hatte scheitern lassen, erlitt nunmehr die mit der Bezeichnung „privacy shield“ nachfolgend getroffene Vereinbarung das gleiche Schicksal. Mit Urteil vom 16.07.2020 – Az: C-311/18) hat der Europäische Gerichtshof den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield für ungültig erklärt. Jedoch bleiben Standardverträge dagegen weiter als Konstrukt für Datenübermittlungen gültig, müssen aber ggf. drittländerspezifisch angepasst werden.
Grund für die Ungültigkeit des EU-US Privacy Shields sind unverhältnismäßige Zugriffe auf personenbezogene Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden, die nicht in Einklang mit den Grundrechten der EU-Bürger zu bringen seien. EUBürgern stünden zudem keine ausreichenden Rechtsschutzmöglichkeiten vor den US-Gerichten zur Verfügung. Auch die im Privacy Shield eingerichtete Ombudsperson könne nicht Rechtsverletzungen entgegenwirken.
Die EU-Standardvertragsklauseln hingegen bleiben nach der Entscheidung des EuGH gültig, da ihre Schutzmechanismen erweiterbar sind und daher von den Verantwortlichen der jeweiligen Situation im Drittland über eine Einzelfallprüfung angepasst werden können. Die Behörden müssen einen Datentransfer aussetzen, wenn die Zusicherungen der Standardvertragsklauseln im Drittland nicht eingehalten werden könnten.
Fazit
Verantwortliche oder Auftragsverarbeiter können ab dem 16.07.2020 keine personenbezogenen Daten mehr auf Basis des EU-US Privacy Shields an Empfänger in den Vereinigten Staaten übermitteln. Bei den EU-Standardvertragsklauseln haben Verantwortliche bei jedem Datenexport in ein Drittland zu untersuchen, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten.
Tritt mit der nun zum zweiten Mal für die Datenverarbeitung zwischen der EU und den USA weggefallenen Rechtsgrundlage zumindest befristeter Stillstand beim Datentransfer ein? Wohl kaum. Zu recht fordert die GDD: Sanktionsmaßnahmen von EU-Aufsichtsbehörden bezüglich der Datenexporte in Drittländer, insbesondere die USA, sind vorerst auszusetzen und den Unternehmen ist angemessene Zeit und auch Hilfestellung zur Anpassung an die neue Rechtssituation zu geben. Kaum zu hoffen ist aber, dass neue Verhandlungen zwischen der Europäischen Kommission und den Vereinigten Staaten zeitnah und mit einem den Anforderungen des EuGH konformen Ergebnis aufgenommen werden. Nach Kommissionsvizepräsidentin Věra Jourová kann die EU einerseits die Massenüberwachung durch die USA aber andererseits auch den Datenfluss in die USA nicht stoppen. Wer bislang allein auf Basis des „Privacy Shields“ Daten verarbeitet hat, muss nun zumindest auf die Standardvertragsklauseln umstellen – „andernfalls droht ein Daten-Chaos“ so Bitkom.
Prof. Peter Gola Mitherausgeber und federführender Schrift leiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.