EuGH kippt „Privacy Shield“ – Datenübertragung in die USA unzulässig

Mit Urteil vom 16.07.2020 hat der Europäische Gerichtshof das Privacy-Shield-Abkommen zwischen der EU und den USA für nichtig erklärt. Viele Datenübertragungen in die USA wurden durch dieses Abkommen gerechtfertigt und müssen unverzüglich eingestellt werden, wenn keine alternative Lösung angeboten wird. Andernfalls drohen Bußgelder und Schadensersatzansprüche.

Rechtliche Ausgangslage

Die datenschutzrechtliche Zulässigkeit einer Datenübermittlung ins EU-Ausland wird in zwei Schritten geprüft: 

• Ist die Datenverarbeitung an sich zulässig (z. B. Auftragsdatenverarbeitung)?

• Besteht in dem Drittland ein angemessenes Datenschutzniveau?

Nachdem also zunächst wie üblich zu prüfen ist, ob die Datenverarbeitung an sich durch das ausländische Unternehmen nach den europäischen Datenschutzvorgaben zulässig ist (z. B. aufgrund Vertragserfüllung oder Einwilligung), ist danach zu fragen, ob das Drittland ein angemessenes Datenschutzniveau besitzt, um die rechtmäßige Datenverarbeitung wie in der Europäischen Union zu gewährleisten.

In folgenden vier Fällen wird davon ausgegangen, dass in dem Drittland ein angemessenes Datenschutzniveau eingehalten wird: 

• Angemessenheitsbeschluss der EU-Kommission: Ein angemessenes Datenschutzniveau ist derzeit für Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz und Uruguay gegeben. Zu Südkorea soll zeitnah ein entsprechender Beschluss gefasst werden. Auch die USA fielen bisher unter einen Angemessenheitsbeschluss, allerdings unter der Voraussetzung, dass das datenverarbeitende Unternehmen in den USA in ein Register eingetragen wurde (siehe unten). 

• Verwendung von Standarddatenschutzklauseln: Durch unveränderte Verwendung von sogenannten Standarddatenschutzklauseln, die von der EU-Kommission oder von Aufsichtsbehörden vorgegeben werden, kann ein Vertrag zwischen dem Datenübermittler und dem empfangenden Unternehmen ein ausreichendes Datenschutzniveau im Einzelfall garantieren. Die Verpflichtungen sind jedoch sehr weitgehend.

• Binding Corporate Rules: Intern verpflichtende Regelungen gewährleisten ebenfalls ein ausreichendes Datenschutzniveau, wenn sie seitens der zuständigen Aufsichtsbehörde in einem aufwendigen Verfahren genehmigt wurden. Der Aufwand für kleine und mittelständische Unternehmen im Rahmen dieser Maßnahme dürfte jedoch kaum rentabel sein.

• Zertifizierungen: Gesetzlich vorgesehen ist auch eine Zertifizierung des Datenschutzniveaus des Datenempfängers im Rahmen des Übertragungsprozesses. Geeignete Prüfverfahren und ‑stellen befinden sich jedoch derzeit noch in der Entwicklungsphase.

Ende der Rechtfertigung über das Privacy-Shield-Abkommen

Für einen Datentransfer in die USA fingierte das Privacy-Shield-Abkommen als Nachfolger des Safe-Harbor-Abkommens die Angemessenheit des Datenschutzniveaus in den USA, soweit sich das verarbeitende amerikanische Unternehmen entsprechend registrieren hat lassen (vgl. www.privacyshield.gov/list).

Nach dem Urteil des EuGH vom 16.07.2020, der im vorliegenden Fall unzureichende datenschutzrechtliche Garantien gesehen hat, kann das Abkommen nun nicht mehr als Rechtfertigung des angemessenen Datenschutzniveaus herangezogen werden.

Anpassung des Einwilligungs-Banners

Daher muss die Cookie-Einwilligung so ausgestaltet werden, dass der Nutzer umfassend über die Folgen seiner Einwilligung informiert wird, er aber auch aktiv und gesondert jeder Analyse- oder Marketing-Maßnahme zustimmen muss. Eine Vorauswahl oder eine einseitige, farbige Hervorhebung der Einwilligungsmöglichkeit dürfte daher rechtswidrig sein.

In der Konsequenz muss die Website so programmiert sein, dass Cookies erst „gesetzt“ werden, nachdem die jeweilige Einwilligung erteilt wurde. Dies gilt nicht für funktionsnotwendige Cookies. Außerdem muss ein Widerruf der Einwilligung möglich sein. Einige IT-Hersteller bieten bereits gut verwendbare Systeme an.

Unabdingbar ist daneben das Einfügen einer umfassenden Datenschutzerklärung, da der Website-Betreiber beim Betrieb einer Website einer ständigen Informationspflicht unterliegt.

Folgen für die Praxis

Datenverarbeitungen mit Bezug zu den USA, insbesondere Auftragsverarbeitungen, können nicht länger auf den Angemessenheitsbeschluss der EU in Form des Privacy-Shield-Abkommens gestützt werden. 

Bisher war das Privacy-Shield-Abkommen in den allermeisten Fällen Grundlage für die Übertragung von personenbezogenen Daten in die USA. Nachdem der EuGH dies nun für unzureichend erklärt hat, besteht daher in vielen Fällen Handlungsbedarf. 

Die datenverarbeitenden Unternehmen in den USA können sich jetzt nur noch auf die verbleibenden drei Möglichkeiten zur Gewährleistung eines angemessenen Datenschutzniveaus  stützen: Entweder muss ein Auftragsdatenverarbeitungsvertrag mit Standarddatenschutzklauseln geschlossen werden, es müssen genehmigte Binding Corporate Rules vorliegen oder eine gesetzlich vorgeschriebene Zertifizierung muss durchlaufen werden. In der Praxis dürfte allerdings nur die Verwendung von Standarddatenschutzklauseln mit vertretbarem Aufwand umsetzbar sein. 

Werden diese Vorgaben nicht eingehalten, ist die Datenübertragung rechtswidrig und kann zu Bußgeldern oder Schadensersatzansprüchen führen. Es ist zu erwarten, dass ausländische IT-Unternehmen kurzfristig Datenverarbeitungen über Niederlassungen in Europa steuern.

Empfehlung für die Praxis

Unternehmensleitungen sollten prüfen, ob sie personenbezogene Daten im EU-Ausland verarbeiten bzw. verarbeiten lassen, so wie dies z. B. häufig bei Cloud-Lösungen der Fall ist. Anschließend sollte sichergestellt werden, dass auch nach Wegfall des Privacy-Shield-Abkommens die datenschutzrechtlichen Vorgaben eingehalten werden. In vielen Fällen wird der Abschluss eines rechtskonformen Auftragsverarbeitungsvertrages mit dem jeweiligen amerikanischen Unternehmen erforderlich sein.

Gerne beraten wir Sie zu den Auswirkungen des Wegfalls des Privacy-Shield-Abkommens für Ihr Unternehmen und stellen Ihnen rechtssichere Verträge für Auftragsdatenverarbeitungsvorgänge zur Verfügung. Sprechen Sie uns gerne an.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189