16
Jul
2020

„Schrems II“-Urteil: EuGH erklärt EU-U.S. Privacy Shield für unwirksam

Mit heutigem Urteil hat der Gerichtshof der Europäischen Union („EuGH„) das erst rund vier Jahre alte EU-US Privacy Shield Abkommen für ungültig erklärt. Gleichzeitig stellt der EuGH in Frage, inwieweit Unternehmen ihre Datentransfers in die USA und in andere Drittländer auf die Standardvertragsklauseln der Europäischen Kommission stützen können. Damit hat das Urteil massive Auswirkungen auf die Rechtmäßigkeit von Datentransfers in nicht-europäische Staaten. Wir haben die Kernaussagen des Urteils sowie Handlungsmöglichkeiten für Unternehmen zusammengestellt.

Hintergrund des „Schrems II“ Verfahrens

Das heutige Urteil hat seine Wurzeln in einem von Maximilian Schrems bereits im Jahr 2013 bei der irischen Datenschutzaufsicht (engl. Data Protection Comissioner, „DPC„) angestoßenen Verfahren, das in der Grundsatzentscheidung des Gerichtshof der EuGH vom 6. Oktober 2015 (auch bekannt als „Safe Harbor“ bzw. „Schrems I“-Urteil, Rechtssache C-362/14) mündete, mit der dieser den „Safe Harbor“-Angemessenheitsbeschluss aufhob.

Als Reaktion auf das „Safe Harbor“-Urteil setzten viele Unternehmen für ihre Datentransfers auf Standardvertragsklauseln (auch Standard Contractual Clauses, „SCC„) auf Grundlage des Beschlusses (EU) 2010/87 der EU-Kommission sowie auf das neue EU-U.S. Privacy Shield Abkommen, das von der EU-Kommission am 12. Juli 2016 (Beschluss (EU) 2016/1250, Privacy Shield„) als angemessen erachtet wurde.

In der Folge stellte Schrems auch die Rechtmäßigkeit von Datentransfers auf Grundlage der SCC und des Privacy Shield in Frage. Am 9. Mai 2018 legte der Irish High Court dem EuGH mehrere Fragen zur Prüfung vor (Rechtssache C-311/18), ob Datenübermittlungen im Rahmen der SCC und des Privacy Shields gegen die Artikel 7, 8, 47 und 52 der Charta der Grundrechte der Europäischen Union („Charta„) verstoßen.

Die Entscheidung des EuGH

In seinem heute veröffentlichten Urteil entschied der EuGH, dass auch der Beschluss zum Privacy Shield Abkommen unwirksam ist. Hingegen bestätigt der EuGH die grundsätzliche Wirksamkeit der Standardvertragsklauseln, stellt aber hohe Anforderungen an ihre Nutzung im Einzelfall. Im Überblick stellte der EuGH Folgendes fest:

  • Wie auch im Safe Harbor Urteil betonte der EuGH, dass im Falle von internationalen Datentransfers ein Schutzniveau gewährleistet sein muss, das dem in der EU durch die DSGVO im Licht der EU Grundrechte Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus seien sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem Datenexporteur und dem Empfänger im Drittstaat vereinbart wurden, als auch die Rechtslage im Drittstaat, insbesondere was einen etwaigen Zugriff der dortigen (Sicherheits-)Behörden auf die übermittelten Daten betrifft.
  • Vor diesem Hintergrund kommt der EuGH mit Blick auf den Privacy Shield Beschluss zu dem Ergebnis, dass die darin geregelten Schutzmaßnahmen nicht zu einem gleichwertigen Schutzniveau führen. Dazu stellt er zum einen darauf ab, dass die u.a. auf § 702 FISA und Executive Order 12333 gestützten Überwachungsprogramme der US-Behörden nicht auf das zwingend erforderliche Maß beschränkt seien. Zum anderen böte das Privacy Shield keine ausreichenden Rechtsschutzmöglichkeiten, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären. Infolgedessen erklärte der EuGH den Privacy Shield Beschluss für ungültig.
  • Bei der Prüfung der SCC gelangte der EuGH zu dem Ergebnis, dass diese grundsätzlich wirksam sind. Er befand, dass die SCC wirksame Mechanismen enthalten, die in der Praxis gewährleisten, dass das in der EU verlangte Schutzniveau eingehalten wird. Dies folge insbesondere daraus, dass der Empfänger dem Datenexporteur mitteilen muss, wenn er die SCC nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss. Allerdings obliege es dem Datenexporteur – ggf. in Zusammenarbeit mit dem Empfänger – jeweils für den Einzelfall zu prüfen, ob die SCC unter Berücksichtigung des Rechts des Drittlands einen angemessenen Schutz gewährleisten. Dazu müssen ggf. zusätzliche Maßnahmen ergriffen werden, um ein angemessenes Schutzniveau sicherzustellen. Um welche Maßnahmen es sich hierbei handeln soll, lässt der EuGH offen. Für den Fall, dass trotz zusätzlicher Maßnahmen kein angemessener Schutz gewährleistet werden kann, müsse der in der EU ansässige Verantwortliche, oder, wenn dieser nicht tätig wird, die zuständige Aufsichtsbehörde den betroffenen Datentransfer aussetzen oder untersagen.

Damit eröffnet das Urteil Unternehmen zwar weiterhin die Möglichkeit, internationale Datentransfers auf SCC zu stützen. Allerdings bleibt die Frage unbeantwortet, inwiefern diese – ggf. mit zusätzlichen Garantien und Maßnahmen – auch für Datentransfers in die USA verwendet werden können.

Handlungsempfehlungen für Unternehmen

Unternehmen sollten Maßnahmen ergreifen, um die internationale Datentransfers in ihrem Verantwortungsbereich mit der DSGVO und dem heutigen Urteil des EuGH in Einklang zu bringen. Zu den möglichen Schritten zur Risikoreduzierung gehören insbesondere die folgenden Maßnahmen:

  • Data Mapping: Falls noch nicht geschehen (etwa im Verarbeitungsverzeichnis nach Art. 30 DSGVO), sollten Unternehmen die internationalen Datentransfers und implementierten Transfermechanismen in ihrem Verantwortungsbereich identifizieren. Dies umfasst sowohl Datentransfers zwischen einzelnen Konzerngesellschaften, einschließlich der gruppeninternen Übermittlung von Arbeitnehmerdaten, als auch Transfers an Dritte, wie z.B. an Dienstleister (z.B. IT und Cloud-Anbieter) und andere Geschäftspartner.
  • Überprüfen des Schutzniveaus im Einzelfall: Zudem müssen Unternehmen nach den Vorgaben des EuGH für jeden Einzelfall beurteilen (und angemessen dokumentieren), ob ausreichende Garantien zur Absicherung der internationalen Datentransfers implementiert wurden. Dies schließt eine Analyse der vereinbarten vertraglichen Schutzmaßnahmen, der von den Parteien getroffenen technischen und organisatorischen Sicherheitsmaßnahmen und der nationalen Gesetzeslage im Drittland ein. In dieser Hinsicht wird es bei Datenübermittlungen in die USA besonders relevant sein, inwieweit der Datenempfänger Eingriffsbefugnissen der US-Geheimdienste etwa auf Grundlage von § 702 FISA unterliegt (so auch der Hinweise der Datenschutzbehörde Rheinland-Pfalz).
  • Wechsel zu alternativen Garantien: Stellt sich beim Data Mapping heraus, dass ausschließlich das Privacy Shield zur Legitimierung der Übermittlung verwendet wurde, müssen Unternehmen aufgrund der Unwirksamkeit des Privacy Shields auf andere Garantien umsteigen. Auch wenn bereits SCC vereinbart wurden, sollten zusätzliche vertragliche Garantien („SCC plus“) erwogen werden (siehe nachstehende Übersicht).
  • Stellungnahmen der Datenschutzbehörden beobachten: Die für die nächste Zeit zu erwartenden Stellungnahmen der Aufsichtsbehörden auf nationaler Ebene und des Europäischen Datenschutzausschusses („EDSA„) sollten beachtet werden. Einzelne Stellungnahmen der Datenschutzbehörden sind bereits veröffentlicht (z.B. Hamburg, Rheinland-Pfalz und Thüringen).
  • Neue SCC? Die Europäische Kommission hat in einer Meldung vom 16. Juli 2020 bestätigt, an aktualisierten SCC sowie an einer politischen Lösung mit den USA zu arbeiten. Auch diese Entwicklungen sollten eng beobachtet werden.
  • Weiteres Verfahren vor dem Irish High Court: Darüber hinaus ist zu empfehlen, die weitere Entwicklung des „Schrems II“ Verfahrens zu beobachten, das weiterhin vor dem Irish High Court und dem DPC anhängig ist (siehe Urteil des Obersten Irischen Gerichtshof vom Oktober 2017, 2016 Nr. 4809 P.).

Mögliche alternative Grundlagen für Datentransfers

Insbesondere dann, wenn sich Unternehmen bisher bei Datentransfers in die USA auf den Privacy Shield verlassen haben, bieten sich die folgenden alternativen Schutzmaßnahmen an:

  • Zusätzliche vertragliche Maßnahmen: Der EuGH führt in Rn. 132 und 134 seines Urteils aus, dass der Datenexporteur und -importeur die Bestimmungen der SCC um zusätzliche Garantien oder Maßnahmen ergänzen sollten, um einen angemessenen Schutz der Daten und Rechte der betroffenen Person im Drittland zu gewährleisten. Unternehmen sollten zumindest als Übergangslösung in Betracht ziehen, den SCC zusätzliche Regelungen, insbesondere zum Umgang mit Anfragen von US-Sicherheitsbehörden, hinzuzufügen, um die Bedenken hinsichtlich der Angemessenheit des Datenschutzniveaus im Empfängerland zu reduzieren.
  • Zusätzliche technische Maßnahmen: Nötigenfalls sollten zudem zusätzliche technische Maßnahmen getroffen werden, wie etwa die Pseudonymisierung von Daten oder Ende-zu-Ende Verschlüsselungen.
  • Verbindliche interne Datenschutzvorschriften (engl. Binding Corporate Rules, „BCR“): Art. 47 DSGVO bietet Verantwortlichen und Auftragsverarbeitern langfristig die Möglichkeit, durch die europäischen Datenschutzbehörden BCR genehmigen zu lassen. Da BCR nicht unmittelbar vom Urteil des EuGH betroffen sind, können sie weiterhin als angemessene Garantien dienen. Allerdings ist auch bei der Nutzung von BCR die vom EuGH geforderte Einzelfallprüfung vorzunehmen.
  • Genehmigte „Ad-hoc-Klauseln“: Als alternative, langfristige Maßnahme können Unternehmen auch die Genehmigung ihrer eigenen Standardvertragsklauseln nach Art. 46 Abs. 3 lit. a) DSGVO in Betracht ziehen. Ähnlich wie bei BCR ist für eine solche Genehmigung die enge Zusammenarbeit mit den europäischen Datenschutzbehörden erforderlich.
  • Ausnahmeregelungen: Zudem kann geprüft werden, ob sich einzelne Datenübermittlungen auch auf einen der Ausnahmefälle nach Art. 49 DSGVO stützen lassen. Allerdings sind die dort aufgelisteten Ausnahmefälle in aller Regel eng auszulegen und oftmals nicht auf regelmäßige und wiederkehrende Datentransfers (wie etwa für klassische „Outsourcing“ Szenarien) übertragbar.

Ankündigung: Hogan Lovells Datenschutzwebinar

Einzelheiten zu dem Urteil und häufig gestellte Fragen werden wir in unserem Datenschutzwebinar am 21. Juli 2020 besprechen und stehen für weitere Rückfragen zur Verfügung.