Suche 
Nachdem der EuGH das Safe Harbour-Abkommen im Jahr 2015 für unwirksam erklärt hatte, schlossen die USA und die EU kurz darauf das sog. Privacy Shield-Abkommen, wonach die Übertragung von personenbezogenen Daten von der EU in die USA nunmehr rechtssicher geregelt werden sollte. Das Abkommen wurde von einigen Datenschutzexperten von Beginn an kritisiert, da es – in gleichem Maße wie das Safe Harbour-Abkommen – keine sichere Grundlage für eine transatlantische Datenübermittlung bieten würde. Der EuGH sieht das offenbar genauso.
Worum geht es in der Entscheidung?
Das aktuelle Urteil des EuGH (hier geht’s zur Pressemitteilung) geht – wie bereits die Entscheidung über das Safe Harbour-Abkommen – zurück auf eine Beschwerde des österreichischen Juristen und Netzaktivisten Max Schrems. Dieser sieht in der Übertragung seiner Facebook-Daten von Irland in die USA einen Verstoß gegen europäisches Datenschutzrecht, da Facebook in den USA nicht dasselbe Schutzniveau für seine Nutzerdaten gewährleisten könne wie in der EU. Dies liege insbesondere an den weitreichenden Eingriffsrechten, die US-Behörden (z.B. FBI und NSA) gegenüber Unternehmen mit Blick auf persönliche Daten von Nutzern bzw. Kunden durchsetzen können. Das Gericht hat in diesem Zusammenhang das Privacy Shield-Abkommen zwischen der EU und den USA für unwirksam erklärt. Eine Datenübermittlung auf Basis sogenannter Standardvertragsklauseln hat es dagegen dem Grunde nach für wirksam erachtet.
Datenübermittlung EU/USA: Privacy Shield versus Standardvertragsklauseln
Bei der Datenübermittlung zwischen der EU und den USA gibt es unterschiedliche Wege, um den Erfordernissen der strengen Datenschutzvorschriften der EU zu genügen. Zum einen ist es möglich, sogenannte Standardvertragsklauseln zu vereinbaren, die von der europäischen Kommission mit Beschluss 2010/87 zur Verfügung gestellt wurden. Diese Klauseln regeln die Rechte und Pflichten des Datenexporteurs in der EU sowie des Datenimporteurs in den USA und beinhalten durchsetzbare Rechte und wirksame Rechtsbehelfe zugunsten der betroffenen Person. Demgegenüber konnten sich bis zuletzt Unternehmen zur wirksamen Datenübertragung auch dem Privacy Shield unterwerfen: Im Wege einer Selbstzertifizierung verpflichten sich hierbei Unternehmen zur Einhaltung der Regelungen des Privacy Shield-Abkommens, welche die rechtskonforme Übermittlung von personenbezogenen Daten aus der EU in die USA betreffen. Der EuGH kam nun aber zu dem Ergebnis, dass das Privacy Shield-Abkommen den Anforderungen der DSGVO nicht genügt. Nach Ansicht der Richter räumt das Abkommen den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang ein, sodass beispielsweise US-Behörden auf personenbezogene Daten zugreifen und diese verwenden können. Mit Blick auf das vom Unionsrecht verlangte vergleichbare Schutzniveau des Drittstaates, in welchen die personenbezogenen Daten übermittelt werden, hat der Gerichtshof dem Abkommen daher eine Absage erteilt.
Bleibt Weg über Standardvertragsklauseln möglich?
Im gleichen Atemzug haben die Richter die Möglichkeit der Nutzung von Standardvertragsklauseln zur rechtmäßigen Übermittlung von personenbezogenen Daten in die USA weiterhin für möglich erachtet. Allerdings macht der Gerichtshof hierbei eine wesentliche Einschränkung: In der Praxis muss gewährleistet sein, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und die Übermittlung auf Grundlage der Standardvertragsklauseln ausgesetzt oder verboten wird, sofern gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Aus der Pressemitteilung geht hervor, dass die Richter diese Einschränkung bei der Verwendung von Standardvertragsklauseln allgemein (und nicht konkret für die transatlantische Datenübermittlung) heranziehen. Wenn die grundsätzlich datenschutzkonformen Standardvertragsklauseln nun die Übertragung von Daten in die USA regeln, stellt sich aber unweigerlich die Frage, wie der Datentransfer als rechtskonform eingestuft werden kann. Denn der EuGH ist in der vorliegenden Entscheidung schließlich zu dem Ergebnis gekommen ist, dass das US-Rechtssystem Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten vorsieht, wodurch in den USA kein vergleichbares Schutzniveau wie in der EU gewährleistet ist.
Bedeutung für die Praxis und Aussicht
Unternehmen, die Daten zwischen der EU und den USA austauschen, können sich nach der vorliegenden Entscheidung des EuGH eindeutig nicht mehr auf das Privacy Shield-Abkommen berufen. Verstößt der transatlantische Datentransfer aber auch bei Verwendung von Standardvertragsklauseln gegen EU-Recht? Hier ist die Entscheidung weniger eindeutig. Dem Grunde nach seien die Klauseln weiterhin ein Weg zur rechtkonformen Übertragung von Daten in Drittstaaten. Ungeklärt ist jedoch, ob die Datenübertragung über Standardvertragsklauseln auch in die USA möglich bleiben soll. Es bleibt abzuwarten, inwieweit Datenschutzbehörden die konkrete Verwendung von Standardvertragsklauseln mit US-Unternehmen (insbesondere mit Blick auf das vergleichbare Schutzniveau) bewerten und in Zukunft den Datentransfer in die USA stärker beaufsichtigen. Unter Berücksichtigung der weitreichenden Eingriffsmöglichkeiten von US-Behörden in personenbezogene Daten von Unternehmen stellt sich darüber hinaus die Frage, ob der EuGH Standardvertragsklauseln bei Übertragung von Daten in die USA auch in zukünftigen Entscheidungen für wirksam erachtet.
