Schwere Zeiten für den internationalen Datenaustausch - EuGH suspendiert Privacy Shield und bestätigt Stand­ard­ver­trags­klau­seln

EuGH suspendiert Privacy Shield und bestätigt Standard­vertrags­klauseln

Mit seiner heutigen Entscheidung (Rechtssache C-311/18) hat der Europäische Gerichtshof das sogenannte Privacy Shield zur Datenübermittlung in die USA für unwirksam erklärt. Gleichzeitig hat er die Gültigkeit des Beschlusses zu den Standardvertragsklauseln aufrechterhalten. Dass es nach Ansicht des höchsten Unionsgerichts kein „weiter so“ beim Privacy Shield geben kann, ist begrüßenswert. Die Umetikettierung des im Jahr 2015 für ungültig erklärten Vorgängerinstruments Safe Harbor mit nur marginalen Verbesserungen hat zu keinem Umdenken in der Regierung der USA geführt. Weder wurde bei der Praxis der anlasslosen Massenüberwachung etwas geändert, noch wurde eine substanzielle Stärkung der Betroffenenrechte erreicht. Zu Recht verweist der EuGH beispielhaft auf die faktisch nicht hilfreiche Einführung einer Ombudsperson, die zunächst nach einem effektiven Instrument klingt, jedoch über keine angemessenen Befugnisse verfügt.

Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen. Allerdings hat er sich bei seiner Prüfung auf die formale Eignung im bilateralen Verhältnis zwischen europäischem Verarbeiter und dem im Drittland beschränkt. Zugleich hat er klargestellt, dass die rechtlichen Verhältnisse in dem jeweiligen Drittland unter Berücksichtigung aller Umstände und mit den Maßstäben, die die DSGVO für die Prüfung bei Angemessenheitsbeschlüssen durch die EU-Kommission formuliert, zusätzlich zu prüfen sind, um einen Datentransfer über SCC zu ermöglichen.

Die Handlungsmöglichkeiten datenexportierender Unternehmen sind nun dieselben wie schon vor fünf Jahren, als der Safe-Harbor-Mechanismus für ungültig erklärt wurde. Neben Binding Corporate Rules und Einzelvereinbarungen sind es vor allem die SCC, die als Grundlage für Übermittlungen in Drittstaaten genutzt werden können. Gleichzeitig ist jedoch die Unsicherheit dieses Mal gestiegen: Der EuGH spielt den Ball den europäischen Aufsichtsbehörden zu. Er betont ihre jeweilige Aufgabe, Datentransfers auf Grundlage der Standardvertragsklauseln auszusetzen oder zu verbieten. Dabei werden sie die inhaltlichen Maßstäbe der heutigen Entscheidung zu beachten haben. Insbesondere müssen sie nun ein besonderes Augenmerk auf das Datenschutzniveau im Empfängerstaat legen. Sowohl die Verhältnismäßigkeit behördlicher Zugriffsmöglichkeiten als auch die Garantie eines funktionierenden Rechtsschutzes hat der Exporteur seiner örtlich zuständigen Datenschutzbehörde auf Verlangen nachzuweisen. Die Aufsichtsbehörden im Europäischen Datenschutzausschuss sind ihrerseits aufgerufen, gemeinsam die rechtliche und tatsächliche Situation in den Empfängerstaaten zu evaluieren. Neben den USA betrifft diese Verantwortung gerade auch die übrigen Staaten außerhalb des EWR, für die keine Angemessenheitsentscheidungen der Europäischen Kommission vorliegen. Der Verbund der Datenschutz-Aufsichtsbehörden in Deutschland und in Europa muss sich nun schnell verständigen, wie mit Unternehmen umgegangen wird, die nun unzulässigerweise weiter auf das Privacy Shield setzen. Dasselbe gilt für Unternehmen, die Standardvertragsklauseln für die Übermittlung in die USA und in andere Drittstaaten benutzen.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen. Das betrifft dann letztlich aber nicht nur Staaten, die sich wie die USA zumindest immerhin bemüht hatten, den Eindruck zu machen, adäquate Strukturen des Datenschutzes zu schaffen. Für Länder wie China sind derartige datenschutzrechtliche Vorkehrungen weit entfernt. Auch mit Blick auf den Brexit wird sich die Frage der zulässigen Datenübermittlung stellen. Für den internationalen Datenverkehr ziehen schwere Zeiten auf. Unter dem Strich bleibt die Erkenntnis: In den vergangenen Jahren ist es den USA, aber auch der EU-Kommission nicht gelungen, eine tragfähige Grundlage für einen angemessenen Schutz von Daten zu implementieren, die dem europäischen Datenschutzstandard entspricht. Die Auswirkungen dieses Urteils betreffen den internationalen Datentransfer insgesamt. Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau wird es daher künftig nicht mehr geben dürfen. Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen.“