Schrems II und die Bedeutung für die Praxis

Wir geben einen Einblick in die aktuelle Lage zu Schrems II.

Der EuGH hat mit dem Urteil vom 16. Juli 2020, Az. C-311/18 („Schrems II“) das EU-US Privacy Shield für unwirksam erklärt und die Anforderungen an den Einsatz von EU Standardvertragsklauseln stark erhöht (Sie finden dazu unsere ersten Pressemeldungen hier und hier). Damit ist ein wichtiges Tool für internationale Datenübermittlungen in die USA hinfällig. Der Einsatz von EU Standardvertragsklauseln, die bisher als einfaches Tool für Datenübermittlungen in jedes unsichere Drittland genutzt werden konnten, muss ab sofort für jeden Einzelfall detailliert geprüft werden. Die praktischen Auswirkungen der Schrems II-Entscheidung sind noch nicht vollständig absehbar. Klar ist, dass diese Entscheidung einen fundamentalen Wandel im internationalen Datenverkehr zur Folge haben wird.

Was heißt das konkret?

• Unternehmen dürfen das EU-US Privacy Shield nicht mehr einsetzen.
• EU Standardvertragsklauseln können nicht mehr, wie bisher gewohnt, aufgrund einer Blaupause eingesetzt werden.
• Unternehmen, die personenbezogene Daten aufgrund des EU-US Privacy Shields oder aufgrund nicht angepasster EU Standardvertragsklauseln in Drittländer weiterhin übermitteln, müssen ab sofort mit Untersagungen und sogar Bußgeldern seitens der Aufsichtsbehörden rechnen.

Was sind internationale Datenübermittlungen und ihre Herausforderungen?

Internationale Datenübermittlungen (im datenschutzrechtlichen Sinne) liegen immer dann vor, wenn personenbezogene Daten außerhalb der EU/EWR verarbeitet werden. Dies kann – mehr oder weniger – alles sein: Versenden einer E-Mail, Nutzung von Cloud-Anbietern, die die Daten bspw. in den USA speichern oder sonstige Vorgänge, in denen Daten nicht ausschließlich in der EU/EWR verarbeitet werden.

Hierbei stellt sich eine große Herausforderung: als europäisches Unternehmen muss man sich an die Vorgaben der Datenschutzgrundverordnung (DSGVO) halten. Diese stellt an die Datenverarbeitung (häufig) strengere Anforderungen, als das nationale Recht in Drittländern (beispielsweise China, Indien oder USA).

Bisher konnte die Datenübermittlung in die USA über die EU-US Privacy Shield Zertifizierung erreicht werden. Durch die freiwillige Einhaltung bestimmter Datenschutzprinzipen durch das amerikanische Unternehmen (u.a. Transparenz, Schutzvorkehrungen, Betroffenenrechte), wurde ein angemessenes Datenschutzniveau angenommen und die Übermittlung war möglich. Diese Zertifizierung wurde aufgrund der sog. Safe Harbor-Entscheidung des EuGH (Urteil vom 06.10.2015, Az. C‑362/14; Schrems I) geschaffen. In der Schrems I-Entscheidung wurde das Vorgängermodell des EU-US Privacy Shields für internationale Datenübermittlung in die USA gekippt.

Dieses EU-US Privacy Shield hat der EuGH nun am 16.07.2020 für ungültig erklärt. Der EuGH hat dabei entschieden, dass das amerikanische Recht nicht mit bestimmten europäischen Grundrechten vereinbar ist. Diese Unvereinbarkeit kann durch das EU-US Privacy Shield nicht ausgeräumt werden. Insbesondere Zugriffe durch staatliche Stellen auf Inhalte elektronischer Kommunikation waren Grund für die Entscheidung sowie ein fehlender Rechtschutz für europäische Bürger.

Was sind unmittelbare Auswirkungen der Entscheidung?

Unwirksamkeit des EU-US Privacy Shields

Das EU-US Privacy Shield ist mangels Übergangsvorschrift seit dem 16.07.2020 unwirksam. Verarbeitungen, die auf das EU-US Privacy Shield gestützt werden, müssen gestoppt bzw. auf eine Alternative gestützt werden.

Kritik hinsichtlich anderer Instrumente für den internationalen Datentransfer

Grundsätzlich gibt es noch andere Möglichkeiten, den Datentransfer in Drittländer zu ermöglichen. Diese sind aber nur noch eingeschränkt als Grundlage verwendbar. Datenexporteur und -importeur müssen im Einzelfall prüfen, ob ausreichender Rechtsschutz vorliegt. Wenn nein (z.B. in den USA), müssen weitere Schutzmaßnahmen getroffen werden (für die es aktuell noch keine Guidelines von Aufsichtsbehörden gibt). Auch eine Einwilligung oder eine vertragliche Grundlage kann nur in Ausnahmefällen in Betracht kommen. Es sollte zudem geprüft werden, ob technische Schutzmöglichkeiten eingesetzt werden können, wie beispielsweise eine (stärkere) Verschlüsselung oder Anonymisierung der Daten.

Ausblick: Wie geht es weiter?

Der EuGH sowie die europäischen Datenschutzbehörden fordern, dass sich Unternehmen, die Daten in ein unsicheres Drittland exportieren, mit den dortigen Rechtsordnungen befassen. Für diese Befassung sollen die Datenimporteure, also die jeweiligen Vertragspartner in einem solchen Drittland, angeschrieben werden.

Praxistipps

Um die eigene Einhaltung der Anforderungen des EuGH und der DSGVO zu dokumentieren (Art. 5 Abs. 2 DSGVO) empfiehlt es sich daher, zumindest die folgenden Schritte zeitnah einzuleiten:

• Eigene Due Diligence durchführen und insbesondere eigene internationale Datenflüsse analysieren (insbesondere: Welche Daten werden wohin und für welche Zwecke übermittelt? Wie sind diese Daten im Transit und am Zielort geschützt?).
• Dienstleister in (unsicheren) Drittstaaten anschreiben und mit gezielten Fragen das dortige Datenschutzniveau ermitteln. Zudem zusätzliche Schutzmaßnahmen ausarbeiten, wobei vertragliche Zusatzvereinbarungen durch technische Maßnahmen zu flankieren sind.
• Überprüfen Sie alternative Anbieter und eine mögliche Datenlokalisierung innerhalb der EU/EWR oder eines sicheren Drittlandes (Andorra, Argentinien, Kanada (nur Handelsorganisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay).

Wir unterstützen Sie bei diesen Schritten gerne und stehen für Rückfragen zur Verfügung.