Schrems II Urteil: EuGH erklärt Privacy Shield für ungültig und beeinflusst damit den Datentransfer in Drittstaaten

© Julien Eichinger – stock.adobe.com

Unternehmen müssen seit Juli 2020 besondere Vorsicht bei der Übermittlung personenbezogener Daten in Drittländer, insbesondere in die USA, walten lassen. Denn der Europäische Gerichtshof (EuGH) hat im sog. Schrems II-Urteil das Privacy Shield für unwirksam erklärt und neue Anforderungen an den Datentransfer definiert. Damit gewinnen Standardvertragsklauseln sowie vertragliche Vereinbarungen zwischen Datenexporteuren und Datenimporteuren deutlich an Bedeutung. Ein Kraftakt für Unternehmen, aber auch für die Aufsichtsbehörden.

Inhaltsverzeichnis

  1. Schrems II Urteil: Definition
  2. Schrems II: Folgen für den Datentransfer in Drittstaaten
  3. Was müssen Unternehmen jetzt tun?
  4. Was sind Standardvertragsklauseln?
  5. Schrems II-Urteil: Zusammenfassung

Schrems II Urteil: Definition 

Am 16. Juli 2020 hat der EuGH ein Urteil (Rs. C-311/18) gefällt, das weitreichende Folgen für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittstaaten hat. In erster Linie ist der Datentransfer in die USA betroffen. Denn das Schrems II Urteil hebt den Angemessenheitsbeschluss der Europäischen Kommission „Privacy Shield“ auf. Dieser bekundete, dass die USA unter bestimmten Umständen ein der Europäischen Datenschutzgrundverordnung (DSGVO) angemessenes Schutzniveau für die Daten natürlicher Personen bietet. Nur so war ein datenschutzkonformer Datentransfer zwischen den USA und der Europäischen Union (EU) möglich. 

Gleichzeitig bestärkt der EuGH mit dem Schrems II Urteil die Bedeutung der Standardvertragsklauseln gemäß Art. 46 Abs. 2 c) DSGVO. Der Einsatz der EU-Standarddatenschutzklauseln stellt also auch nach der Schrems II Entscheidung ein grundlegendes Instrument dar, um bei der Übermittlung von personenbezogenen Daten in einen Drittstaat den Anforderungen des europäischen Datenschutzes zu gewährleisten. Entscheidend ist, dass für die personenbezogenen Daten das Schutzniveau hergestellt werden kann, das demjenigen der EU entspricht.

Wen betrifft das Urteil? 

Das Schrems II Urteil betrifft alle öffentlichen Stellen oder Unternehmen, die 

  • personenbezogene Daten in die USA übermitteln – v. a. dann, wenn dieser Datentransfer auf das Privacy Shield gestützt ist. Aber auch die Nutzung von Standardvertragsklauseln ist für Unternehmen kein Garant dafür, dass sie Schrems II-konform handeln. Denn diese decken in der Regel nicht ab, dass Behörden (wie z. B. der US-Geheimdienst) keinen Zugriff auf die personenbezogenen Daten haben. 
  • personenbezogene Daten in einen anderen Drittstaat übermitteln. Auch wenn dieser Datentransfer nicht auf dem Privacy Shield gestützt war, müssen hier die vertraglichen Konditionen und die Datenschutz-Regelungen, die im jeweiligen Drittstaat gelten, genau unter die Lupe genommen werden. 

Das Schrems II Urteil nimmt nicht nur die Verantwortlichen für den Datentransfer in Drittstaaten in die Pflicht, sondern auch die Aufsichtsbehörden. Der EuGH fordert Aufsichtsbehörden auf, Übermittlungen von Daten in Drittländer auszusetzen oder zu verbieten, wenn nach Ansicht der Aufsichtsbehörde die Standardvertragsklauseln in dem Drittstaat nicht eingehalten werden können und der Schutz der Daten nicht mit anderen Mitteln gewährleistet werden kann. 

Um was ging es in dem Urteil?  

Das Urteil ist das Ergebnis eines Rechtsstreits zwischen der Privatperson Max Schrems (daher der Name) und der irischen Aufsichtsbehörde. Max Schrems hatte geklagt, weil Facebook Irland seine personenbezogenen Daten an den Facebook-Mutterkonzern in die USA übermittelt hatte. 

Was umfasst der Begriff „Datenübermittlung“?

Der Begriff Datenübermittlung umfasst jedes aktive Weitergeben, Zugänglichmachen oder Einräumen von Zugriffsrechten – etwa einer ausgelagerten IT-Administration oder eines Cloud Computing in einem Drittstaat außerhalb der EU/des Europäischen Wirtschaftsraums. 

Die Zulässigkeit der Datenübermittlung in ein Drittland ist grundsätzlich in Art. 44 ff. DSGVO geregelt. Genannte Artikel sehen ein ausgefeiltes System zur Durchsetzung eines effektiven Datenschutzrechts im internationalen Rechtsverkehr vor.   

Schrems II: Folgen für den Datentransfer in Drittstaaten 

Das Schrems II-Urteil hat weitreichende Folgen. So dürfen z. B. Dienstleistungen von Microsoft, Zoom etc. nicht mehr genutzt werden, wenn diese die Daten auf Servern in den EU-Mitgliedstaaten nicht wirksam vor dem Zugriff der US-Behörden schützen. Das ist  z. B. der Fall, wenn Unternehmen

  • Handelsbeziehung mit Firmen mit Sitz in den USA haben und mit diesen personenbezogene Daten über Kunden (Lieferadressen, Beschwerden, Bestellungen etc.) oder Beschäftigten (Verträge, Netzwerke, etc.) austauschen.
  • Daten in einer Cloud, die von einem Unternehmen in den USA außerhalb der EU gehostet wird, speichern.
  • Videokonferenzsysteme eines US-amerikanischen Anbieters nutzen, der Daten der Teilnehmenden erhebt und in die USA übermittelt.

Mit dem Schrems II Urteil werden die Datenschutzrechte der EU-Bürger gestärkt. Für öffentliche Stellen und Unternehmen hat Schrems II folgende konkrete Folgen: 

  1. Personenbezogene Daten dürfen nicht mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Diese Art des Datentransfers muss unverzüglich eingestellt werden, da der EuGH keine Übergangsfrist vorsieht. Das Urteil gilt also seit dem 16. Juli 2020. 
  2. Verantwortliche für die Datenübermittlung in die USA und andere Drittstaaten können zwar weiterhin bestehende Standardvertragsklauseln nutzen, das alleine reicht nach Schrems II aber nur noch selten aus.
    Nun ist zwingend zu prüfen, ob im Drittland die Rechte der Betroffenen in gleicher Weise geschützt werden können, wie in der Europäischen Union. Dies betrifft insbesondere den Aspekt der Zugriffsmöglichkeiten von Behörden auf die exportierenden Daten. Die USA können dieses Schutzniveau nicht bieten, weshalb die Standardvertragsklauseln für die Datenübermittlung in die USA grundsätzlich nicht mehr ausreichen. 
  3. Das Schrems II Urteil hat auch Auswirkungen auf andere Garantien gemäß Art. 46 DSGVO. Also auch auf interne verbindliche Datenschutzvorschriften, die als Grundlage für die Datenübermittlung in die USA dienen. 
  4. Art. 49 DSGVO bleibt von Schrems II unberührt, solange die Bedingungen im Einzelfall erfüllt sind. 

Was müssen Unternehmen jetzt tun? 

  • In erster Linie sollten Unternehmen und öffentliche Stellen eine Bestandsaufnahme machen, um zu prüfen, ob und wann personenbezogene Daten in einen Drittstaat übermittelt werden.
  • Werden Dienstleister bzw. Vertragspartner in einem Drittstaat beschäftigt, müssen diese zügig über die Entscheidung des EuGH informiert werden. 
  • Sofern nicht eh schon bekannt, müssen Verantwortliche die Rechtslage im jeweiligen Drittland recherchieren bzw. prüfen, ob für das Drittland ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt. 
  • Es ist zu prüfen, ob bestehende Standardvertragsklauseln für das jeweilige Drittland ausreichend sind oder nicht. 
  • Da das geforderte Schutzniveau auf Grundlage der Standardvertragsklauseln nur noch selten ausreicht, müssen Verantwortliche weitere Garantien bieten. Denkbar sind Verschlüsselungen sowie Anonymisierung oder Pseudonymisierung.  
  • Ist nach diesen Bemühungen die Datenübermittlung weiterhin nicht zulässig, bleibt als letztes Mittel der Datentransfer nach Art. 49 DSGVO. Hierbei müssen Unternehmen jedoch zwingend den restriktiven Charakter dieses Artikels beachten. 

Was sind Standardvertragsklauseln? 

Die EU-Standardvertragsklauseln gelten als geeignete Garantien im Sinn des Art. 46 Abs. 2 c) DSGVO, um den Datenschutz bei der Übermittlung von personenbezogenen Daten gewährleisten zu können. Der Vorteil dieser Standardvertragsklauseln ist, dass sie ohne Genehmigung bzw. Einschalten einer Aufsichtsbehörde eingesetzt werden können. 

Achtung: Standardvertragsklauseln sind für ausländische Behörden nicht bindend. Erlauben die Datenschutz-Regelungen eines Drittstaats einen Eingriff in die Rechte der betroffenen Person, müssen die Vertragspartner zusätzlicher Maßnahmen ergreifen, die diese Lücke schließen. Ansonsten ist die Datenübermittlung nicht rechtens.

Die bestehenden Standardvertragsklauseln wurden bereits in Jahr 2010 von der Europäischen Kommission definiert, also noch vor Wirksamwerden der DSGVO. Dennoch finden sie weiterhin Anwendung. Damit können Unternehmen und öffentliche Stellen auf drei bestehende Regelwerke zurückgreifen: 

  • Set I + Set II: Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Verantwortliche in Drittländern
  • Set III: Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern

Es ist möglich, diese Standardvertragsklauseln inhaltlich abzuändern, wenn sie z. B. in einen umfassenden Vertrag eingebaut oder um Klauseln erweitert werden sollen. Dabei ist jedoch äußerste Vorsicht geboten. Denn diese weiteren Regeln dürfen nicht im Widerspruch zu den Standardvertragsklauseln stehen oder gar die Grundrechte und Grundfreiheiten betroffener Personen schmälern. 

Zu empfehlen ist daher, einen Vertrag zur Auftragsverarbeitung abzuschließen sowie daneben die Standardvertragsklauseln nach Set III (möglichst) mit unverändertem Wortlaut zu vereinbaren. 

Sitz des Auftragsverarbeiters führt aktuell noch zu Problemen

Problematisch ist der Fall, dass ein in der EU ansässiger Verantwortlicher einen ebenfalls in der EU ansässigen Hauptauftragsverarbeiter beauftragt, der seinerseits einen in einem Drittland befindlichen Unterauftragsverarbeiter einschalten möchte. Set III der Standardvertragsklauseln setzt jedoch voraus, dass der „erste" Auftragsverarbeiter im Drittstaat ansässig sein muss. 

Faktisch werden damit die in der EU ansässigen Auftragsverarbeiter vernachlässigt. Die deutschen Aufsichtsbehörden haben diesen Missstand erkannt und die sog. „Direktvertragslösung" für solche Konstellationen für gültig erklärt.  

Schrems II-Urteil: Zusammenfassung 

Die wohl größte Auswirkung von Schrems II ist, dass dem Datentransfer aus der EU in die USA die rechtliche Grundlage (Privacy Shield) entzogen wurde. Die Bekräftigung der EU-Standarddatenschutzklauseln und die Forderung nach individueller Bewertung der Rechtslage im jeweiligen Drittland haben jedoch fast mehr Gewicht. 

Die bestehenden Standardvertragsklauseln sollten daher im selben Zug an die steigenden Anforderungen aufgrund der fortschreitenden Globalisierung angepasst werden. Die Entwicklung weiterer Datenschutzklauseln, v. a. für den Einsatz von Unterauftragsverarbeitern in Drittländern bei in der EU ansässigen Hauptauftragsverarbeitern sowie zur Wahrung aller Anforderungen des Art. 28 Abs. 3 DSGVO, wäre dringend notwendig. Die EU-Kommission hat bereits 2017 in Aussicht gestellt, entsprechende Möglichkeiten in Betracht zu ziehen – auf Ergebnisse wartet die Wirtschaft weiterhin vergeblich. 

Datenexporteure sollten die weitere Entwicklung in jeden Fall gründlich beobachten. Unterstützt werden sie dabei vom „Infodienst Datenschutz für Praktiker" der nicht nur alle datenschutzrechtlichen Entwicklungen wiedergibt, sondern auch konkrete Handlungsempfehlungen für Verantwortliche im Datenschutz bietet. 

Überzeugen Sie sich selbst und bestellen Sie gleich ein kostenloses Probeheft!

Quellen: „Infodienst Datenschutz für Praktiker", Landesdatenschutzbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Datenschutzkonferenz

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.