IT/Datenschutz

Erste Handlungsempfehlungen zur EuGH-Entscheidung zu EU-US Privacy Shield

Am 16. Juli 2020 verkündete der Europäische Gerichtshof (EuGH) das Ende des EU-USA-Datenschutzschilds. Der Gerichtshof hat entschieden, dass der „Privacy Shield“ keine gültige Grundlage mehr für Datentransfers in die USA ist.  Die Frage ist aber, wie sind ohne das Privacy Shield weiterhin Datentransfers in die USA möglich?

Standarddatenschutzklauseln

Ein Datentransfer in ein Drittland ist weiterhin möglich, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat. Das war bisher stets der Fall, wenn der verantwortliche Datenexporteur mit dem Datenimporteur im Drittland die Standarddatenschutzklauseln (SDK), die von der Europäischen Kommission erlassen wurden, abgeschlossen hat.

Diese These hat der EuGH aber ins Wanken gebracht. Die SDKs sollen nach dem Urteil des Gerichtshofs nicht mehr ausreichen, wenn das Recht des Empfängerlandes dem Datenimporteur Verpflichtungen auferlegt, die den SDK widersprechen und daher geeignet sind, die vertragliche Garantie eines angemessenen Schutzniveaus zu untergraben. Dies ist etwa der Fall, wenn die ausländischen Behörden Überwachungsbefugnisse haben, die nach europäischem Verständnis zu weit gehen. Und in den USA haben wir leider eine solche Situation, die den Geheimdiensten umfangreiche Überwachungsmöglichkeiten ermöglicht. Deshalb lässt der EuGH die Nutzung von SDK in Bezug auf die USA nur zu, wenn der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Die SDK sind also in der derzeitigen Form für einen Datentransfer in die USA nur noch in Ausnahmefällen nutzbar.

Nur, welche Maßnahmen hat der Verantwortliche zu ergreifen, um weiterhin mithilfe der SDK Daten in die USA zu transferieren?

Viele Datenschutzbehörden haben sich zwischenzeitlich hierzu geäußert. Eine klare Linie ist noch nicht erkennbar. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg findet, dass durch das Urteil große Teile der amerikanischen Digitalwirtschaft für Europäer tabu sind. Andere sind hier zurückhaltender.

Der Europäische Datenschutzausschuss (EDSA) als Gremium der Europäischen Aufsichtsbehörden hat eine Antwort auf die Gretchenfrage, was jetzt zu tun ist bereits angekündigt, wagt sich aber noch nicht aus der Deckung: „Der EDSA prüft weiter, worin diese zusätzlichen Maßnahmen bestehen könnten". In einer am 23. Juli veröffentlichte FAQ wird der EDSA schon etwas konkreter. Es könnten rechtliche, technische oder organisatorische Maßnahmen sein. Damit könnte es also weiterhin in der Hand der Unternehmen liegen, den Datenexport zu legalisieren. Die USA müssen nicht ihre Geheimdienste abschaffen.

Eine erste Handlungsempfehlung kommt aus Rheinland-Pfalz. Die Verantwortlichen müssten

• prüfen, welchen Gesetzen im Drittland der Datenimporteur, an den sie die Daten übermitteln möchten und ggf. dessen weitere Vertragspartner in dieser Geschäftsbeziehung, unterliegt und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen,
• ggf. die konkreten Datenflüsse analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden,
• die Prüfungen und Ergebnisse dokumentieren, um der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu genügen.

Binding Corporate Rules

In Frage kommen bei konzerninternen Datentransfers auch genehmigte verbindliche interne Datenschutzvorschriften, auf Englisch Binding Corporate Rules (BCRs).  Dies haben einige Unternehmen mit großem Aufwand abgeschlossen, um einen internationalen Datentransfer zu ermöglichen.  Jede einzelne BCR ist von der zuständigen Aufsichtsbehörde genehmigt worden.

Leider gilt aber auch bei genehmigten BCRs kein „weiter so“. Der EDSA hat in seinen FAQs vom 23. Juli auch die BCRs in Frage gestellt und fordert auch für diese eine Ergänzung beim Datentransfer in die USA. Ebenso wie bei den SDKs ist bei den BCRs Papier geduldig. Die vorhandenen Regelwerke müssen an die lokale Situation angepasst werden. Dieser Aussage hat sich auch die gemeinsame Konferenz der deutschen Datenschutzbehörden (DSK) hat am 29.07.2020 in einer Pressemitteilung  angeschlossen.

Es ist allerdings damit zu rechnen, dass in den nächsten Wochen weitere Mitteilungen zu diesem Thema veröffentlicht werden. HEUSSEN wird die Situation weiterhin beobachten und unsere Mandanten dazu beraten, wie sie am besten auf das Ende des Privacy Shields reagieren können. Bitte zögern Sie nicht, uns zu kontaktieren, wenn Sie Fragen zu diesem Thema haben. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.