21. Juli 2020
Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) ein neues Grundsatzurteil zur Datenübermittlung in die USA getroffen.
In der so genannten „Privacy Shield“-Entscheidung erklärt der EuGH eine Vereinbarung zwischen der EU und den USA für unwirksam, wonach Datenübermittlungen in die USA durch Unternehmen auf der Basis europäischer Standardvertragsklauseln grundsätzlich zulässig sind.
Bereits die Vorgängerregelung („Safe-Harbor-Regelung“) hatte der EuGH im Jahr 2015 gekippt. Daraufhin handelten die EU mit den USA ein Abkommen („Privacy Shield“) aus, wonach in den USA mehr Sicherungen für personenbezogene Daten eingerichtet werden mussten.
Auf dieses Abkommen konnten sich Unternehmen in Europa – im konkreten Fall Facebook in Irland – berufen, wenn sie Daten in die USA übermittelten.
Der EuGH sieht nun jedoch auch dieses „Privacy Shield“-Abkommen als unzureichend an. Insbesondere erklärt er sein Urteil damit, dass in den USA nicht das gleiche Datenschutzniveau wie in Europa besteht. Dies aber wäre nach der Datenschutzgrundverordnung (DSGVO), die seit Mai 2018 in der EU einheitlich den Datenschutz vorschreibt, für eine Datenübermittlung ins Ausland erforderlich.
Insbesondere seien Datenüberwachungen in den USA im Interesse der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des US-amerikanischen Rechts ohne ausreichende Einschränkung realisierbar. Auch die Möglichkeit von Bürgern, gegen eine rechtswidrige Datenverwendung vorzugehen, sei in den USA nicht in angemessenem Umfang gegeben.
Zu klären hatte der EuGH außerdem die Frage, ob es ausreicht, wenn ein US-amerikanisches Unternehmen dem europäischen Vertragspartner vertraglich die Beachtung des europäischen Datenschutzniveaus in den USA zusichert. Hier meinten die Richter, dass die europäischen Datenschutzbehörden genau hinschauen müssten: Wenn das ausländische Datenschutzniveau trotz der vertraglichen Zusage gesetzliche Hintertüren lasse, müssten die Datenschutzbehörden in Europa auch solche vertraglichen Vereinbarungen untersagen.
Unmittelbar hat das EuGH-Urteil vom 16.07.2020 zur Folge, dass die nationalen Datenschutzbehörden uneingeschränkt überprüfen können und müssen, ob die jeweilige Übermittlung personenbezogener Daten in die USA rechtmäßig ist.
Vor allem haben die Datenschutzbehörden die Verträge zwischen Firmen dahingehend zu prüfen, ob sich aus ihnen ein angemessenes Datenschutzniveau ergibt. Solange Überwachungsgesetze aus den Vereinigten Staaten derartige Vertragszusicherungen aushebeln können, wird die Datenübermittlung im Zweifel rechtswidrig sein.
Die EU-Kommission hat angekündigt, dass die Standardvertragsklauseln für Datenübermittlungen in die USA modernisiert werden sollen. Ob dies allgemein als Rechtfertigung für Datenübermittlungen in die USA ausreichen wird, erscheint zweifelhaft. Hierzu müsste auch das US-amerikanische Datenschutzrecht umfassend geändert werden, was nicht zu erwarten ist.
Mittelfristig wird weiterhin politisches Einwirken auf die USA erforderlich sein, um den dortigen Datenschutz zu verbessern, bevor standardisiert personenbezogene Daten wieder dorthin übermittelt werden können.
Die Bundesdatenschutzbeauftragte Ulrich Kelber hat in einer ersten Reaktion bereits erklärt, dass er sich mit den europäischen Kollegen abstimmen wird, um nun unzulässige Datentransfers in die USA zu unterbinden.
Falls personenbezogene Daten ohne ausreichende Rechtfertigung in die USA übermittelt werden, handelt es sich nach der DSGVO um eine Ordnungswidrigkeit, die mit einem Bußgeld in Höhe von bis zu 2 Mio. € oder 4 % des weltweit erwirtschafteten Jahresumsatzes beim beschuldigten Unternehmen geahndet werden kann.
Betroffene Unternehmen, die personenbezogene Daten bislang in die USA transferiert haben, müssen sich auf einige Änderungen ihrer Praxis einstellen:
In jedem Fall sollten betroffene Unternehmen sowie deren betriebliche Datenschutzbeauftragte umgehend prüfen, welche individuellen Konsequenzen sie auf Grund des EuGH-Urteils in ihrem Unternehmen ziehen müssen.
