Mit seinem aktuellen Urteil erklärt der EuGH das Privacy-Shield -Abkommen für unwirksam. Im Wesentlichen begründet er dies mit den US-Sicherheitsgesetzen, die den Behörden weitreichende Zugriffsmöglichkeiten ohne nennenswerte Einschränkungen auf Daten von EU-Bürgern einräumen, ohne dass eine gerichtliche Kontrolle möglich ist.
Gleichzeitig entschied der EuGH auch über die Standard-Datenschutzklauseln, mit denen ein Datenimporteur im Drittland gegenüber einem europäischen Unternehmen vertraglich zusichert, dorthin übermittelte Daten nach EU-Datenschutzstandards zu verarbeiten.
Diese sollen grundsätzlich weiterhin gültig sein, sofern es dem Datenempfänger nach den Gesetzen des Ziellandes möglich ist, diese Datenschutzklauseln auch einzuhalten. Da in den USA die Firmen gesetzlich verpflichtet sind, staatlichen Behörden gegenüber weitreichend ihre Daten zur Verfügung zu stellen, seien die europäischen Datenschutzbehörden verpflichtet, die auf diese Datenschutzklauseln gestützte Übermittlung dann in solchen Ländern auszusetzen oder zu verbieten.
Dieses Urteil hat erhebliche praktische Auswirkungen auf den internationalen Datenaustausch!
Datentransfers in die USA sind ab sofort datenschutzwidrig, wenn sie ausschließlich auf Grundlage einer Privacy Shield- Zertifizierung erfolgen. Erfasst sind nicht nur Übermittlungen an Auftragsverarbeiter, also Cloud-Dienstanbieter, sondern auch solche innerhalb eines Konzerns oder an Geschäftspartner, bei denen zumindest ein Teil der Datenverarbeitung in den USA erbracht wird.
Sowohl der Einsatz von Software-Tools, bei denen zumindest ein Teil der Datenverarbeitung in den USA stattfindet, als auch die konzerninternen Datenflüsse an US-Konzernunternehmen müssen überprüft werden.
Der EuGH deutet an, dass dies in den USA aufgrund der unkontrollierten Überwachungsbefugnisse der Sicherheitsbehörden kein angemessenes Schutzniveau besteht.
Zulässig bleibt allein eine Übermittlung, die zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen mit dem Betroffenen erforderlich ist. Die Kommunikation mit amerikanischen Kunden oder Hotelbuchungen in den USA sind weiter zulässig.
Ebenso nicht unmittelbar betroffen ist die Nutzung von US-Dienstleistern, wenn die Leistungserbringung vollständig in europäischen Rechenzentren erfolgt. Dies ist zum Beispiel bei großen Hosting- und Cloud-Anbietern (z.B. Amazon Cloud) aus den USA mittlerweile der Fall, da sie über Serverstandorte in Europa verfügen.
In der Praxis bleibt somit zunächst nur der Weg über den Einsatz von Standarddatenschutzklauseln, welche für eine gewisse Rechtssicherheit Sorge tragen. Daneben bleibt aber sicherlich die große Unsicherheit hinsichtlich der zusätzlich nach wie vor erforderlichen Prüfung des Datenschutzniveaus im Land des Datenempfängers.
Es bleibt also abzuwarten, wie sich weitere Datenschutzbehörden in Deutschland und der EU zur Frage des rechtskonformen Einsatzes von Standardvertragsklauseln bei Datentransfers in die USA positionieren. Denkbar wäre ein erneuter Versuch einer Nachfolgeregelung des Privacy Shield zu etablieren.
Dieses Abkommen müsste aber deutliche Beschränkungen der amerikanischen Sicherheitsgesetze und Ausweitung der Rechtsschutzmöglichkeiten für EU-Bürger umfassen. Dies scheint wenig aussichtsreich. Die USA werden ihre Sicherheitsgesetze nicht wegen Datenschutzbedenken der EU ändern!
Im Ergebnis bleibt es in der Praxis einem zunächst nichts anderes übrig als das weitere Vorgehen der EU-Kommission und Empfehlungen der Datenschutzaufsichtsbehörden abzuwarten. Entsprechende Ankündigungen wurden sowohl von der EU-Kommission, sowie vom europäischen Datenschutzausschuss (EDSA) bereits getätigt. Also, leider wie so oft abwarten…