Hintergrund:

Die DSGVO erlaubt die Übermittlung personenbezogener Daten in Drittstaaten nur unter gewissen Voraussetzungen. In Betracht kommen vor allem Angemessenheitsbeschlüsse der EU (Beschluss, dass ein adäquates Datenschutzniveau gewährleistet ist), sog. „Binding Corporate Rules“ sowie Standardvertragsklauseln, mit denen sich die beteiligten Unternehmen in Drittstaaten einem der DSGVO entsprechenden Schutzniveau unterwerfen. Die EU und die USA schlossen im Jahr 2016 das „Privacy Shield Abkommen“ ab, in dem der darin vorgesehene Schutz der personenbezogenen Daten mit Beschluss der EU für angemessen erklärt wurde. In den letzten Jahren erhielten zahlreiche US-Unternehmen – unter der Voraussetzung der Einhaltung entsprechender Vorgaben – eine Privacy Shield Zertifizierung und konnten ihren Datentransfer von der EU in die USA ohne Genehmigung vornehmen.

Diese Privilegierung wurde nun vom EuGH im Verfahren Max Schrems gegen Facebook für ungültig erklärt, insbesondere da (i) die amerikanischen Behörden unbeschränkt auf die in die USA übermittelten Daten zugreifen können ohne dass die Verhältnismäßigkeit dieses Zugriffs überprüft werden kann und (ii) dem Erfordernis des effektiven Rechtsschutzes nicht in angemessener Weise entsprochen werden kann.

Potenziell betroffen von diesem EuGH-Urteil sind alle Unternehmen, die personenbezogene Daten (z.B. von Kunden, Mitarbeitern oder Nutzern) in die USA übermitteln sowie alle Unternehmen, welche die Verarbeitung personenbezogener Daten in den USA in Auftrag gegeben haben, wie etwa bei der Inanspruchnahme amerikanischer Cloud-Dienste. Die Zulässigkeit des privaten Datentransfers bleibt aber unberührt. Privatpersonen können daher weiterhin mit US-Unternehmen im Online-Handel Transaktionen abschließen und deren (Streaming-)Services oder E-Mail-Dienste in Anspruch nehmen. Da die DSGVO nur auf die Verarbeitung personenbezogener Daten anwendbar ist, unterliegt die Übermittlung nicht-personenbezogener Daten in Staaten außerhalb der EU nach wie vor keinen datenschutzrechtlichen Schranken.

In aller Kürze:

In einer – mit Spannung erwarteten – Entscheidung vom 16. Juli 2020 erklärte der EuGH den Privacy Shield-Beschluss 2016/1250 für ungültig. Über 5000 US-Unternehmen (darunter auch die großen Digitalkonzerne) stützten ihre Übermittlung personenbezogener (Nutzer-)Daten zwischen der EU und den USA bislang auf das Privacy Shield Abkommen. Betroffene Unternehmen sollten nun umgehend die zur Verfügung stehenden Alternativen evaluieren und ergreifen, um das Risiko hoher Geldstrafen zu vermeiden. Dem EuGH-Urteil ist darüber hinaus noch eine weitere praxisrelevante Feststellung zu entnehmen: Standardvertragsklauseln – eine Alternative zur Privacy Shield Zertifizierung – entsprechen grundsätzlich den Anforderungen der DSGVO.

Schlussfolgerung:

Unternehmen sind nun angehalten, zügig zu überprüfen, inwieweit sie selbst (als „Verantwortlicher“) oder andere Unternehmen in ihrem Auftrag (als „Auftragsverarbeiter“) Daten im Rahmen des Privacy Shields verarbeiten, da dies nunmehr keine taugliche Rechtsgrundlage bildet. Sollte dies zutreffen, sind umgehend entsprechende Alternativen zu prüfen und umzusetzen. Im Regelfall empfiehlt sich die – vom EuGH in diesem Urteil ausdrücklich für DSGVO-konform erklärte – Verwendung von Standardvertragsklauseln, weil dies im Vergleich zu den Alternativen am schnellsten umgesetzt werden kann. Jedoch birgt auch diese Variante ein gewisses Risiko: Ein Datentransfer auf Basis der Standardvertragsklauseln kann von den Datenschutzbehörden für unzulässig erklärt werden, wenn etwa festgestellt wird, dass die Standarddatenschutzklauseln im jeweiligen Land nicht eingehalten werden oder nicht eingehalten werden können und die personenbezogenen Daten auch sonst nicht durch andere Maßnahmen geschützt werden können. Der Datenexporteur und der Übermittlungsempfänger müssen vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werden kann.

Wir unterstützen Sie gerne bei der Evaluierung und Umsetzung aller notwendigen Schritte!

ANSPRECHPARTNER

Karin Bruchbacher

Mag. Karin Bruchbacher 
Counsel

 

Stefan Niederstrasser

Mag. Stefan Niederstrasser
Rechtsanwaltsanwärter