https://www.faz.net/-irf-a1mfs

Einspruch exklusiv : Wie es nach Schrems II weitergehen kann

  • -Aktualisiert am

Didier Reynders, EU-Kommissar für Justiz und Rechtsstaatlichkeit, spricht während einer Pressekonferenz zum Datenschutz, 16. Juli 2020. Bild: dpa

Das jüngste Urteil des EuGH zu Datentransfers in Drittstaaten bürdet Unternehmen große Rechtsunsicherheit auf; manche Datenschutzbehörden fordern gar, den Austausch mit den Vereinigten Staaten gänzlich einzustellen. Doch das wäre unverhältnismäßig.

          5 Min.

          Das Schrems II-Urteil setzt einen vorläufigen Schlusspunkt im jahrelangen Rechtsstreit zwischen dem Datenschützer Maximilian Schrems, Facebook und der irischen Datenschutzbehörde. Schrems war gegen Datenübermittlungen in die Vereinigten Staaten vorgegangen; auf seine Klage hin hob der Europäische Gerichtshof (EuGH) 2015 zunächst das Safe Harbour-Abkommen auf (C-362/14). Fünf Jahre später hatte der Gerichtshof über die Standarddatenschutzklauseln sowie den Privacy Shield – den Nachfolger des Safe Harbour-Abkommens – zu entscheiden. Damit standen die zwei wichtigsten Instrumente für Datentransfers in Drittstaaten außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) auf dem Prüfstand. Die Datenschutz-Grundverordnung verlangt von Unternehmen, diese oder andere gesetzlich vorgesehene Mechanismen bei Datenübermittlungen aus der EU und dem EWR heraus umzusetzen, um sicherzustellen, dass die Daten auch in dem Drittland angemessen geschützt sind.

          Mit seinem aktuellen Urteil erklärt der EuGH nun auch den Privacy Shield für unwirksam. Im Wesentlichen begründet er dies mit den US-Sicherheitsgesetzen, die den Behörden weitreichende Zugriffsmöglichkeiten ohne nennenswerte Einschränkungen auf Daten von EU-Bürgern einräumen, ohne dass eine gerichtliche Kontrolle möglich ist. Dies verstoße gegen EU-Datenschutzrecht, das für transferierte Daten auch in Drittländern ein in der Sache gleichwertiges Schutzniveau wie in der EU verlange. Datenübermittlungen in die Vereinigten Staaten allein auf Basis des Privacy Shield sind künftig damit nicht mehr zulässig.

          Gleichzeitig entschied der EuGH auch über die Standarddatenschutzklauseln, mit denen ein Datenimporteur im Drittland gegenüber einem europäischen Unternehmen vertraglich zusichert, dorthin übermittelte Daten nach EU-Datenschutzstandards zu verwenden. Die Standarddatenschutzklauseln sind nach dem Gericht weiterhin gültig. Setzen Unternehmen aber künftig diese Klauseln ein, sollen sie im Einzelfall prüfen müssen, ob in dem jeweiligen Drittland tatsächlich ein angemessenes Schutzniveau herrscht. Daran fehlt es, wenn es dem Empfänger nach den Gesetzen des Ziellandes nicht möglich ist, seine Pflichten aus den Standarddatenschutzklauseln einzuhalten, weil er staatlichen Behörden weitreichend Daten offenlegen muss. Gleichzeitig sieht das Gericht die Datenschutzbehörden verpflichtet, auf Standarddatenschutzklauseln gestützte Übermittlungen aussetzen oder zu verbieten, wenn sie der Ansicht sind, dass dem Empfänger deren Einhaltung unmöglich ist.

          Auswirkungen in der Praxis

          Das Schrems II-Urteil hat erhebliche praktische Auswirkungen auf den internationalen Datenaustausch. Mit dem Privacy Shield fällt das spezifisch auf Datentransfers zwischen der EU und den Vereinigten Staaten zugeschnittene Instrument ersatzlos weg. Unternehmen, die Datentransfers bislang allein hierauf gestützt haben, sind angehalten, schnellstmöglich auf Standardvertragsklauseln umzustellen. Andernfalls fehlt eine rechtliche Basis für die Datenübermittlung. In der Praxis hat ein großer Teil der Unternehmen allerdings schon bislang alternativ oder ergänzend zum Privacy Shield auf Standarddatenschutzklauseln gesetzt.

          Diese Klauseln stellen nun erst Recht das wichtigste Instrument für Datenübermittlungen in Drittländer dar. Obwohl der EuGH die Wirksamkeit dieser Klauseln grundsätzlich bestätigt, bringt das Urteil aufgrund der nun geforderten Einzelfallprüfung jedoch große Rechtsunsicherheit mit sich. Der EuGH weist die Verantwortung für den rechtmäßigen Einsatz von Standarddatenschutzklauseln den Unternehmen sowie den Datenschutzbehörden zu.

          Für die Einzelfallprüfung, die diese vornehmen sollen, nennt das Urteil kaum konkrete Maßstäbe. Dies überfordert Unternehmen und bietet Datenschutzbehörden Raum für strikte Interpretationen. Einzelne Behörden nehmen die Aussagen des EuGH bereits zum Anlass, Datenübermittlungen in die Vereinigten Staaten ganz in Frage zu stellen.

          So hat der Hamburgische Datenschutzbeauftragte angekündigt, auf Standarddatenschutzklauseln gestützte Datentransfers kritisch zu überprüfen und auch die Datenschutzbehörde Rheinland-Pfalz nimmt Unternehmen in die Pflicht. Diese müssten sich dauerhaft mit der Gesetzeslage im Zielland auseinandersetzen, in den Vereinigten Staaten müssten sie etwa die Anwendung des Foreign Intelligence Surveillance Act (FISA) 702 und der Executive Order 12.333 im einzelnen Fall prüfen. Die Berliner Datenschutzbeauftragte fordert gar pauschal alle Unternehmen in ihrem Zuständigkeitsbereich auf, in den Vereinigten Staaten gespeicherte Daten nach Europa zu verlagern. Kunden von Cloud-Diensten etwa sollten zu Anbietern in der EU wechseln. Bei Verstößen solle den betroffenen Personen Schadensersatz in abschreckender Höhe zustehen, der auch immaterielle Schäden umfasse. Die rechtliche Begründung dieser Position lässt sich der Entscheidung des EuGH allerdings nicht ohne weiteres entnehmen.

          Den Datentransfer einfach einzustellen wäre unverhältnismäßig

          Derzeit kann man Unternehmen kaum ernsthaft raten, sämtliche Datenübermittlungen in die Vereinigten Staaten auf Basis der Standarddatenschutzklauseln sofort zu stoppen. Das wäre in vielen Fällen unwirtschaftlich und unverhältnismäßig. Als Grundlage einer fortgesetzten Datenübertragung dürften in der Praxis meist nur die Standarddatenschutzklauseln in Betracht kommen, denn weder Binding Corporate Rules, individuelle Datenschutzklauseln noch Einwilligungen oder gesetzliche Ausnahmetatbestände bieten für Drittlandtransfers an externe Dienstleister eine kurzfristig verfügbare und rechtlich belastbare Grundlage.

          Um die mit dem fortgesetzten Einsatz von Standarddatenschutzklauseln einhergehenden rechtlichen Risiken zu minimieren, können Unternehmen das folgende Vorgehen in Betracht ziehen: Zunächst müssen sie die nun verlangte Einzelfallprüfung des Datenschutzniveaus durchführen. Sie sollten diese aber nicht darauf beschränken, die Rechtslage im Zielland mit Blick auf behördliche Zugriffsbefugnisse zu analysieren. Darüber hinaus empfiehlt es sich, eine einzelfallbezogene und gut dokumentierte Risikoanalyse in Bezug auf die jeweilige Datenübermittlung vorzunehmen, die alle risikorelevanten Faktoren berücksichtigt. Hierzu zählen etwa Art und Umfang der übermittelten Daten, Wahrscheinlichkeit eines behördlichen Zugriffs bei dem konkreten Empfängerunternehmen, technische Schutzmaßnahmen wie Verschlüsselung, oder besondere vertragliche Mittel (z.B. erhöhte Beobachtungs- und Mitteilungspflichten). Das Ergebnis dieser Risikoanalyse sollte umfassend dokumentiert werden.

          Trotz dieser Maßnahmen ist nicht auszuschließen, dass Datenschutzbehörden auf Basis der Standarddatenschutzklauseln in die Vereinigten Staaten durchgeführte Datentransfers als unzulässig werten. Unternehmen sollten sich bereits jetzt darauf vorbereiten, ihr Vorgehen notfalls vor Gericht – etwa im Rahmen eines Bußgeldverfahrens – zu verteidigen. Der EuGH hat mit dem Schrems II-Urteil die Möglichkeit gehabt, auf Standarddatenschutzklauseln gestützte Datenübermittlungen in die Vereinigten Staaten für unzulässig zu erklären. Dass er dies nicht explizit getan hat, kann ein wichtiges Argument für die Verteidigung vor Gericht sein. Dieser Enthaltung kommt besonderes Gewicht zu, weil eine eindeutige und pauschale Aussage des EuGH hierzu angesichts der klaren Vorlagefragen nahe gelegen hätte.

          Suche nach einem neuen Umgang

          Es bleibt abzuwarten, wie sich weitere Datenschutzbehörden in Deutschland und der EU zur Frage des rechtskonformen Einsatzes von Standardvertragsklauseln bei Datentransfers in die Vereinigten Staaten positionieren. In Deutschland könnte eine zeitnahe Stellungnahme der Datenschutzkonferenz zu mehr Rechtssicherheit beitragen, falls sich die Behörden auf einen gangbaren Kurs verständigen sollten. Vor allem bereits angekündigte konkrete Empfehlungen des Europäischen Datenschutzausschusses (EDSA) könnten in der Praxis einige Bedeutung erlangen.

          Offen ist auch die Reaktion der Kommission auf die neue Situation. Es ist denkbar, dass sie eine Nachfolgeregelung des Privacy Shield erarbeitet. Eine belastbare Zwischenlösung, etwa in Form eines abermaligen Datenschutzabkommens, müsste Beschränkungen der amerikanischen Sicherheitsgesetze und Ausweitungen der Rechtsschutzmöglichkeiten für EU-Bürger umfassen. Dies scheint derzeit wenig aussichtsreich. Schließlich hat die Kommission nach dem Urteil in Aussicht gestellt, weiterhin sichere Datenübertragungen in Drittländer zu gewährleisten. Ob und wann es zu einer konstruktiven und rechtssicheren Lösung kommen wird, ist derzeit aber noch nicht abzusehen.

          Tim Wybitul ist Partner, Valentino Halim ist Associate bei Latham & Watkins in Frankfurt.

          Frankfurter Allgemeine Einspruch

          Alles was Recht ist

          Zur kompletten Ausgabe

          Jetzt mit F+ lesen

          In einem Testzentrum in Kapstadt

          Afrika : Verschont Covid-19 einen ganzen Kontinent?

          Die Pandemie wütet überall. Doch Afrika hat nur einen Bruchteil der Infizierten und Toten. Für Wissenschaftler ist es ein großes Rätsel.

          Corona-Krise : Warum die Zahlen in Spanien wieder ansteigen

          Nirgendwo in Westeuropa gibt es so viele Neuinfektionen wie in Spanien – und das, obwohl nahezu überall Maskenpflicht herrscht und die Behörden wieder Ausgangssperren verhängen. Nun warnt das Auswärtige Amt auch vor Reisen nach Madrid.
          Rücksichtslos: Cornelia Koppetsch hat der Untersuchungskommission zufolge gegen „die gute wissenschaftliche Praxis“ verstoßen.

          Verfahren gegen Koppetsch : Plagiate im Dutzend

          Das Disziplinarverfahren der TU Darmstadt gegen Cornelia Koppetsch setzt neue Maßstäbe der Wissenschaftshygiene. Mit genau der gleichen Strenge und Transparenz sollten auch die Plagiate in der Doktorarbeit der Ministerin Franziska Giffey untersucht werden.
          Dieser Artikel wurde Ihnen von einem Abonnenten geschenkt und kann daher kostenfrei von Ihnen gelesen werden.
          Zugang zu allen F+Artikeln