Dr. Sebastian Kraska

80331, München
16.07.2020

EuGH kippt Privacy Shield: EU-Standardvertragsklauseln in nächster Runde

IITR Information[IITR – 16.7.20] Der Europäische Gerichtshof hat entschieden, dass der Durchführungsbeschluss der EU-Kommission vom 12. Juli 2016 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ungültig ist. Gleichzeitig hat die Prüfung des Beschlusses der EU-Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nichts ergeben, was seine Gültigkeit berühren könnte (Az.: C‑311/18, Volltext).

Kurzfristige Auswirkungen

Sollte ein europäisches Unternehmen personenbezogene Daten im Auftrag durch ein US-Unternehmen verarbeiten lassen (bspw. US-Cloud-Dienste eines (Mutter-)Unternehmens mit Sitz in den USA) ist sicherzustellen, dass mit diesem Unternehmen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abgeschlossen wurden. Der Datentransfer darf künftig nicht mehr auf eine etwaige Teilnahme des US-Unternehmens an dem „Privacy Shield“ gestützt werden.

Mittelfristige Auswirkungen

Die Datenschutz-Aufsichtsbehörden werden künftig zu prüfen haben, ob EU-Standardvertragsklauseln für Datentransfers in spezifische Länder eingesetzt werden dürfen. Der Gerichtshof hat dazu ausgeführt:

„[Die] zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, [ist] verpflichtet (…), eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können (…).“

Insbesondere angesichts der Ausführungen des EuGH zu den Überwachungsmöglichkeiten der US-Behörden wird durch die Aufsichtsbehörden (und dann letztlich dem Europäischen Datenschutzausschuss) zu prüfen sein, ob mittelfristig speziell für die USA Standarddatenschutzklauseln noch Einsatz finden können.

Konsequenterweise müsste diese Diskussion dann auch über die Five Eyes-Staaten Australien, Kanada, Neuseeland und Großbritannien geführt werden (zumindest soweit kein spezifischer Angemessenheitsbeschluss vorliegt).

Und auch China dürfte über Überwachungsmöglichkeiten verfügen. So sind bereits erste Stimmen zu hören, dass die Aufsichtsbehörden jetzt ein Register mit Dritt-Staaten erstellen müssten, bei denen die Standarddatenschutzklauseln noch eingesetzt werden dürfen (Quelle).

Der EuGH selbst hat keine Entscheidungshoheit über die Geheimdienste der europäischen Mitgliedstaaten. Hier wäre es ggfs. an dem Europäischen Gerichtshof für Menschenrechte, gleiche Standards durchzusetzen.

Erste Stimmen

Prof. Ulrich Kelber, Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit:

Der BfDI wird sich bereits morgen mit seinen europäischen Kolleginnen und Kollegen abstimmen: Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen

Peter Schaar, Europäische Akademie für Informationsfreiheit und Datenschutz e.V. (EAID), ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit:

Damit liegt der Ball wieder bei der irischen Datenschutzbehörde, denn sie muss die Rechtsgrundlage prüfen, auf der Facebook Ireland die Daten aus der EU an die US-Mutter Facebook Inc. transferieren darf. Diese Behörde nimmt sich für solche Prüfungen bekanntlich viel Zeit. Nach dem Inkrafttreten der DSGVO vor über zwei Jahren hat die irische Datenschutzbehörde nicht eine einzige abschließende Entscheidung zu einer Beschwerde getroffen, die den Umgang der in Irland ansässigen europäischen Niederlassungen von US-Unternehmen mit personenebzogenen Daten europäischer Nutzer betrifft.

Helen Dixon, Commissioner Data Protection Commission Ireland:

So, while in terms of the points of principle in play, the Court has endorsed the DPC’s position, it has also ruled that the SCCs transfer mechanism used to transfer data to countries worldwide is, in principle, valid, although it is clear that, in practice, the application of the SCCs transfer mechanism to transfers of personal data to the United States is now questionable. This is an issue that will require further and careful examination, not least because assessments will need to be made on a case by case basis.

Wilbur Ross, U.S. Secretary of Commerce

“We have been and will remain in close contact with the European Commission and European Data Protection Board on this matter and hope to be able to limit the negative consequences to the $7.1 trillion transatlantic economic relationship that is so vital to our respective citizens, companies, and governments. Data flows are essential not just to tech companies—but to businesses of all sizes in every sector. As our economies continue their post-COVID-19 recovery, it is critical that companies—including the 5,300+ current Privacy Shield participants—be able to transfer data without interruption, consistent with the strong protections offered by Privacy Shield.”

Weiterführende Einordnung

Die unmittelbaren Folgen werden in einer Reihe von Webinaren der IAPP besprochen. Dies sind:

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.