(Stefan Höfling und Jonathan Meisse)
In seinem wegweisenden und für den grenzüberschreitenden Geschäftsverkehr auch in der Praxis höchst relevanten Urteil hat der Europäische Gerichtshof („EuGH“) am 16. Juli 2020 (Rs. C-311/18; „Privacy-Shield-Urteil“) ohne Übergangsfrist den sog. „EU-US Privacy Shield“ für ungültig erklärt. Zusätzlich hat der EuGH im Privacy-Shield-Urteil konkretisiert, welche strengen Anforderungen an den Transfer und die Verarbeitung personenbezogener Daten von im Europäischen Wirtschaftsraum (EWR; im Folgenden der Einfachheit halber „EU“) befindlichen Betroffenen in Drittstaaten außerhalb der EU, gleich ob durch europäische oder ausländische Datenverarbeiter (im Folgenden „extraterritoriale Datenverarbeitung“), auf der Grundlage sog. „Standardvertragsklauseln“ zu stellen sind.
Das Privacy-Shield-Urteil hat dabei gerade für die Praxis eine kaum zu überschätzende Bedeutung für die zukünftige Zulässigkeit extraterritorialer Datenverarbeitungen, in den Vereinigten Staaten von Amerika („USA“), aber auch in anderen Staaten außerhalb der EU. Die Zulässigkeit einer Vielzahl von extraterritorialen Datenverarbeitungen durch Unternehmen im Rahmen ihrer alltäglichen Geschäftstätigkeit stehen nun in Frage.
Rechtliche Rahmenbedingungen
Sowohl europäische als auch außereuropäische Unternehmen müssen bei extraterritorialen Datenverarbeitungen zum Zweck des – auch unentgeltlichen – Angebots von Waren und Dienstleistungen in der EU spezifische Anforderungen der europaweit geltenden Datenschutzgrundverordnung („DSGVO“) erfüllen. Insbesondere ist dabei im Rahmen einer rechtlichen und tatsächlichen Betrachtungsweise erforderlich, dass das in der EU gewährleistete Datenschutzniveau durch die extraterritoriale Datenverarbeitung nicht untergraben wird, also im jeweiligen Drittstaat ein im Wesentlichen äquivalentes Datenschutzniveau gegeben ist.
Dies kann einerseits die Europäische Kommission in Bezug auf einen bestimmten Drittstaat, nach einer Prüfung des dort herrschenden Datenschutzniveaus, mit einem sog. „Angemessenheitsbeschluss“ feststellen. Existiert ein solcher Angemessenheitsbeschluss, dürfen sich Unternehmen grundsätzlich darauf verlassen, dass in dem Drittstaat das erforderliche Datenschutzniveau gegeben ist. Die Unternehmen müssen dann – abgesehen von den nach EU-Recht im Übrigen einzuhaltenden Datenschutzanforderungen – keine eigene Prüfung zum Datenschutzniveau im Drittland anstellen, um die Zulässigkeit der extraterritorialen Datenverarbeitung zu gewährleisten. Einen solchen Angemessenheitsbeschluss hatte die Europäische Kommission in Bezug auf die USA im Rahmen des sog. „Privacy Shield“ gefasst, welchen der EuGH nun kippte.
In Abwesenheit eines Angemessenheitsbeschlusses können Unternehmen die Zulässigkeit einer extraterritorialen Datenverarbeitung ansonsten u.a. durch die Verwendung sog. „Standardvertragsklauseln“ sicherstellen. Die Standardvertragsklauseln sind ein von der Europäischen Kommission bereitgestelltes, in sich geschlossenes Mustervertragswerk, mittels welchem bilateral zwischen dem in der EU ansässigen datenexportierenden Unternehmen und dem im Drittstaat die Daten importierenden Unternehmen vertragliche Vereinbarungen, u.a. zugunsten der von der extraterritorialen Datenverarbeitung betroffenen natürlichen Personen in der EU, deren Daten verarbeitet werden, getroffen werden; diesen Personen werden durch den Vertrag z.B. gewisse unmittelbare Rechte gegen das datenimportierende Unternehmen im Drittstaat eingeräumt. Außerdem werden dem Unternehmen im Drittstaat bestimmte datenschutzrechtliche Pflichten auferlegt. Es soll also durch privatrechtliche Instrumente das erforderliche Schutzniveau im Sinne des europäischen Datenschutzrechts hergestellt werden.
Neben diesen beiden Möglichkeiten sind in der DSGVO weitere alternative Mechanismen für die Fallkonstellation vorgesehen. In der Praxis der meisten Unternehmen wurden und werden extraterritoriale Datenverarbeitungen jedoch entweder auf der Grundlage von Angemessenheitsbeschlüssen der Europäischen Kommission oder der Verwendung der Standardvertragsklauseln durchgeführt.
Historie der aktuellen Entscheidung
In dem konkreten Fall vor dem EuGH ging es um den Angemessenheitsbeschluss der Europäischen Kommission in Bezug auf die USA aus dem Jahr 2016.
Die Europäische Kommission hatte ein angemessenes Datenschutzniveau, wie es bereits von der der DSGVO lange vorausgegangenen EU-Datenschutzrichtline aus dem Jahre 1995 gefordert war, in den USA schon damals nicht ohne weiteres für gegeben gehalten. Damit der Datenverkehr aus der EU in die USA weiterhin möglich blieb, entwickelten die Europäische Union und die USA daher das sog. „Safe Harbor“-Verfahren. Danach konnten US-Unternehmen dem Safe Harbor beitreten und sich auf einer Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichteten, die dazugehörenden verbindlichen Datenschutzregeln zu beachten. Im Jahr 2000 fasste die Europäische Kommission dann den Angemessenheitsbeschluss Safe Harbor, wonach in den USA ein angemessenes Datenschutzniveau gegeben wäre, soweit der Datenimporteur in den USA dem Safe Harbor beigetreten war.
Im Jahr 2013 erhob der Österreicher Maximilian Schrems eine Beschwerde bei der irischen Datenschutzbehörde und begehrte, dass diese es Facebook Ireland untersage, seine personenbezogenen Daten an das Mutterunternehmen Facebook Inc. in den USA weiterzugeben, weil es in den USA an einem im Sinne des europäischen Rechts angemessenen Datenschutzniveau fehle. Da die irische Datenschutzbehörde dem Begehren nicht nachkam, ging der Fall in Irland vor Gericht. Schließlich legte der irische High Court dem EuGH die Fragen vor, ob die irische Datenschutzbehörde die Kompetenz habe, das Datenschutzniveau in den USA, angesichts des existierenden Safe Harbor Angemessenheitsbeschlusses der Europäischen Kommission, überhaupt zu prüfen, und den Datentransfer ggf. auszusetzen.
Mit Urteil vom 6. Oktober 2015 billigte der EuGH der irischen Datenschutzbehörde diese Kompetenzen zu und erklärte Safe Harbor für ungültig (Rs. C-362/14; „Safe-Harbor-Urteil“). Dies begründete der EuGH damit, dass US-Unternehmen, die an Safe Harbor teilnahmen, dennoch nach US-Recht jederzeit verpflichtet seien, die in Safe Harbor angelegten Schutzregeln unangewendet zu lassen und personenbezogene Daten von EU-Bürgern an US-Sicherheitsbehörden herauszugegeben. Zudem existiere für betroffene EU-Bürger in den USA kein wirksamer Rechtsschutz gegen Eingriffe in den Schutz ihrer personenbezogenen Daten durch staatliche Behörden. Der EuGH stellte fest, dass daher in den USA kein äquivalentes Datenschutzniveau gegeben war.
Daraufhin bemühten sich die Europäische Kommission und die US-Administration, Safe Harbor nachzubessern, um den Bedenken des EuGH gerecht zu werden. Die diesbezüglichen Übereinkommen zwischen der EU und den USA sowie der – in Bezug auf grundsätzlichen Mechanismus unveränderte – „zweite“ Angemessenheitsbeschluss der Kommission für die USA aus dem Jahr 2016 wurden dann als „Privacy Shield“ bekannt.
Maximilian Schrems verfolgte sein Begehren weiter. Nachdem der irische High Court den Fall nach dem Safe-Harbor-Urteil an die irische Datenschutzbehörde zurückverwiesen hatte, argumentierte Facebook Ireland dort nun, die Datenübertragung an Facebook Inc. erfolge in wesentlichen Teilen auf Grundlage der Verwendung der Standardvertragsklauseln. Die irische Datenschutzbehörde kam bei ihrer Prüfung des Sachverhaltes im Mai 2016 zu dem wenig überraschenden Ergebnis, dass ein Datentransfer in die USA auch auf Grundlage der Standardvertragsklauseln wohl nicht mit dem europäischen Datenschutzrecht vereinbar sei; denn an den US-Sicherheitsgesetzen und den entsprechenden Herausgabeverpflichtungen und dem fehlenden Rechtsschutz hatte sich substantiell wenig geändert. Die irische Datenschutzbehörde hat in diesem Zusammenhang dann auch die Frage der Gültigkeit der von der Europäischen Kommission beschlossenen Standardvertragsklauseln selbst aufgeworfen. Sie brachte den Fall deshalb nochmals vor den irischen High Court. Dieser legte u.a. die Frage der Gültigkeit der Standardvertragsklauseln dem EuGH zur Entscheidung vor und ferner auch die Frage, welches Datenschutzniveau bei Datentransfers in ein Drittland auf der Grundlage der Standardvertragsklauseln ggf. einzuhalten sei. Außerdem legte der irische High Court die Frage vor, ob der zwischenzeitlich in Kraft getretene „Privacy Shield“ Angemessenheitsbeschluss der Europäischen Kommission mit Blick auf die US-Sicherheitsgesetze gültig sei.
Privacy-Shield-Urteil des EuGH vom 16. Juli 2020
In dem Privacy-Shield-Urteil hat der EuGH den „Privacy Shield“ nun für ungültig erklärt. Im Wesentlichen begründet der EuGH diese Entscheidung dabei weiterhin mit den umfassenden Eingriffsbefugnissen und -möglichkeiten der US-Sicherheitsbehörden und den gesetzlichen Pflichten von in den USA ansässigen Unternehmen, Daten an diese herauszugeben. Ein wirksamer Rechtsschutz besteht nach Ansicht des EuGH für betroffene EU-Bürger in den USA nach wie vor nicht. Im Privacy-Shield-Urteil heißt es dazu wie folgt:
„Nach Rechtsprechung […des Safe-Harbor-Urteils] steht eine solche Lücke im gerichtlichen Rechtsschutz gegen Eingriffe, die mit […US-geheimdienstlichen] Aufklärungsprogrammen verbunden sind, der von der Kommission […] getroffenen Feststellung entgegen, dass das Recht der Vereinigten Staaten ein Schutzniveau gewährleiste, das dem […im EU-Recht] garantierten Niveau der Sache nach gleichwertig sei.“ (Rn. 191)
Im Hinblick auf die Standardvertragsklauseln hat der EuGH entschieden, dass diese im Grundsatz gültig bleiben. Die Standardvertragsklauseln beziehen sich nicht auf ein konkretes Land. Nach Ansicht des EuGH muss die Europäische Kommission daher nicht prüfen, ob diese Standardvertragsklauseln hinsichtlich sämtlicher Länder, in welche ein Datentransfer auf Grundlage solcher Standardvertragsklauseln in Betracht kommt, ein ausreichendes Datenschutzniveau gewährleisten könnten.
Vielmehr sei es Sache der Verwender, jeweils im konkreten Einzelfall zu prüfen und sicherzustellen, dass bei dem beabsichtigten Datentransfer ein äquivalentes Datenschutzniveau durch bzw. bei Verwendung der Standardvertragsklauseln auch tatsächlich gewährleistet ist. Hinsichtlich des möglichen Zugriffs staatlicher Behörden auf personenbezogene Daten ist nach Ansicht des EuGH dabei auch die geltende nationale Rechtslage des jeweiligen Drittlandes zu berücksichtigen. Stellt der Datenexporteur oder der Datenimporteur also fest, dass, z.B. aufgrund der nationalen Rechtslage im Drittland, auch bei Verwendung der Standardvertragsklauseln ein äquivalentes Datenschutzniveau gerade nicht sichergestellt werden kann, z.B. weil die privatrechtliche bilaterale Vereinbarung die nationalen (Sicherheits-)Behörden nicht binden und somit insoweit auch keinen Schutz herstellen kann, ist die Datenverarbeitung im Drittland, auch, wenn sie auf Grundlage der Standardvertragsklauseln erfolgt, zu beenden. Die zuständige Datenschutzbehörde hat den konkreten Datentransfer in dieses Drittland dann ggf. auch zu unterbinden.
Gravierende Folgen in der Praxis
Das Privacy-Shield-Urteil hat somit gravierende Auswirkungen auf den Datentransfer in die USA und die weitere Datenverarbeitung vor Ort, strahlt jedoch überdies auf sämtliche extraterritorialen Datenverarbeitungen in Drittländern durch Unternehmen aus.
Zunächst einmal sind ab sofort sämtliche Datentransfers in die USA, die bisher auf der Grundlage des „Privacy Shield“ erfolgten, unzulässig. Eine Übergangsfrist gewährt der EuGH in seinem Urteil ausdrücklich nicht.
Zudem müssen Datentransfers, die bisher schon, oder aber in Zukunft, z.B. angesichts der Ungültigkeit des „Privacy Shield“, auf der Grundlage der Verwendung von Standardvertragsklauseln erfolgten bzw. erfolgen sollen, ebenfalls einer gründlichen Überprüfung auch unter Einbezug der Rechtslage im Zielland des Datentransfers unterzogen werden. Denn es genügt für die Zulässigkeit des Datentransfers nicht, die Standardvertragsklauseln einfach nur mit dem Vertragspartner im Drittland zu vereinbaren und sich allein mit den durch die Klauseln privatrechtlich entfaltenden Schutzwirkungen zugunsten der Betroffenen zufriedenzugeben. Vielmehr müssen die Verwender im Rahmen ihrer Datenschutz-Compliance in jedem Einzelfall prüfen, ob, nicht nur durch die Wirkungen der verwendeten Standardvertragsklauseln, sondern auch im Übrigen, also z.B. im Hinblick auf die im Drittland geltende nationale Gesetzeslage, ein Datenschutzniveau gewährleistet werden kann, das im Wesentlichen zu demjenigen in der EU äquivalent ist.
Zulässigkeit von Datentransfers in die USA und andere Drittstaaten
Bei Datentransfers in die USA bzw. der Datenverarbeitung dort liegt das gegenwärtige Ergebnis dieser Analyse nach dem Privacy-Shield-Urteil in vielen Fällen auf der Hand:
Private in den USA ansässige Unternehmen werden mit Blick auf die geltenden Gesetze und Befugnisse von US-Sicherheitsbehörden und dem fehlenden Rechtsschutz für den Einzelnen das geforderte Datenschutzniveau in den meisten Fällen wohl nicht gewährleisten können. Soweit z.B. Daten sicher verschlüsselt werden können, ohne dass der Schlüssel jemals mit in die USA transferiert wird, also z.B. ein verschlüsselter Container – ohne Schlüssel – in den USA liegt, wie u.U. bei reinen Cloudspeicherdiensten, mag dies zwar noch denkbar sein. In der Mehrzahl der Fälle erscheint es indes wohl weitgehend ausgeschlossen.
Hinsichtlich anderer Drittländer deutet sich Ähnliches an. Auch die Rechtslage z.B. in der Volksrepublik China oder der Russischen Föderation dürften Zweifel wecken, ob ein allein durch die Verwendung der Standardvertragsklauseln vermittelter Schutz von Betroffenen für einen zulässigen Datentransfer angesichts der dortigen Sicherheitsgesetze und Behördenbefugnisse ausreicht. Jedenfalls ist hier Vorsicht, große Sorgfalt und immer eine Einzelfallprüfung erforderlich.
Empfohlene Maßnahmen
Unternehmen haben die von ihnen gegenwärtig durchgeführten oder beabsichtigten extraterritorialen Datenverarbeitungen auf ihre Zulässigkeit hin im Einzelfall kurzfristig zu überprüfen.
Dies betrifft nicht nur international agierende Unternehmen und Konzerne, sondern auch rein nationale oder nur in der EU tätige Unternehmen, die (oft auch unbewusst) z.B. durch digitale Anwendungen Daten in Drittländer transferieren. Wichtig ist es zudem, nicht nur Datentransfers zu Dritten, wie etwa Dienstleistern, zu analysieren. Betroffen sind vielmehr auch sämtliche Datentransfers bzw. Verarbeitungsvorgänge innerhalb ein und desselben Unternehmens und/oder einer Unternehmensgruppe, sofern die Datenverarbeitung in den USA bzw. einem anderen Drittstaat stattfindet.
Die Prüfung ist nicht nur auf „offensichtliche“ Datentransfers zu beschränken. Denn auch vom Unternehmen verwendete Medien, im Unternehmen eingesetzte digitale Werkzeuge, Softwareanwendungen, Clouddienste, Analyse-Cookies auf Unternehmenswebsites usw. transferieren u.U. Daten in Drittstaaten und müssen daher einer genauen Prüfung unterzogen werden. Oftmals offenbart sich auch dem versierten Anwender solcher Dienste nicht ohne Weiteres, ob und in welcher Form Daten in Drittstaaten, z.B. an Anbieter von Clouddiensten oder Softwarehersteller abfließen. Dies gilt umso mehr, als viele namenhafte Anbieter von Softwarelösungen und Diensten bekanntermaßen aus den USA stammen. Werden z.B. über eine Unternehmenswebsite Kundendaten erfasst, die zur weiteren Analyse ohne vollständige Anonymisierung, z.B. zu einem der großen „Big Data“-Unternehmen in die USA, transferiert werden, so dürfte dies nach dem Privacy-Shield-Urteil nun wohl unzulässig sein. Wird im Unternehmen eine Zeiterfassungssoftware eingesetzt, welche Zeiterfassungseinträge ihrer Mitarbeiter „in der Cloud“ speichert, und befindet sich diese „Cloud“ in den USA, weil dort die zugehörigen Speicher betrieben werden, mag die weitere Verwendung eines solchen Tools nun ebenfalls unzulässig sein.
Erfolgen weiterhin Datenverarbeitungen bzw. Datentransfers in ein Drittland, auch wenn man diese bisher für zulässig erachtete und ggf. auch bisher erachten durfte, ohne dass dies rechtlich zulässig ist, birgt dies erhebliche wirtschaftliche und rechtliche Risiken. Die Datenschutzbehörden müssen sich an die Rechtslage, also auch an das nun ergangene Urteil des EuGH, halten, also dessen Einhaltung durchsetzen und Verstöße ggf. durch Bußgelder sanktionieren. Die DSGVO sieht dafür Bußgelder in Höhe von bis zu 4% des unternehmensweiten Jahresumsatzes vor. Wird für Zwecke der Bußgeldzumessung dem Unternehmensbegriff gefolgt, welcher auch im EU-Kartellrecht Anwendung findet – wofür auf Basis der relevanten Rechtsgrundlagen manches spricht – so kommt als Bemessungsgrundlage der Gesamtumsatz eines Unternehmensverbundes/Konzerns zum Tragen. Selbst wenn also ein rechtlich unzulässiger Datentransfer „nur“ in einem kleineren Konzernunternehmen geschieht, drohen u.U. massive Geldbußen. Hinzu kommen ggf. erhebliche Reputationsschäden, wenn ein nachlässiger Umgang mit personenbezogenen Daten öffentlich wird.
Es bedarf also jeweils einer tatsächlichen und rechtlichen Würdigung sämtlicher betroffenen Datentransfers und -verarbeitungen und deren Umsetzung im Einzelfall in rechtlicher, operativer und technischer Hinsicht. Die vorstehend aufgezeigten Parameter haben daher keinen Anspruch auf Vollständigkeit und ersetzen keine individuelle Rechtsberatung.
Für Ihre Fragen und Anregungen rund um das Thema stehen wir Ihnen gerne jederzeit zur Verfügung.