By Tobias Tretzmüller on Donnerstag, 10. September 2020
Category: Politik

Aufhebung des Privacy-Shield-Abkommens: Auswirkungen für die Praxis

Lieber ein Ende mit Schrecken, als ein Schrecken ohne Ende: Der EuGH hat mit Urteil vom 16.7.2020 in der Sache „Schrems II“ das umstrittene Privacy-Shield abkommen für die Übermittlung von Daten in die USA aufgehoben. Welche Auswirkung hat dies für die Praxis?

Wenn personenbezogene Daten aus der EU in ein Land außerhalb der EU („Drittland“) übermittelt werden, muss in diesem Drittland ein angemessener Schutz für die Daten gewährleistet sein. Ein Instrument, um diesen angemessenen Schutz zu gewährleisten sind Angemessenheitsbeschlüsse der EU-Kommission. Diese Angemessenheitsbeschlüsse attestieren einem bestimmten Drittland (zB Schweiz, Israel, Canada, Argentinien) ein ausreichendes Datenschutzniveau. Für den Daten-Exporteur bedeutet dies praktischer Weise, dass hinsichtlich des Drittlandtransfers[1] keine weiteren rechtlichen Aspekte beachtet werden mussten. Das Privacy-Shield-Abkommen stellte eine Variante eines solchen Angemessenheitsbeschlusses dar.

Warum wurde das Privacy-Shield-Abkommen aufgehoben?

Der EuGH kippte das Privacy-Shield-Abkommen zusammenfassend deshalb, weil die USA kein angemessenes Schutzniveau für die Daten gewährleistet ist. Dies vor allem aufgrund der weitgehenden Eingriffsmöglichkeiten der US-Geheimdienste.

Es ist allgemein bekannt, dass US-amerikanische Geheimdienste Anweisungen (sogenannte Gag Order) zur Offenlegung von Daten erteilen. Eine Gag Order verpflichtet das Unternehmen zur Verschwiegenheit über die Kooperation mit dem Geheimdienst. Wer sich nicht daran hält, muss mit ernstzunehmenden Konsequenzen (Geldstrafen und gegebenenfalls Haftstrafen) rechnen. Unter diesen Umständen ist es einem US-Unternehmen schlicht nicht möglich gegenüber seinem Vertragspartner einzuräumen, dass die nationalen Sicherheitsbehörden vorstellig geworden sind.

Ebenfalls wurde bemängelt, dass die US-amerikanischen-Datenschutz-Aufsichtsbehörden die Einhaltung des Datenschutzes nur formell überwachten, nicht jedoch materiell, also ob Datenschutz tatsächlich operativ „gelebt“ wird.

Was ist die Konsequenz der Aufhebung des Privacy-Shield-Abkommens?

Nüchtern betrachtet ist die Konsequenz, dass mit der Aufhebung des Privacy-Shield-Abkommens die Datenübermittlung aus der EU an die über 5000 zertifizierten US-Unternehmen mit einem Schlag rechtswidrig wurde.

Wie kann eine Datenübermittlung in die USA dennoch rechtskonform erfolgen?

Der EuGH räumte jedoch ein, dass die Datenübermittlung in die USA auf der Grundlage von Standarddatenschutzklauselnlegitimiert werden kann. Standardvertragsklauseln sind zwischen den Parteien abzuschließende Vertragswerke. Aktuell existieren drei verschiedene Varianten: Zwei für den Datentransfer zwischen Verantwortlichen („Controller to Controller“) und eines für den Datentransfer zwischen einem EU-Verantwortlichen und einem außereuropäischen Auftragsverarbeiter („Controller to Processor“).

Ist der Abschluss von Standardvertragsklauseln ausreichend?

Nein – dass ist (leider) nicht der Fall. Und hier setzt auch die praktische Kritik an der Entscheidung an.

Der EuGH ist der Ansicht, dass neben dem Abschluss der Standardvertragsklauseln weiters eine umfassende Prüfung erforderlich ist, in die sowohl die vertraglichen Verpflichtungen zwischen den Parteien als auch die drittstaatliche Rechtsordnung miteinzubeziehen ist.

Kommt ein Daten-Exporteur zu dem Ergebnis, dass die Standardvertragsklauseln für sich alleine kein ausreichendes Schutzniveau garantieren, sind „zusätzliche Maßnahmen“ zu ergreifen. Offen bleibt indes, was der EuGH unter dem Erfordernis zusätzlicher Maßnahmen versteht.

Für den Europäischen Datenschutzausschuss sei jeder Daten-Exporteuer grundsätzlich selbst in der Pflicht zu beurteilen, ob das betreffende Drittland eine Rechtsordnung habe, die den Schutz der übermittelten Daten sicherstellt.

Die Datenschutzaufsichtsbehörde in Berlin hat sich gar dahingehend positioniert, dass Datentransfers in die USA auch bei Abschluss Standardvertragsklauseln nicht als angemessen anzusehen sein.

Welche Möglichkeit gibt es abgesehen von Standarddatenschutzklauseln?

Unter Umständen können die in Art 49 DSGVO dezidiert genannten Ausnahmebestimmungen eine Datenübermittlung rechtfertigen. Diese Bestimmung sieht einige Sachverhalte vor, die einen Datentransfer auch ohne Vorliegen eines Angemessenheitsbeschlusses oder des Abschlusses von Standarddatenschutzklauseln ermöglichen. Praktisch wichtige Ausnahmen sind dabei:

- Einwilligung: Die betroffene Person ist mit dem Datentransfer in das Drittland einverstanden;

- Vertragserfüllung: Die Datenübermittlung ist zur Erfüllung von vertraglichen Verpflichtungen unmittelbar zwischen den Vertragsparteien erforderlich, etwa wenn ein EU-Bürger direkt Verträge mit US-Unternehmen abschließt;

- Vertrag zugunsten Dritter: Außerdem ist eine Datenübermittlung gerechtfertigt, wenn die Übermittlung zum Abschluss oder der Erfüllung eines Vertrages erfolgt, der im Interesse der betroffenen Personen von dem Verantwortlichen mit der anderen Vertragspartei abgeschlossen wird. Ein Beispiel könnte sein, wenn der Arbeitgeber der betroffenen Person für diese ein Hotel in den USA bucht.

Den Guidelines des Europäischen Datenausschusses ist jedoch zu entnehmen, dass diese Ausnahmen restriktiv auszulegen sind.

Wie ist dieses Urteil zu würdigen?

Dieses Urteil mag zwar eine rechtliche Rechtfertigung haben, geht jedoch völlig an der Praxis vorbei. Wie soll ein KMU überprüfen, ob „zusätzliche Maßnahmen“ erforderlich sind oder nicht? Wie sollen diese „zusätzlichen Maßnahmen“ letztlich aussehen? Die Praxis zeigt, dass vor allem Start-Ups weder die finanziellen Mittel noch Muße haben, derartig „akademische“ Fragen zu beantworten. Weiters trägt die Entscheidung zu einer Uneinheitlichkeit des Datenschutzes bei, da die Beantwortungen dieser Fragen objektiv nicht validiert werden können. Damit wird eine Hauptintention der DSGVO, nämlich der Harmonisierungsgedanke des Datenschutzes, konterkariert.

Die Aufhebung des Privacy-Shield-Abkommen hat daher kurz- und mittelfristig zu einer eheblichen Rechtsunsicherheit beigetragen. Langfristig ist die Aufhebung jedoch insofern zu begrüßen, da dies eine Stärkung europäischer Datenverarbeiter – aufgrund eines Rückzugs aus dem US-Markt – begünstigen dürfte.


Dieser Artikel ist am 9. September 2020 erschienen unter https://www.digital-recht.at/aufhebung-des-privacy-shield-abkommens-auswirkungen-fuer-die-praxis/