EuGH: Privacy Shield ist ungültig, höhere Anforderungen an den Einsatz von Standardvertragsklauseln – Schrems II

  
Mit dem Schrems II Urteil des Europäischen Gerichtshofs wurde der EU-US Privacy Shield aufgehoben, weil dessen Schutzmassnahmen nicht zu dem von der EU-DSGVO geforderten gleichwertigen Schutzniveau führen. Unternehmen im Anwendungsbereich der DSGVO müssen daher die Rechtsgrundlagen eines Datentransfers in die USA überprüfen. Sofern Personendaten in die USA nur gestützt auf das Privacy Shield übermittelt wurden, müssen andere Rechtsgrundlagen vereinbart werden. In der Praxis werden vielfach Standard Contractual Clauses (SCC) als Alternative in Frage kommen, sofern diese nicht schon zur Absicherung vereinbart wurden. In beiden Fällen stellt der Schrems II Entscheid aber klar, dass der Einsatz von SCC für Datentransfers in die USA und andere Länder ohne Angemessenheitsbeschluss einer Einzelfallprüfung ihrer Eignung und gegebenenfalls einer Ergänzung um zusätzliche vertragliche Garantien bedarf. Was der Inhalt dieser Garantien sein soll, wurde weder durch den EuGH noch durch die bisherigen Stellungnahmen der europäischen Datenschutzbehörden geklärt. Angesichts der hohen Anforderungen, die der EuGH an die Gleichwertigkeit des Schutzniveaus stellt, ist eigentlich nicht ersichtlich, wie vertragliche Garantien sich für Datenexporte in die USA noch eignen sollen. Da mit einem Nachfolgeabkommen des Privacy Shields nicht in naher Zukunft zu rechnen ist, sollten die vom EuGH geforderten Anpassungen an SCC dennoch jetzt schon vorbereitet und Datentransfers in die USA und andere Staaten ohne angemessenen Datenschutz kritisch überprüft werden.
  

Allgemeine Einordnung und Hintergründe

Im Grundsatzurteil „Schrems II“ (C‑311/18) des EuGH geht es um die Interpretation der datenschutzrechtlichen Vorschriften für Datentransfers ins Ausland. Sowohl die Datenschutz-Grundverordnung (nachfolgend «DSGVO») als auch das Schweizer Datenschutzrecht sehen hierzu besondere Vorgaben vor. Zentral beim Transfer von personenbezogenen Daten in einen Drittstaat ist jeweils, dass ein angemessenes Schutzniveau gewährleistet wird. Für die EU gilt, dass, falls kein entsprechender Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO vorliegt, eine Übermittlung nur erfolgen darf, wenn geeignete Garantien nach Art. 46 DSGVO vorliegen (vgl. ferner für die Ausnahme-Regelung MLL-News vom 21. Juli 2018). Im Schweizer Datenschutzrecht finden sich die entsprechenden Bestimmungen in Art. 6 des Bundesgesetzes über den Datenschutz (künftig: Art. 16-18 DSG; zur aktuellen Situation des CH-US Privacy-Shield MLL-News vom 5.10.2020).
  

Urteil Schrems I (2015) und nachfolgende Entwicklungen

Das Schrems II Urteil muss im Kontext des Schrems I Entscheids gesehen werden. Im Jahr 2013 beschwerte sich der damalige Student und Facebook-Nutzer Max Schrems bei der irischen Datenschutzbehörde über die Übermittlung seiner personenbezogenen Daten durch Facebook in die Vereinigten Staaten. Schrems machte geltend, dass das Recht und die Gerichtspraxis der Vereinigten Staaten keinen ausreichenden Schutz vor dem Zugriff auf diese Daten durch US-Behörden boten. Weiter argumentierte Schrems, dass dieser Schutz entgegen der Ansicht der EU-Kommission auch nicht durch das zwischen der EU und den USA vereinbarte Safe-Harbor Agreement gewährleistet werde. Das Verfahren endete mit dem Schrems I Urteil des EuGH (C-362/14), in welchem der EuGH Max Schrems weitgehend Recht gab und den Safe-Harbor Angemessenheitsbeschluss aufhob (vgl. MLL-News vom 8. Oktober 2015 und MLL-News vom 2. November 2015).

Als Reaktion auf das Schrems I Urteil mussten andere Grundlagen für einen Datentransfer in die USA gefunden werden. Unternehmen setzten daher dabei für ihre Datentransfers einerseits vermehrt auf Standardvertragsklauseln (Standard Contractual Clauses, nachfolgend «SCC») auf Grundlage des Beschlusses (EU) 2010/87 der EU-Kommission. Diese stellen eine Garantie bei fehlendem Angemessenheitsbeschluss dar. Andererseits handelte die EU-Kommission mit den USA das EU-US Privacy Shield Abkommen (nachfolgend «Privacy Shield») aus, das Nachfolgeabkommen zu Safe-Harbor.

Das Privacy Shield sah einen Mechanismus vor, personenbezogene Daten von europäischen Bürgern datenschutzkonform an US-Unternehmen zu übermitteln. Die Funktionsweise war dabei vereinfacht so, dass die US-Unternehmen mit einer von der US Federal Trade Commission überwachten Selbstzertifizierung die Verpflichtung eingingen, bestimmte Prinzipien in Bezug auf den Datenschutz einzuhalten sowie den betroffenen Personen gewisse Rechte zu gewähren. Eine Ombudsperson sollte die Behandlung von Anfragen aus der EU betreffend Datenzugriffen der US-Sicherheitsbehörden erleichtern und koordinieren. Trotz Kritik von Daten- und Verbraucherschützern an den Unzulänglichkeiten dieser Mechanismen stufte die EU-Kommission den Privacy Shield mit Beschluss vom 12. Juli 2016 (Beschluss (EU) 2016/1250) als angemessen ein, so dass die Datenübermittlung an unter dem Privacy Shield zertifizierte Unternehmen sich auf diesen Angemessenheitsbeschluss stützen konnte (vgl. MLL News vom 25. Juli 2016).
  

Prozessgeschichte des Schrems II Urteils

Im Anschluss an das Schrems I Urteil hob der Irish High Court die Entscheidung auf, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, und verwies die Sache an die irische Datenschutzbehörde zurück. Herr Schrems formulierte die Beschwerde um, stellte aber die Rechtmässigkeit der Datenübermittlung in die Vereinigten Staaten weiterhin in Frage. In diesem Zusammenhang legte der Irish High Court dem EuGH am 9. Mai 2018 erneut mehrere Fragen zur Prüfung vor (Rechtssache C-311/18). Dabei stand insbesondere die Frage im Vordergrund, ob Datenübermittlungen in die USA gestützt auf SCC und den Privacy Shield gegen die im Lichte der Artikel 7, 8, 47 und 52 der Charta der Grundrechte der Europäischen Union (nachfolgend «Charta») ausgelegten Bestimmungen der DSGVO verstossen.

Der vorbereitende Generalanwalt hatte die Position vertreten, dass die SCC und auf sie gestützte Datenübermittlungen rechtmässig seien (Schlussanträge des Generalanwalts Saugmandsgaard vom 19. Dezember 2019). Der EuGH hätte seiner Ansicht nach daher auch nicht über die Gültigkeit des Privacy-Shield entscheiden müssen, da sich die Übermittlung auch auf den Kommissionsbeschluss (EU) 2010/87 über die SCC stützte und dieser Beschluss gültig sei. In materieller Sicht vertrat aber bereits der Generalanwalt die Ansicht, dass der Beschluss zum Privacy Shield nicht mit Art. 45 Abs. 1 DSGVO vereinbar sei, weil die vorgesehenen Mechanismen kein angemessenes Schutzniveau herstellen.
  

EuGH: Ungültigkeit des EU-US Privacy Shields und hohe Anforderungen an den Einsatz von SCC

In seinem Urteil vom 16. Juli 2020 ging der EuGH ebenso davon aus, dass der Beschluss zum Privacy Shield Abkommen unwirksam ist, hob diesen aber entgegen der Empfehlung des Generalanwalts gleich auch auf. Die grundsätzliche Wirksamkeit des Beschlusses zu den SCC bestätigte der EuGH, stellte aber hohe Anforderungen an deren Nutzung im Einzelfall. Die Feststellungen des EuGH sind zusammengefasst die Folgenden:

  • Der EuGH hob grundlegend hervor, dass im Falle eines internationalen Datentransfers ein Schutzniveau gewährleistet sein muss, welches dem in der EU durch die DSGVO im Lichte der Charta garantieren Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus seien sowohl die vertraglichen Regelungen zwischen dem Datenexporteur und dem Empfänger im Drittstaat zu berücksichtigen als auch die Rechtslage im Drittstaat. Bei Letzterer insbesondere auch die Möglichkeiten eines etwaigen Zugriffes der dortigen (Sicherheits-)Behörden auf die übermittelten Daten.
      
  • Im Zusammenhang mit dem Privacy Shield stellte der EuGH fest, dass dieses, wie bereits der Safe-Harbour Beschluss, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des Rechts der Vereinigten Staaten Vorrang einräume. Dies ermögliche Eingriffe in die Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt werden. Die durch US-Recht (Section 702 des Foreign Intelligence Surveillance Act (nachfolgend „FISA“) und die Executive Order 12333) ermöglichten Überwachungsprogramme und die dort vorgesehenen Einschränkungen der Grundrechtseingriffe seien nicht dergestalt, dass sie dem Grundsatz der Verhältnismässigkeit entsprächen oder zumindest gleichwertigen Schutz böten. Denn die Eingriffe seien nicht auf das zwingend erforderliche Mass beschränkt.
      
  • Weiter führte der EuGH in Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes an, dass gemäss Art. 45 Abs. 2 lit. a DSGVO bei der Prüfung des Schutzniveaus beurteilt werden muss, ob wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen bestehen. Die im Privacy Shield vorgesehenen Ombudsmechanismen enthielten keinen Hinweis darauf, dass die Ombudsperson ermächtigt wäre, gegenüber den Nachrichtendiensten verbindliche Entscheidungen zu treffen. Obwohl EU Bürger unter dem FISA gewisse Rechte geltend machen können, seien verschiedene Rechtsgrundlagen der US-Geheimdienste hiervon ausgeklammert. Daher könne nicht davon ausgegangen werden, dass Mechanismen bestünden, die einen der Sache nach gleichwertigen Rechtsschutz gewährleisten.
      
  • Somit schlussfolgerte der EuGH, dass die im Privacy Shield geregelten Schutzmassnahmen nicht zu dem von Art. 45 DSGVO geforderten gleichwertigen Schutzniveau führen. Der EuGH kam damit zum Ergebnis, dass der Privacy Shield Beschluss ungültig ist.
      
  • In Bezug auf die SCC führte der EuGH aus, dass diese grundsätzlich gültig und wirksam seien. Die SCC enthielten seiner Ansicht nach wirksame Mechanismen, die in der Praxis gewährleisten würden, dass das in der EU verlangte Schutzniveau eingehalten wird. Entscheidend sei, dass der Datenexporteur die Datenübermittlung aussetzen und/oder vom Vertrag zurücktreten muss, wenn ihm der Empfänger der Daten mitteilt, dass er die SCC nicht einhalten kann. Der EuGH führte allerdings auch aus, dass es dem Datenexporteur obliege, im Einzelfall zu prüfen, ob die SCC unter Berücksichtigung des Rechts des Drittstaates einen angemessenen Schutz gewährleisten. Dabei müssten unter Umständen zusätzliche Massnahmen ergriffen werden, um das Schutzniveau zu erreichen, wobei der EuGH offenliess, um welche Massnahmen es sich dabei handelt. Könne trotz zusätzlicher Massnahmen kein angemessener Schutz gewährleistet werden, müsse der betroffene Datentransfer vom Verantwortlichen bzw. bei dessen Untätigkeit von der zuständigen Aufsichtsbehörde ausgesetzt oder untersagt werden.

 

Ende des Privacy Shield, mit Option auf Wiederbelebung

Das Schrems II Urteil wirft somit (erneut) grundlegende Fragen für die Ausgestaltung des transatlantischen Datentransfers auf. EU-Kommission und Department of Commerce anerkannten in einer gemeinsamen Stellungnahme, dass der Privacy Shield kein gültiger Mechanismus mehr für die Übermittlung personenbezogener Daten von der Europäischen Union an die Vereinigten Staaten ist. Gleichzeitig gaben sie aber auch bekannt, dass die Möglichkeit eines verbesserten Privacy Shield ausgelotet wird (Gemeinsame Stellungnahme von EU Kommissar Reynders und US Secretary of Commerce Ross, 10. August 2020). Nach dem Schrems I Entscheid (dazu oben) hatten sich die EU Kommission und die Vereinigten Staaten innert einem halben Jahr auf die Grundzüge des Privacy Shields einigen können. Sofern ein Nachfolgeabkommen substantielle Verbesserungen und damit Zusagen der USA enthalten soll, dürfte dessen Abschluss allerdings mehr Zeit benötigen.
  

Stellungnahmen von Aufsichtsbehörden zum Einsatz von SCC

Der Schrems II Entscheid hat aber nicht nur für die auf EU-US Privacy Shield gestützten Datentransfers Auswirkungen. Gerade die Ausführungen des EuGH zum Einsatz von SCC führten zu viel Unsicherheit bei Unternehmen, da SCC in der Praxis weit verbreitet sind und nach den Schlussanträgen des Generalanwalts nicht mit zusätzlichen Anforderungen bei ihrer Verwendung gerechnet worden war. Viele Aufsichtsbehörden sahen sich vor diesem Hintergrund dazu veranlasst, Pressemitteilungen zum Schrems II Urteil zu veröffentlichen.

Die meisten nationalen Datenschutzbehörden der EU Mitgliedsstaaten verweisen auf die Stellungnahme des Europäischen Datenschutzausschusses (EDSA), eine EU Einrichtung zur einheitlichen Anwendung der DSGVO, die aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten besteht. Dieser EDSA betonte in seiner Stellungnahme die Verantwortung des Datenexporteurs, bei Drittstaatentransfers vorab zu prüfen, ob das Zielland einen hinreichenden Datenschutz gewährleistet (EDSA, Statement on the Court of Justice of the European Union Judgment in Case C-311/18). Bei einer solchen Vorabprüfung soll der Datenexporteur (wenn nötig in Zusammenarbeit mit dem Datenimporteur) den Inhalt der SCC, die konkreten Umstände des Datentransfers sowie das im Zielland anwendbare Recht berücksichtigen. Kommt er zum Schluss, dass das Zielland keinen angemessenen Datenschutz gewährleistet, soll der Exporteur zusätzliche Garantien zu den SCC vereinbaren.

Der EDSA publizierte zudem FAQ zum Schrems II Urteil. In diesen wird unter anderem festgehalten, dass die Feststellungen zur Unverhältnismässigkeit der US-Überwachungsprogramme auch verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, nachfolgend „BCR“) und SCC gestützte Datentransfers tangiere. Zudem gebe es keine Übergangsfrist, so dass Unternehmen ihre Datentransfers jetzt prüfen müssen. Die DSGVO regle ferner zwar in Art. 49 DSGVO den Fall, wie vorgegangen werden kann, wenn weder ein Angemessenheitsbeschluss noch entsprechende Garantien vorhanden sind (vgl. MLL-News vom 21. Juli 2018). Diese Ausnahmetatbestände könnten aber keine regelmässig erfolgenden Datenübermittlungen rechtfertigen.

Die Frage, welche Garantien EU und US Unternehmen nun vereinbaren müssen, bleibt in den FAQ aber weitgehend unbeantwortet. Der EDSA hat weitere Klärung in Aussicht gestellt und zu diesem Zweck eine Taskforce geschaffen. Nur wenige nationale Aufsichtsbehörden haben bis jetzt konkrete Ausführungen zum Inhalt der Garantien gemacht. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg nannte namentlich die Verpflichtung zur Verschlüsselung, Anonymisierung oder Pseudonymisierung als mögliche in SCC zu vereinbarende Garantien (LfDI BW, Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?).

Aber nicht alle Behörden sind der Ansicht, dass der transatlantische Datenverkehr unter Einsatz zusätzlicher Garantien noch zulässig ist. Der Berliner Datenschutzbeauftragte wies in ihrer Pressemitteilung darauf hin, dass Verantwortliche, die personenbezogene Daten in die USA übermitteln, jetzt zu einem Dienstleister in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln müssen. Aber auch bei einer Datenspeicherung in China, Russland oder Indien sei zu prüfen, ob nicht ähnliche oder sogar grössere Risiken bestehen (BInBDI, Pressemitteilung -Nach „Schrems II“: Europa braucht digitale Eigenständigkeit).
  

101 Beschwerden gegen Unternehmen

Das eine Klärung nicht nur angesichts dieser strengen Auslegung dringend nötig ist, zeigt die Tatsache, dass die NGO none of your business, deren Ehrenvorsitzender Max Schrems ist, bereits Aufsichtsanzeigen gegen 101 EU Unternehmen eingereicht hat. Die Anzeigen richten sich gegen Unternehmen, die entgegen dem Schrems II Urteil weiterhin durch die Einbindung von Google-/Facebook-Diensten Daten in die USA übermitteln. Der EDSA bemüht sich hier mit einer Taskforce um eine koordinierte Behandlung der Beschwerden, um eine EU-weit einheitliche Handhabung zu gewährleisten.
  

Konsequenzen für Unternehmen

Mit dem Schrems II Urteil hat der EuGH den Privacy Shield Angemessenheitsbeschluss für ungültig erklärt und damit kann die Datenübermittlung an die USA nicht mehr auf Grundlage dieses Angemessenheitsbeschlusses i.S.v. Art. 45 DSGVO erfolgen. Da sich in dem Urteil keine Überlegungen zu Übergangsfristen finden, können Datenübermittlungen in die USA seit dem 16. Juli 2020 nicht mehr hierauf gestützt werden. Die vielfach zur Absicherung vereinbarten SCC können nach diesem Entscheid auch nicht mehr einfach standardisiert in einem Anhang für anwendbar erklärt werden, sondern müssen im Einzelfall geprüft und allenfalls ergänzt werden. Für Unternehmen im Anwendungsbereich der DSGVO besteht damit unmittelbarer Handlungsbedarf.

Wie sich an den Stellungnahmen der Aufsichtsbehörden zeigt, ist derzeit noch unklar, wann und wie diese um zusätzliche Garantien ergänzten SCC eine zulässige Handlungsalternative sein können. Auch wenn sie nicht Gegenstand des Schrems II Urteils waren, unterliegen Binding Corporate Rules zukünftig den gleichen, hohen Anforderungen an ihre Eignung als Garantie. Das Kernproblem, vor dem Aufsichtsbehörden und Unternehmen gleichermassen stehen, ist dabei, dass sich der EuGH seinem Generalanwalt folgend bei dieser Angemessenheitsprüfung an Art. 45 Abs. 2 DSGVO orientiert. Die dort genannten Kriterien, die bestimmen, wann ein angemessenes Datenschutzniveau im Exportland vorliegt, taugen beschränkt zur Beantwortung der Frage, was Unternehmen vereinbaren sollen, wenn dies nicht der Fall ist. Im Ergebnis verlangt der EuGH so nun aber vertraglich vereinbarte Garantien. Es ist allerdings nicht ersichtlich, wie, die durch den EuGH erkannten Rechtsschutzdefizite in den USA (oder einem anderen Exportland) durch vertragliche Vereinbarungen kompensiert werden könnten.

Stellungnahmen der Aufsichtsbehörden, die auf die Anonymisierung oder Pseudonmiysierung der Daten verweisen, zielen letztlich am Problem vorbei: Können die Daten so anonymisiert oder pseudonymisiert werden, dass im Zielstaat weder der Importeur noch Dritte (z.B. Geheimdienste) auf diese zugreifen können, liegt in rechtlicher Hinsicht schon gar kein Export von Personendaten vor. Die vereinbarten technischen Garantien müssten den – für die Praxis wichtigeren – Fall abdecken, in dem im Exportstaat auf die Personendaten zugegriffen werden kann. Man darf gespannt sein, ob und wie der EDSA hier wird Hilfestellung bieten können.

Vor diesem Hintergrund gibt es strenggenommen keine Möglichkeit, den auf SCC gestützten Datentransfer in Drittstaaten ohne angemessenes Datenschutzniveau vollständig rechtskonform auszugestalten. Als Teil des datenschutzrechtlichen Verantwortlichkeitsprinzips (Art. 5 Abs. 2 DSGVO) müssen der DSGVO unterstehende Unternehmen aber gegenüber Aufsichtsbehörden nachweisen können, dass sie um die Einhaltung des Rechtsmässigkeitsgrundsatzes besorgt sind. Daher sind Unternehmen gut beraten, eine second best Lösung anzustreben, bis weitere Klarstellungen vorliegen. Zur Reduktion des Bussgeldrisikos ist folgendes Vorgehen zu empfehlen und die einzelnen Schritte sind nachvollziehbar zu dokumentieren:

  • Bestandesaufnahme: Zunächst ist zu evaluieren, in welche Drittstaaten Personendaten transferiert werden. Dabei sind die direkten Datentransfers aber auch diejenigen durch Drittdienstleister zu berücksichtigen.
      
  • Triage nach Rechtsgrundlagen: In einem nächsten Schritt sollte geklärt werden, welche Rechtsgrundlagen bei diesen Transfers einschlägig sind bzw. welche Garantien hinsichtlich des Datenexports vereinbart wurden. Diese Informationen sollten sich aus dem Verzeichnis der Verarbeitungstätigkeiten ergeben (siehe Art. 30 Abs. 1 lit. e DSGVO). Zur Erinnerung: Gewisse Staaten wie z.B. die Schweiz oder Japan gewährleisten aufgrund weiterhin rechtsverbindlicher Feststellung der EU Kommission ein angemessenes Datenschutzniveau (siehe European Commission, adequacy decisions). Hinsichtlich dieser Datentransfers besteht kein Handlungsbedarf.
      
  • Datentransfers gestützt auf EU-US Privacy Shield: Sofern Personendaten in die USA nur gestützt auf das Privacy Shield übermittelt wurden, muss der Datenimporteur kontaktiert und auf dessen Ungültigkeit hingewiesen werden. Der Verantwortliche muss verlangen, dass der Datenexport gestützt auf andere Garantien erfolgt. Meistens werden sich nur ergänzte SCC anbieten (dazu sogleich), bei Konzerngesellschaften und Gemeinschaftsunternehmen könnten Binding Corporate Rules (Art. 47 DSGVO) eine Alternative sein.
      
  • Datentransfers gestützt auf SCC: Wurden SCC als Garantie vereinbart oder sollen diese als Ersatz für den Privacy Shield fingieren, muss ihre Eignung für jeden Datentransfer einer einzelfallabhängigen Risikobewertung unterzogen werden. Ausgangspunkt ist die Evaluation des Schutzniveaus im Zielland. Sinnvollerweise erfolgt diese in Zusammenarbeit mit dem Datenimporteur, der die lokalen Gegebenheiten und Rechtsgrundlagen kennt. Dem EuGH folgend ist bei dieser Prüfung auf die Kriterien des Angemessenheitsbeschlusses abzustellen (siehe Art. 45 Abs. 2 DSGVO). Insbesondere behördliche Zugriffsrechte sind zu berücksichtigen, aber auch die durch den Importstaat abgeschlossenen internationalen Verpflichtungen zum Daten- und Grundrechtsschutz. Zudem sollte auch das Risiko des Empfängers selbst geprüft werden. Dieser ist danach zu fragen, ob er spezifischen Verpflichtungen zur Kooperation mit Behörden unterliegt.
      
  • Bestehen – wie in den Vereinigten Staaten – grundsätzliche Defizite im Schutzniveau oder empfängerspezifische Risiken, müssen risikominimierende Massnahmen geprüft werden. Zu prüfen sind zunächst technische und organisatorische Massnahmen.
      
  • Da zurzeit aber nicht ersichtlich ist, wie SCC noch eine geeignete Garantie für Datenexporte in die Vereinigten Staaten darstellen können, muss sich der Verantwortliche tatsächlich fragen, ob er auf diesen Datentransfer verzichten kann. Die bei dieser Entscheidung gemachten Überlegungen sind zu dokumentieren. Entscheidet sich der Verantwortliche dafür, am Transfer festzuhalten, geht er ein nicht unbeträchtliches Risiko eines Gesetzesverstosses ein.
      
  • Gleich wie die Risikobeurteilung ausfällt, der Verantwortliche wird seine Entscheidung überprüfen müssen, sobald der EDSA weitere Klarstellungen zum Inhalt und Anwendungsbereich von SCC veröffentlicht hat.

 

Fazit

Mit dem Schrems II Urteil hat der EuGH die Bedingungen an den rechtmässigen Datentransfer in Drittstaaten spürbar erhöht. Da mit einem Nachfolgeabkommen des Privacy Shields nicht in naher Zukunft zu rechnen ist, sollten die absehbaren Anpassungen an SCC jetzt schon vorbereitet und die Datentransfers in Drittstaaten kritisch überprüft werden. Der damit verbundene Aufwand für die einzelnen Unternehmen ist beachtlich und kann durchaus hinterfragt werden. Der EuGH erhöht letztlich damit aber den Druck auf die EU-Kommission, den Vereinigten Staaten signifikante rechtsstaatliche Garantien bei der Übermittlung personenbezogener Daten von europäischen Bürgern abzuringen. Während das Urteil also kurzfristig für viel Rechtsunsicherheit sorgt, ist zu hoffen, dass der grenzüberschreitende und insbesondere der transatlantische Datentransfer längerfristig auf eine tragbare Rechtsgrundlage gestellt wird.
  

Bedeutung des Schrems II Urteils für das Schweizer Datenschutzrecht

Im Nachgang zum Abschluss des Privacy Shields zwischen der EU und den USA wurde durch die Schweiz das Swiss-US Privacy Shield erarbeitet, das weitgehend identische Mechanismen vorsieht (vgl. MLL-News vom 27. September 2017). Der EDÖB hat zu den Auswirkungen des Schrems II Entscheids auf den Swiss-US Privacy Shield Stellung genommen, die Rechtslage in der Schweiz ist aber nicht in allen Punkten identisch (siehe MLL News vom 5.10.2020).

 

Weitere Informationen: