Datenschutz: Privacy Shield ermöglicht keinen Datentransfer in die USA
Die Übermittlung personenbezogener Daten an Unternehmen in den USA kann nicht weiter auf eine Privacy Shield-Zertifizierung der Datenempfänger gestützt werden. Nach dem Europäischen Gerichtshof (EuGH, Urt. v. 16.07.2020 - Rs. C-311/18) ist das Datenschutzabkommen als Rechtsgrundlage für einen Drittstaatentransfer unwirksam.
Hintergrund
Der Privacy Shield basiert auf einem Beschluss der EU-Kommission (2016/1250), der gefasst wurde, nachdem im Oktober 2015 der EuGH bereits das sog. Safe Harbor-Abkommen zu Fall gebracht hatte (Urt. v. 06.10.2015 - Rs. C-362/14).
Hintergrund ist, dass personenbezogene Daten nur in einen Drittstaat verbracht werden dürfen, wenn dort ein angemessenes Datenschutzniveau herrscht. Für einige Länder (z.B. die Schweiz, Israel, zuletzt Japan) hat die EU-Kommission dies mittels sog. Angemessenheitsbeschlüsse verbindlich festgestellt, so dass bei Datentransfers dorthin nichts weiter zu beachten ist als bei einem entsprechenden Sachverhalt innerhalb der EU. Für die USA ist dies nun (wieder) nicht mehr der Fall.
Über 4.000 US-Unternehmen hatten sich unter dem Privacy Shield zertifizieren lassen, um es Konzernunternehmen oder Geschäftspartnern zu ermöglichen, Arbeitnehmer- oder Kundendaten an sie zu übermitteln. Da allerdings der Zugriff und die Überwachung durch US-Nachrichtendienste auf diese Daten zu weitgehend und intransparent erfolgten und die Betroffenen keinen Rechtsschutz nach EU-Standard in den USA erlangen könnten, gewährleistet der Privacy Shield kein angemessenes Datenschutzniveau, so die Luxemburger Richter. Angestoßen hatte das Verfahren, das sich formal gegen Facebook richtet, der österreichische Datenschutzaktivist Max Schrems, auf den auch die Ungültigkeit des Safe Harbor-Abkommens zurückgeht.
Auswirkungen
Die Entscheidung des EuGH über die Unwirksamkeit des Privacy Shield war so erwartet worden – wohl sogar von der EU-Kommission selbst, die in einer Pressemitteilung zum Urteil erklärt, bereits an Alternativen zum Privacy Shield zu arbeiten. Nichtsdestotrotz sind sämtliche Datentransfers in die USA, die auf Grundlage einer entsprechenden Zertifizierung erfolgen, mit sofortiger Wirkung unzulässig.
Weiterhin gültig sind dagegen die EU-Standardvertragsklauseln, die ebenfalls Gegenstand des „Schrems II“-Verfahrens waren. Es handelt sich dabei um Verträge, die von der Kommission vorgegeben sind und in denen sich Datenexporteur und -importeur bilateral zur Einhaltung bestimmter Datenschutzstandards verpflichten, um einen rechtssicheren Transfer sicherzustellen. Anders als beim Privacy Shield sind bei der Anwendung der EU-Standardvertragsklauseln die EU-Aufsichtsbehörden befugt, unrechtmäßige Transfers in die USA zu untersagen und den Betroffenen stehen wirksame Rechtsbehelfe bei unzulässigen Datenübermittlungen zu.
Die EU-Standardvertragsklauseln sind bereits jetzt weit verbreitet und werden infolge des EuGH-Urteils zusätzlich an Bedeutung gewinnen. Für Unternehmen, die diese Verträge schon abgeschlossen hatten, ändert sich nichts; für alle anderen gibt es aktuell keine wirkliche Alternative, als ebenfalls auf dieses Rechtsinstrument zurückzugreifen, sofern sie nicht von der nur theoretischen Möglichkeit Gebrauch machen möchten, künftig von Datentransfers in die USA abzusehen.
Handlungsbedarf besteht bei Unternehmen, die in der Datenschutzerklärung ihrer Website – insbesondere im Zusammenhang mit Social Media-Plug-ins – darauf hinweisen, Nutzerdaten würden auf Grundlage einer Privacy Shield-Zertifizierung an die meist US-amerikanischen Plug-in-Anbieter übermittelt. Die Aussage selbst ist seit der EuGH-Entscheidung unzutreffend und erscheint wettbewerbsrechtlich aufgrund der damit verbundenen Irreführung angreifbar. Denn insoweit hat inzwischen eine Reihe von Oberlandesgerichten entschieden, dass auch Verstöße gegen Vorschriften der DSGVO als Wettbewerbsverstöße abgemahnt werden können. Die Datenübermittlung über entsprechende Plug-ins müssen von den Anbietern nun mit EU-Standardvertragsklauseln gestaltet werden. Wird dies von Seiten der Anbieter nicht gewährleistet, sollte auf den Einsatz derartiger Social Media-Plug-ins zunächst verzichtet werden.
29. Juli 2020