Datenschutz. Der EuGH hat das Privacy Shield-Abkommen zwischen EU und USA für ungültig erklärt. DLA Piper-Spezialistin Sabine Fehringer erläutert die Konsequenzen.
Der österreichische Datenschutz-Aktivist Max Schrems hat sich erneut vor Gericht durchgesetzt: Der Europäische Gerichtshof (EuGH) fällte am Donnerstag sein lang erwartetes Urteil in der Rechtssache „Schrems II“ (C-311/18) zwischen dem EU-Datenschutzbeauftragten und Facebook Ireland Limited.
Der EuGH erklärte darin die Privacy Shield-Regelung als Mechanismus für die Übermittlung personenbezogener Daten durch EU-Unternehmen an die USA für ungültig. Er entschied aber auch, dass die am meisten verwendeten Standardvertragsklauseln unter gewissen Auflagen weiterhin gültig sind.
Ein Weckruf, nicht das Ende aller Dinge
Sabine Fehringer, Partnerin und Datenschutzexpertin bei DLA Piper Weiss-Tessbach, kommentiert die Entscheidung folgendermaßen: „Das heutige Urteil hat gravierende Auswirkungen auf die Übermittlung personenbezogener Daten in die USA. Es handelt sich um einen Weckruf für EU-Unternehmen: Für diejenigen Unternehmen, die sich bisher auf Privacy Shield verlassen haben, muss ein alternativer Übertragungsmechanismus gefunden werden; dafür bieten sich die bereits bewährten Standardvertragsklauseln an.“
Vor der Verwendung von Standardvertragsklauseln müssen die Unternehmen laut Fehringer jetzt jedoch prüfen, ob der Gesamtkontext der Übermittlung – einschließlich der Berücksichtigung des Wirtschaftssektors, der Branche und des Ziellandes – angemessene Garantien für die personenbezogenen Daten von Einzelpersonen bietet.
Die EU-Datenschutzbehörden müssen Unternehmen auffordern, die Übermittlung dieser Daten auszusetzen oder zu verbieten, wenn solche angemessenen Garantien nicht gewährleistet werden können. „Sie haben die wenig beneidenswerte Aufgabe, die Angemessenheit von Schutzmaßnahmen zu bestimmen. Es ist wahrscheinlich, dass dies eine weitere Runde politischer Diskussionen zwischen der EU und den USA auslösen wird“, so Fehringer.
Der Hintergrund
Die Datenschutz-Grundverordnung DSGVO regelt auch die Übermittlung personenbezogener Daten aus der EU und setzt voraus, dass ein gültiger Übermittlungsmechanismus gemäß Kapitel V DSGVO vorhanden ist. Zu diesen Mechanismen gehören Angemessenheitsentscheidungen der Europäischen Kommission (wie z.B. bisher Privacy Shield) oder angemessene Schutzmaßnahmen wie etwa die am häufigsten verwendeten Standardvertragsklauseln.
Es ist nicht das erste Mal, dass der EuGH einen Transfermechanismus für ungültig erklärt hat: Im Jahr 2015 hat der EuGH in einem Fall, der gemeinhin als Schrems I bezeichnet wird, den EU-U.S.-Rahmen Safe Harbor (der Vorläufer des Privacy Shield) für ungültig erklärt. Dem lag ebenfalls eine Beschwerde des österreichischen Datenschutzaktivisten Max Schrems zugrunde. Im Mittelpunkt stand die Tatsache, dass die US-amerikanischen Überwachungsgesetze keinen angemessenen Schutz für personenbezogene Daten aus der EU boten.
Wenn der grenzüberschreitende Fluss personenbezogener Daten ernsthaft gestört oder beendet würde, könnten die negativen Auswirkungen auf das BIP der EU zwischen – 0,8% und – 1,3% liegen, so die BSA Software Alliance. Dies entspräche etwa dem 3-4-fachen des wirtschaftlichen Rückgangs, den Europa während des Wirtschaftsabschwungs 2012 erlebte.