EuGH kippt Privacy Shield: EU-Standardvertragsklauseln in nächster Runde
16.07.2020
[IITR – 16.7.20] Der Europäische Gerichtshof hat entschieden, dass der Durchführungsbeschluss der EU-Kommission vom 12. Juli 2016 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ungültig ist. Gleichzeitig hat die Prüfung des Beschlusses der EU-Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nichts ergeben, was seine Gültigkeit berühren könnte (Az.: C‑311/18, Volltext).
Kurzfristige Auswirkungen
Sollte ein europäisches Unternehmen personenbezogene Daten im Auftrag durch ein US-Unternehmen verarbeiten lassen (bspw. US-Cloud-Dienste eines (Mutter-)Unternehmens mit Sitz in den USA) ist sicherzustellen, dass mit diesem Unternehmen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abgeschlossen wurden. Der Datentransfer darf künftig nicht mehr auf eine etwaige Teilnahme des US-Unternehmens an dem “Privacy Shield” gestützt werden.
Mittelfristige Auswirkungen
Die Datenschutz-Aufsichtsbehörden werden künftig zu prüfen haben, ob EU-Standardvertragsklauseln für Datentransfers in spezifische Länder eingesetzt werden dürfen. Der Gerichtshof hat dazu ausgeführt:
“[Die] zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, [ist] verpflichtet (…), eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können (…).”
Insbesondere angesichts der Ausführungen des EuGH zu den Überwachungsmöglichkeiten der US-Behörden wird durch die Aufsichtsbehörden (und dann letztlich dem Europäischen Datenschutzausschuss) zu prüfen sein, ob mittelfristig speziell für die USA Standarddatenschutzklauseln noch Einsatz finden können.
Konsequenterweise müsste diese Diskussion dann auch über die Five Eyes-Staaten Australien, Kanada, Neuseeland und Großbritannien geführt werden (zumindest soweit kein spezifischer Angemessenheitsbeschluss vorliegt).
Und auch China dürfte über Überwachungsmöglichkeiten verfügen. So sind bereits erste Stimmen zu hören, dass die Aufsichtsbehörden jetzt ein Register mit Dritt-Staaten erstellen müssten, bei denen die Standarddatenschutzklauseln noch eingesetzt werden dürfen (Quelle).
Der EuGH selbst hat keine Entscheidungshoheit über die Geheimdienste der europäischen Mitgliedstaaten.
Erste Stimmen
Der BfDI wird sich bereits morgen mit seinen europäischen Kolleginnen und Kollegen abstimmen:
Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen
Damit liegt der Ball wieder bei der irischen Datenschutzbehörde, denn sie muss die Rechtsgrundlage prüfen, auf der Facebook Ireland die Daten aus der EU an die US-Mutter Facebook Inc. transferieren darf. Diese Behörde nimmt sich für solche Prüfungen bekanntlich viel Zeit. Nach dem Inkrafttreten der DSGVO vor über zwei Jahren hat die irische Datenschutzbehörde nicht eine einzige abschließende Entscheidung zu einer Beschwerde getroffen, die den Umgang der in Irland ansässigen europäischen Niederlassungen von US-Unternehmen mit personenebzogenen Daten europäischer Nutzer betrifft.
Helen Dixon, Commissioner Data Protection Commission Ireland:
So, while in terms of the points of principle in play, the Court has endorsed the DPC’s position, it has also ruled that the SCCs transfer mechanism used to transfer data to countries worldwide is, in principle, valid, although it is clear that, in practice, the application of the SCCs transfer mechanism to transfers of personal data to the United States is now questionable. This is an issue that will require further and careful examination, not least because assessments will need to be made on a case by case basis.
Wilbur Ross, U.S. Secretary of Commerce
“We have been and will remain in close contact with the European Commission and European Data Protection Board on this matter and hope to be able to limit the negative consequences to the $7.1 trillion transatlantic economic relationship that is so vital to our respective citizens, companies, and governments. Data flows are essential not just to tech companies—but to businesses of all sizes in every sector. As our economies continue their post-COVID-19 recovery, it is critical that companies—including the 5,300+ current Privacy Shield participants—be able to transfer data without interruption, consistent with the strong protections offered by Privacy Shield.”
Věra Jourová, Vizepräsidentin der EU-Kommission:
The Court of Justice declared the Privacy Shield decision invalid, but also confirmed that the standard contractual clauses remain a valid tool for the transfer of personal data to processors established in third countries. (…) We strongly believe that in the globalised world of today, it is essential to have a broad toolbox for international transfers while ensuring a high level of protection for personal data. We are not starting from scratch. On the contrary, the Commission has already been working intensively to ensure that this toolbox is fit for purpose, including the modernisation of the Standard Contractual Clauses.
Statement European Data Protection Board
While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.
Maja Smoltczyk, Berliner Beauftrage für Datenschutz und Informationsfreiheit
Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
Max Schrems, noyb.eu, FAQs zum Fall EuGH
Können EU/EWR-Unternehmen weiterhin die Verarbeitung personenbezogener Daten in die USA „auslagern“? In den meisten Fällen: Wahrscheinlich nicht. Die am häufigsten verwendeten US-Datenverarbeiter fallen auch unter US-Überwachungsgesetze wie FISA 702, die sie dazu verpflichten, personenbezogene Daten ohne angemessenen Schutz an die US-Regierung weiterzugeben. Die Übermittlung von Daten an Datenverarbeiter, die solchen Verpflichtungen unterliegen, verstößt gegen die DSGVO, wie der EuGH festgehalten hat.
Dr. Stefan Brink, Landesbeauftragter für Datenschutz in Baden-Württemberg
Ich halte die DSGVO für den richtigen Weg und fände es großartig, wenn andere Länder ihrem Vorbild folgen würden. Ich bin allerdings skeptisch, ob der EuGH nicht überschätzt, wie lang der europäische Hebel wirklich ist. Andere Länder lassen sich ungern in ihre Gesetzgebung hineinreden, und wenn wir den Datenaustausch konsequent unterbinden, wäre der Schaden auch für uns massiv.
Weiterführende Einordnung
Die unmittelbaren Folgen wurden in einer Reihe von Webinaren der IAPP besprochen. Unter den folgenden Links finden Sie die entsprechenden Aufnahmen:
- Schrems II: The Immediate Aftermath (Omer Tene, Vice President & Chief Knowledge Officer, IAPP; Caitlin Fennessy, Research Director, IAPP)
- The Schrems II Decision: The Day After (Caitlin Fennessy, IAPP Research Director und vormals Privacy Shield Director U.S. Department of Commerce; Max Schrems und Eduardo Ustaran, Hogan Lovells)
- The CJEU Decision Unpacked: DPC v Facebook Ireland, Schrems (Helen Dixon, Commissioner Data Protection Commission Ireland; Andrew Serwin, DLA Piper und Caitlin Fennessy, Research Director, IAPP)
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.