EuGH erklärt EU-US-Privacy-Shield für ungültig
In dem am Donnerstag, 16. Juli 2020, verkündeten Urteil des EuGH („Schrems II“) erklärt der Gerichtshof den „Privacy Shield“ für ungültig. Zur Urteilsbegründung führt der Gerichtshof aus, dass das Datenschutzniveau der EU und damit der durch die DS-GVO festgelegte und geforderte Schutz für personenbezogene Daten bei einer Übermittlung in die USA durch das Datenschutzabkommen („Privacy Shield“) nicht gewährt werden kann.
In den Fällen, in denen Verantwortliche die Datenübermittlungen in die USA auf das nun nicht mehr gültige Datenschutzabkommen zwischen der EU und den USA gestützt haben, müssen diese nun handeln, da sie andernfalls personenbezogene Daten ohne Rechtsgrundlage in ein Drittland transferieren. Nicht für generell ungültig erklärt wurden die Standarddatenschutzklauseln der EU-Kommission nach Art. 46 Abs. 2 lit. c) und d) DS-GVO.
Bei der Verwendung von Standarddatenschutzklauseln müssen die Einrichtungen jedoch künftig bei der Übermittlung personenbezogener Daten in ein Drittland überprüfen, ob dort - evtl. auch durch zusätzliche vertragliche Vereinbarungen - ein angemessenes Datenschutzniveau hergestellt werden kann und diese Vereinbarungen eingehalten werden können. Nur in diesem Fall können die Standarddatenschutzklauseln eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in ein Drittland darstellen. Daher obliegt den Verantwortlichen in den kirchlichen Einrichtungen eine Rechtsprüfung, inwiefern das Datenschutzniveau im jeweiligen Drittland dem der DS-GVO entspricht bzw. dort von den Vertragspartnern eingehalten werden kann.
Das Urteil betrifft für die Anwendung der Standarddatenschutzklauseln alle Datenübertragungen in Drittländer, die keinem Angemessenheitsbeschluss nach Art. 45 DS-GVO unterfallen. Durch den Wegfall des „Privacy Shield“ fehlt ein solcher Beschluss jetzt auch für die USA. Nach den Ausführungen des EuGH (insbesondere Rn. 185/197) ist für die USA auch der Einsatz von Standarddatenschutzklauseln nicht mehr möglich.
Der EuGH hat auch die Erwartung geäußert, dass die europäischen Datenschutzaufsichten eine einheitliche Auslegung unter den Aufsichtsbehörden herbeiführen.
Die Datenschutzaufsichten arbeiten derzeit noch intensiv an dieser einheitlichen Auslegung und stimmen sich ab. Sofern bisher vorgenommene Übermittlungen personenbezogener Daten in die USA nun nicht mehr auf eine gültige Rechtsgrundlage gestützt werden können, werden die Diözesandatenschutzbeauftragten die Vorgaben des Urteils umsetzen; das erfordert aber intensive Untersuchungen zu der Frage, wie - ohne Gefährdung des laufenden Betriebs - ein Ausstieg möglich ist. Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.
FAQs zum EuGH-Urteil vom 16. Juli 2020 (C-311/18)
1. Welche direkten Auswirkungen hat es, dass der EuGH den „Privacy Shield“ für ungültig erklärt hat?
Datenübermittlungen von personenbezogenen Daten in die USA, welche rechtlich bisher auf Grundlage des jetzt nicht mehr gültigen Datenschutzabkommens vorgenommen wurden, sind jetzt nicht mehr rechtmäßig.
Es muss überprüft werden, inwiefern eine andere Rechtsgrundlage vorliegt und ggf. die Datenübermittlung gestoppt werden.
2. Bezieht sich das Urteil nur auf Datenübermittlungen in die USA (direkt oder durch dazwischengeschaltete Auftragsverarbeiter)?
Nein. Zwar bezog sich das Datenschutzabkommen nur auf Datenübermittlungen der EU in die USA, jedoch betrifft das Abschließen von Standarddatenschutzklauseln jedes Drittland. Daher ist frühzeitig zu prüfen, inwiefern die Rechte der betroffenen Personen, insbesondere auf einen wirksamen Rechtsbehelf, und der damit verbundene Schutz der personenbezogenen Daten, in dem Drittland eingehalten werden können. Dabei ist - als Folge des Brexit - auch an eine Übermittlung personenbezogener Daten nach Großbritannien/Nordirland zu denken.
3. Ab wann müssen die Konsequenzen des Urteils beachtet werden?
Mit der Verkündung des Urteils durch den Europäischen Gerichtshof am 16. Juli 2020 sind die Rechtsfolgen eingetreten. Es gibt keine Übergangsfrist.
4. Standarddatenschutzklauseln sind auch nach dem Urteil des EuGH weiterhin einsetzbar. Ändert sich etwas für Verantwortliche, die sich bei einer Datenübermittlung in Drittländer auf die Standarddatenschutzklauseln berufen?
Auch vor dem 16. Juli 2020 mussten Verantwortliche sich vor einer Datenübermittlung in ein Drittland davon überzeugen, dass die Bestimmungen des KDG in Bezug auf die Übermittlung der Daten im Drittland eingehalten werden können. Dies ist zumindest dann fraglich, wenn die Behörden im Drittland aufgrund dort geltenden Rechts einen relativ unbegrenzten Zugriff auf die Daten haben.
5. Inwiefern eignen sich Standarddatenschutzklauseln noch für einen Datentransfer in die USA?
Überträgt man die Gründe des Urteils für die Ungültigkeit des Privacy Shield, dürfte es Verantwortlichen schwerlich gelingen, sich davon zu überzeugen und vertraglich wirksam zu vereinbaren, dass das Datenschutzniveau (insbesondere die Rechte betroffener Personen) bezogen auf die übermittelten Daten in den USA, dem der DS-GVO bzw. des KDG entspricht.
Falls das Datenschutzniveau im Drittland nicht dem der DS-GVO bzw. dem KDG entspricht, dürfen auch Standarddatenschutzklauseln nicht verwendet werden. Die Datenübermittlung ist solange auszusetzen bis ein der DS-GVO bzw. dem KDG entsprechendes Datenschutzniveau garantiert werden kann.
6. Was können Verantwortliche unternehmen, wenn keine rechtmäßige Datenübermittlung in das entsprechende Drittland möglich ist?
Als Alternative zur Übermittlung personenbezogener Daten in ein Drittland sollte überprüft werden, inwiefern eine Verarbeitung personenbezogener Daten bzw. die entsprechende Dienstleistung auch innerhalb der EU oder des EWR erbracht werden kann.
Schematische Darstellung:
