202017.07.

EuGH erklärt EU-US Privacy Shield für ungültig

von RA Sebastian Schwiering Tags: Cloud Act, Drittland, DSGVO, Privacy-Shield, SSC

Wie schon beim Safe-Harbor Abkommen (siehe dazu unseren Beitrag vom 06.10.2015, EuGH erklärt Safe-Harbor Abkommen für ungültig) hat der Europäische Gerichtshof am gestrigen Tag auch das Nachfolge Abkommen zwischen der EU und den USA aus dem Jahre 2016, das Privacy Shield, für ungültig erklärt (EuGH, Urteil vom 16.07.2020, C‑311/18).

Begründet wurde die Entscheidung mit den in den USA geltenden Gesetzen ([Section] 702 des [Foreign Intelligence Surveillance Act (FISA), Cloud Act), die Sicherheitsbehörden weitreichende Befugnisse zur Überwachung ausländischer Kommunikation einräumen.

Damit entfällt eine der wichtigsten Rechtsgrundlagen für die Übermittlung von personenbezogener Daten aus der EU in die USA, die von sehr vielen US-Anbietern bislang genutzt wurde. Eine Folge des Urteils wird sein, dass Unternehmen außerhalb der EU ein deutlich höheres Datenschutzniveau als bislang anbieten und Zugriffe von nationalen Behörden/Sicherheitsbehörden beschränkt werden müssen.

Übermittlungen von Daten in die USA, die bisher auf dem Privacy Shield beruhten, sind demnach ab sofort unzulässig und theoretisch auch bußgeldbewehrt.

Erste Datenschutzaufsichtsbehörde haben sich schon dahin gehend geäußert, dass es eine Karenzfrist nicht geben werde (vgl. https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/).

Gibt es eine Übergangsfrist?
Nein, Datenübermittlungen auf Grundlage des EU-U.S.-Datenschutzschilds sind seit dem Urteilspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sieht die DS-GVO nicht vor.

Andere Aufsichtsbehörden (Berlin) raten beim Einsatz von Cloud Lösungen schon aktiv zum Wechsel zu EU-Anbietern, (vgl. https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf):

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer
Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten.
Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten –
personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu
Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem
Datenschutzniveau zu wechseln

In aller Kürze kann festgehalten werden: In Zukunft werden EU-Unternehmen von Dienstleistern in den USA wohl eine ausdrückliche Bestätigung verlangen müssen, dass diese Dienstleister die Daten nicht beliebig weiterverarbeiten bzw. nicht ohne weiteres an deren lokale Behörden/Sicherheitsbehörden weitergeben. Dabei werden pauschale Bestätigung aller Voraussicht nach nicht ausreichen.

Schließlich stellen in manchen Fällen auch die Einholung der Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DS-GVO bzw. andere in Art. 49 DS-GVO genannten Instrumente, geeignete Maßnahmen dar, um eine Übermittlung in die USA zu rechtfertigen. Anzumerken hinsichtlich einer etwaigen Einwilligung ist, dass diese die Risiken der Übermittlung in die USA explizit nennen und insofern auch bestimmt genug sein muss.