EuGH EU US Privacy Shield ist ungültig Datenübermittlung in die USA quo vadis?
Mit dem aktuellen EuGH-Urteil vom 16.07.2020 (Schrems vs. Facebook) steht nunmehr fest, dass sich Unternehmen bei der Übermittlung personenbezogener Daten in die USA nicht mehr auf den Angemessenheitsschluss der EU-Kommission zum EUUS-Privacy-Shield stützen können. Die USA wird nach wie vor als datenschutzrechtlich „unsicheres“ Drittland eingestuft.
Datenschutzrechtlich ist jede Übermittlung personenbezogener Daten in ein Drittland (Länder außerhalb der EU/EWR) nur zulässig, wenn die in Art. 44 ff. DS-GVO festgelegten Bedingungen einhalten werden. Danach war (bis zur Urteilsverkündung des o.g. Urteils) eine Datenübermittlung in die USA möglich, wenn das betreffende Unternehmen in der Liste der EU-US Privacy Shield „zertifizierten“ Unternehmen aufgenommen wurde und sich damit den im EU-US-Privacy Shield enthaltenen Bedingungen bzw. dem EU-Datenschutzniveau unterworfen hat. Eine Datenübermittlung in die USA ist weiterhin u.a. möglich über eine Einwilligung des Betroffenen, über eine von den Datenschutzbehörden genehmigte „verbindliche Unternehmensregelungen“ (Binding Corporate Rules) oder durch Einbeziehung der EU-Standardvertragsklauseln der EU-Kommission. Mit diesen „Instrumenten“ soll die Einhaltung der europäischen Datenschutzgrundsätze und Sicherheitsanforderungen für den Schutz personenbezogenen Daten auch außerhalb der EU/EWR gewährleistet werden.
Hintergrund des EuGH-Urteils ist eine Klage des Autors und Datenschutzaktivisten Maximilian Schrems, der sich gegen die Datenübermittlung auf der Grundlage des Angemessenheitsbeschlusses zum EU–US-Privacy Shield und der EU-Standardvertragsklauseln im Zusammenhang mit der Nutzung von Facebook wehrte. Er stellte in Frage, ob personenbezogene Daten der EU-Bürger in den USA bzw. auf Servern von US-Unternehmen sicher und dort datenschutzgerecht verarbeitet werden. Thematisiert wurde u.E. dabei vor allem, dass das jeweilige US-Unternehmen eine „Selbst“-Zertifizierung bzw. eine Eigenerklärung zur Einhaltung der Regelung der EU-Standardvertragsklauseln abgibt, was nicht generell überprüft wird. 2018 hatte bereits der irische High Court dem EuGH im Wege eines Vorabentscheidungsverfahren auch eine ganze Reihe von Fragen zur Sicherheit der Daten von EU-Bürgern in den USA vorgelegt.
In der gestrigen Entscheidung des EuGHs wird insoweit zunächst festgestellt, dass EU-Standardvertragsklauseln, auf die sich im konkreten Verfahren Facebook beruft, per se gültig sind. Da die europäische Tochtergesellschaft von Facebook ihren Sitz in Irland hat, ist nunmehr die irische Datenschutzbehörde in der Pflicht, die Übermittlung personenbezogener Daten in ein Drittland wie die USA auszusetzen oder zu verbieten, wenn die Standardvertragsklauseln nicht eingehalten werden. Nun bleibt abzuwarten, wie die irische Datenschutzbehörde auf die EuGH-Entscheidung reagiert. Zum EU-US-Privacy-Shield bzw. dem Angemessenheitsbeschluss der EU-Kommission wurde festgestellt, dass beides ungültig ist.
Damit können diese fortan nicht mehr als Rechtsgrundlage für die datenschutzkonforme Übermittlung personenbezogener Daten in die USA dienen.
In der Praxis wird diese EuGH-Entscheidung zum einen dazu führen, dass die Datenübermittlung im Rahmen einer vertraglichen Zusammenarbeit von Unternehmen mit Drittstaatenbezug, die i.d.R. über Binding Corporate Rules oder EU-Standardvertragsklauseln abgesichert ist, vermutlich im Visier der Prüfung durch nationale Datenschutzaufsichtsbehörden stehen wird. Im Wesentlichen hat die Entscheidung aber Konsequenzen für die Datenübermittlung in die USA bzw. an US-Unternehmen durch den Einsatz von Marketing-/Trackingtools wie Adobe Analytics, Google Analytics, oder beim Betrieb von Unternehmensseiten auf Twitter, Facebook und YouTube und dem Einsatz von Cloud-Diensten/Plattformen AWS, Microsoft und Apple, mit der in der Regel auch immer eine Datenübermittlung in die USA bzw. auf US-Server einhergeht.
Wir empfehlen Ihnen daher aus Compliance-Gründen, die Voraussetzungen der Datenübermittlung in die USA zu überprüfen, um Rechtsnachteile zu vermeiden (Ahndung des möglichen Datenschutzverstoßes durch Datenschutzaufsichtsbehörden oder Wettbewerber).
Dabei sollten Sie auf jeden Fall die auf Ihren Unternehmenswebseiten und Plattformen eingesetzten Marketingtools und Webtracker-Software sowie ihre Cloud-Dienste überprüfen. Der Einsatz von Tracking-/Marketing-Tools wäre ggf. über die (ohnehin notwendige) Einholung einer datenschutzrechtlichen Einwilligung des Seitenbesuchers für Werbe-Cookies unter transparenter Bezugnahme auf die Übermittlung der Daten in die USA rechtssicher zu implementieren.
Fazit:
Die Datenübermittlung in die USA bleibt unter bestimmten Voraussetzungen zulässig. Wir beraten Ihr Unternehmen gerne bei allen auftauchenden Fragen zur rechtskonformen Datenübermittlung personenbezogener in die USA (und anderer Drittstaaten).
Bei Fragen kommen Sie gerne auf uns zu!