Lieber ein Ende mit Schrecken, als ein Schrecken ohne Ende. Der EuGH hat mit Urteil vom 16. Juli 2020 in der Sache »Schrems II« das umstrittene Privacy-Shield-Abkommen für die Übermittlung von Daten in die USA aufgehoben. Welche Auswirkung hat dies?

Ein Expertenkommentar von Rechtsanwalt Tobias Tretzmüller

Wenn personenbezogene Daten aus der EU in ein Land außerhalb der EU (»Drittland«) übermittelt werden, muss in diesem Drittland ein angemessener Schutz für die Daten gewährleistet sein. Ein Instrument, um diesen angemessenen Schutz zu gewährleisten, sind Angemessenheitsbeschlüsse der EU-Kommission, die einem Drittland wie zum Beispiel der Schweiz, Israel oder Kanada ein ausreichendes Datenschutzniveau attestieren. Für den Daten-Exporteur bedeutet dies praktischerweise, dass hinsichtlich des Drittlandtransfers keine weiteren rechtlichen Aspekte beachtet werden mussten.

Das Privacy-Shield-Abkommen stellte eine Variante eines solchen Angemessenheitsbeschlusses dar. Der EuGH kippte das Privacy-Shield-Abkommen zusammenfassend nun deshalb, weil in den USA kein angemessenes Schutzniveau für die Daten gewährleistet ist. Denn US-amerikanische Geheimdienste können Anweisungen (»Gag Order«) zur Offenlegung von Daten erteilen. Eine Gag Order verpflichtet das Unternehmen zur Verschwiegenheit über die Kooperation mit dem Geheimdienst. Wer sich nicht daran hält, muss mit ernstzunehmenden Konsequenzen rechnen.

Unter diesen Umständen ist es einem US-Unternehmen schlicht nicht möglich, gegenüber seinem Vertragspartner einzuräumen, dass die nationalen Sicherheitsbehörden vorstellig geworden sind.
Ebenfalls wurde bemängelt, dass die US-amerikanischen Datenschutz-Aufsichtsbehörden die Einhaltung des Datenschutzes nur formell überwachen, nicht jedoch materiell, also ob Datenschutz tatsächlich operativ »gelebt« wird.

Die Konsequenz der Aufhebung

Nüchtern betrachtet ist die Konsequenz, dass mit der Aufhebung des Privacy-Shield-Abkommens die Datenübermittlung aus der EU an die über 5.000 zertifizierten US-Unternehmen mit einem Schlag rechtswidrig wurde. Der EuGH räumte jedoch ein, dass die Datenübermittlung in die USA auf der Grundlage von Standarddatenschutzklauseln legitimiert werden kann. Standardvertragsklauseln sind zwischen den Parteien abzuschließende Vertragswerke. Aktuell existieren drei verschiedene Varianten: Zwei für den Datentransfer zwischen Verantwortlichen (»Controller to Controller«) und eines für den Datentransfer zwischen einem EU-Verantwortlichen und einem außereuropäischen Auftragsverarbeiter (»Controller to Processor«).

Dabei ist der Abschluss von Standardvertragsklauseln leider nicht ausreichend. Hier setzt auch die praktische Kritik an der Entscheidung an. Der EuGH ist der Ansicht, dass neben dem Abschluss der Standardvertragsklauseln weiters eine umfassende Prüfung erforderlich ist, in die sowohl die vertraglichen Verpflichtungen zwischen den Parteien als auch die drittstaatliche Rechtsordnung miteinzubeziehen ist. Kommt ein Daten-Exporteur zu dem Ergebnis, dass die Standardvertragsklauseln für sich alleine kein ausreichendes Schutzniveau garantieren, sind »zusätzliche Maßnahmen« zu ergreifen.

Offen bleibt indes, was der EuGH unter dem Erfordernis zusätzlicher Maßnahmen versteht. Für den Europäischen Datenschutzausschuss sei jeder Daten-Exporteur grundsätzlich selbst in der Pflicht zu beurteilen, ob das betreffende Drittland eine Rechtsordnung habe, die den Schutz der übermittelten Daten sicherstellt.
Die Datenschutzaufsichtsbehörde in Berlin hat sich gar dahingehend positioniert, dass Datentransfers in die USA auch bei Abschluss Standardvertragsklauseln nicht als angemessen anzusehen sein.

Welche weiteren Möglichkeiten gibt es?

Unter Umständen können die in Art 49 DSGVO dezidiert genannten Ausnahmebestimmungen eine Datenübermittlung rechtfertigen. Diese Bestimmung sieht einige Sachverhalte vor, die einen Datentransfer auch ohne Vorliegen eines Angemessenheitsbeschlusses oder des Abschlusses von Standarddatenschutzklauseln ermöglichen. Praktisch wichtige Ausnahmen sind dabei:

- Einwilligung: Die betroffene Person ist mit dem Datentransfer in das Drittland einverstanden.

- Vertragserfüllung: Die Datenübermittlung ist zur Erfüllung von vertraglichen Verpflichtungen unmittelbar zwischen den Vertragsparteien erforderlich, etwa wenn ein EU-Bürger direkt Verträge mit US-Unternehmen abschließt.

- Vertrag zugunsten Dritter: Außerdem ist eine Datenübermittlung gerechtfertigt, wenn die Übermittlung zum Abschluss oder der Erfüllung eines Vertrages erfolgt, der im Interesse der betroffenen Personen von dem Verantwortlichen mit der anderen Vertragspartei abgeschlossen wird. Ein Beispiel könnte sein, wenn der Arbeitgeber der betroffenen Person für diese ein Hotel in den USA bucht.

Den Guidelines des Europäischen Datenausschusses ist jedoch zu entnehmen, dass diese Ausnahmen restriktiv auszulegen sind.

Fazit

Dieses Urteil mag zwar eine rechtliche Rechtfertigung haben, geht jedoch völlig an der Praxis vorbei. Wie soll ein KMU überprüfen, ob »zusätzliche Maßnahmen« erforderlich sind oder nicht? Wie sollen diese »zusätzlichen Maßnahmen« letztlich aussehen?

Die Praxis zeigt, dass vor allem Start-ups weder die finanziellen Mittel noch Muße haben, derartig akademische Fragen zu beantworten. Weiters trägt die Entscheidung zu einer Uneinheitlichkeit des Datenschutzes bei, da die Beantwortungen dieser Fragen objektiv nicht validiert werden können. Damit wird eine Hauptintention der DSGVO, nämlich der Harmonisierungsgedanke des Datenschutzes, konterkariert.

Die Aufhebung des Privacy-Shield-Abkommen hat daher kurz- und mittelfristig zu einer eheblichen Rechtsunsicherheit beigetragen. Langfristig ist die Aufhebung jedoch insofern zu begrüßen, da dies eine Stärkung europäischer Datenverarbeiter – aufgrund eines Rückzugs aus dem US-Markt – begünstigen dürfte.