Der EuGH hat am 16. Juli 2020 mit seiner Schrems-II Entscheidung (Rechtssache C-311/18) die Übermittlung personenbezogener Daten in die USA vor erhebliche Probleme gestellt.
Übermittlung personenbezogener Daten
Die Übermittlung personenbezogener Daten in Länder außerhalb des EWR (27 EU Mitgliedsstaaten, Norwegen, Island und Liechtenstein) ist nur bei Vorliegen besonderer Voraussetzungen zulässig. Damit soll sichergestellt werden, dass das europäische Datenschutzniveau durch die Übertragung in Drittstaaten nicht untergraben wird.
Für einige wenige Länder, z.B. Kanada oder die Schweiz, gibt es einen sog. Angemessenheitsbeschluss der Kommission. Damit wird verbindlich festgestellt, dass in dem betreffenden Land ein angemessenes Schutzniveau herrscht. Gibt es einen solchen Beschluss nicht, so kann das Schutzniveau durch Vereinbarungen zwischen den am Datentransfer Beteiligten hergestellt werden. Hierfür gibt es von der EU Kommission veröffentlichte Standardvertragsklauseln oder die Beteiligten vereinbaren Binding Corporate Rules.
Für die Übermittlung in die USA gab es den sog. Privacy Shield. Dieses Abkommen zwischen den USA und der EU sah vor, dass Unternehmen sich selbst verpflichten können, Datenschutzstandards einzuhalten. War ein Unternehmen in die Liste eingetragen, unterlagen Datenübermittlungen an dieses Unternehmen in die USA keinen zusätzlichen Anforderungen mehr. Der EuGH hat den Privacy Shield am 16. Juli 2020 für ungültig erklärt. Damit fehlt eine wichtige Grundlage für den Datentransfer in die USA.
Die sog. Standardvertragsklauseln hingegen wurden vom EuGH ausdrücklich als weiterhin wirksam erklärt. Allerdings reicht es nicht aus, diese nur zu unterzeichnen, sondern das darin Vereinbarte muss auch tatsächlich umgesetzt werden.
Handlungsbedarf
Die Übermittlung personenbezogener Daten in die USA spielt im Wirtschaftsleben eine wichtige Rolle. Daher sind die Auswirkungen der EuGH Entscheidung weitreichend.
Hat ein Unternehmen die Übermittlung bislang unter dem Privacy Shield vorgenommen, so besteht akuter Handlungsbedarf. Der Privacy Shield ist keine Grundlage für die Übermittlung in die USA mehr. Im Moment wäre jede Übermittlung personenbezogener Daten in die USA rechtswidrig. Angesichts des immensen Bußgeldrahmens ist das ein unkalkulierbares Risiko für jedes Unternehmen.
Die Nutzung der Standardvertragsklauseln ist nach der Entscheidung des EuGH weiterhin möglich. Diese müssen aber erst einmal vereinbart und vor allem auch eingehalten werden. Nach der EuGH Entscheidung ist davon auszugehen, dass sich die Aufsichtsbehörden verstärkt mit der Frage der Zulässigkeit der Übermittlung in die USA befassen werden. Es wird sicher nicht mehr ausreichen, bloß unterzeichnete Standardvertragsklauseln vorzulegen. Die Einhaltung dieser wird zunehmend hinterfragt werden. Ob die Aufsichtsbehörden darüber hinaus mit der Argumentation des EuGH die Sicherheit der personenbezogenen Daten in den USA insgesamt in Frage stellen, bleibt abzuwarten.
Verantwortlichen, die personenbezogene Daten in die USA übermitteln, ist zu empfehlen, zu prüfen, ob die Übermittlung den besonderen Anforderungen des Art. 44 DSGVO entspricht. Das gilt zwar für den Transfer in jeden Drittstaat, aber nach der Entscheidung des EuGH rücken die Datentransfers in die USA sicherlich in den Mittelpunkt des Interesses der Aufsichtsbehörden. Zur Vermeidung drohender Bußgelder sollte die Einhaltung der Anforderungen sorgfältig geprüft und umgesetzt werden.