EuGH hebt den Privacy Shield auf: Und jetzt?

Unter dem Datenschutzabkommen "Privacy Shield" hatten sich über 4.000 US-amerikanische Unternehmen zertifizieren lassen. In der Folge war es ihren Geschäftspartnern in der EU erlaubt, personenbezogene Daten – etwa Arbeitnehmerdaten oder Verbraucherdaten – an solche zertifizierten Unternehmen in den USA zu übermitteln. Der Privacy Shield selbst, rechtlich auf einem Durchführungsbeschluss der EU-Kommission fußend, war in Kraft gesetzt worden, nachdem das Safe-Harbor-Abkommen im Oktober 2015 vom Europäischen Gerichtshof (EuGH) zu Fall gebracht worden war.

Aber die Kritik von Datenschützern riss nicht ab: Zu schrankenlos sei noch immer der Zugriff der US-Nachrichtendienste wie der NSA auf die Daten, zu wenig ausgeprägt der Rechtsschutz für Betroffene. Entsprechend hatte der Datenschutzaktivist Max Schrems, der das Verfahren in Gang gesetzt hatte, den Privacy Shield bereits damals als „Schwein mit zehn Lagen Lippenstift“ bezeichnet, der die Probleme des Safe Harbor-Abkommens nicht gelöst habe. Die Luxemburger Richter erklärten ihn nun am Donnerstag quasi im "Schrems II"-Verfahren für ungültig (Urt. v. 16.07.2020, Az. C-311/18).

Warum der EuGH den Privacy Shield gekippt hat

Der Kritik der Datenschützer hat sich der EuGH nun angeschlossen. Auch wenn die US-Nachrichtendienste beim Zugriff auf personenbezogene Daten bestimmte Anforderungen zu beachten hätten, seien deren Überwachungsprogramme nicht auf das "zwingend erforderliche Maß" beschränkt. Mit anderen Worten: Die Massenüberwachung durch die US-Nachrichtendienste sei uferlos, die Daten europäischer Nutzer in den USA damit nicht angemessen geschützt.

Hinzu kommt nach Auffassung der Luxemburger Richter: Mit dem zwischenzeitlich nachgebesserten Ombudsmechanismus werde Betroffenen in der EU kein ausreichender Rechtsbehelf gegen die nachrichtendienstliche Überwachung in den USA geboten. Dass der beim US-Außenministerium angesiedelte Ombudsmann verbindliche Entscheidungen gegenüber den US-Nachrichtendiensten erlassen könnte, war auch von Seiten der USA bisher nicht ernsthaft behauptet worden. Damit verstoße der Privacy Shield auch gegen Art. 47 der Europäischen Grundrechte-Charta, wonach jeder Person ein wirksamer Rechtsbehelf gegen Grundrechtseingriffe zustehen muss, wie der EuGH befand.

Die Standardvertragsklauseln bleiben wirksam

Anders als den Privacy Shield hält der EuGH allerdings die sogenannten Standardvertragsklauseln, die ebenfalls Gegenstand des Verfahrens waren, weiterhin für uneingeschränkt gültig. Das sind von der EU-Kommission vorgegebene Verträge, unter denen sich die jeweiligen Parteien bei Datenübermittlungen zur Einhaltung angemessener Datenschutzstandards verpflichten. Die Standardvertragsklauseln sind bisher das in der Praxis am meisten verbreitete Rechtsinstrument für Datentransfers zwischen EU-Unternehmen und Drittländern wie den USA.

Nach Ansicht des EuGH bestehen Bedenken wie beim Privacy Shield hier nicht: Denn zum einen könne der Datenexporteur – also zum Beispiel ein EU-Unternehmen – im Zweifel die Datenübermittlung aussetzen. Zum anderen seien die zuständigen Aufsichtsbehörden in der EU befugt, die Übermittlung von personenbezogenen Daten in die USA untersagen, wenn sie Zweifel an der Rechtmäßigkeit haben.

Außerdem stünden den Nutzern, deren Daten betroffen sind, im Gegensatz zum Privacy Shield sehr wohl wirksame Rechtsbehelfe zu. Ob die Betroffenen in der Praxis angemessenen Rechtsschutz nachsuchen werden, bleibt indes zu bezweifeln: Dazu nämlich müsste ihnen erst einmal bekannt sein, dass gerade ihre Daten in die USA übermittelt werden, was vielfach, etwa in der Unternehmenswelt, nicht der Fall ist.

Daten "einfach" in Europa speichern?

Wer Daten aus der EU nun in Drittstaaten übermitteln will, wird sich nach Lösungen umsehen müssen. Denn ohne einen anderen Erlaubnismechanismus statt des Privacy Shields wäre eine Übermittlung personenbezogener Daten in die USA rechtswidrig. Es drohen etwa europäischen Unternehmen dann im schlimmsten Fall Bußgelder in Höhe von bis zu 20 Millionen Euro oder – noch gravierender – bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens oder, wenn einschlägig, des zugehörigen Konzerns.

Als Alternative zum Privacy Shield sind besagte Standardvertragsklauseln denkbar, die nach dem EuGH-Urteil ein wirksames Instrument bleiben. Unternehmen könnten also mit ihren US-Geschäftspartnern Standardvertragsklauseln abschließen, statt wie bisher auf den Privacy Shield zu vertrauen.

Allerdings ist auch dies künftig nicht risikolos: Denn Betroffene – etwa Kunden oder Mitarbeiter – könnten sich im Zweifelsfall an die zuständige lokale Datenschutzbehörde wenden, die unter Umständen US-Datentransfers des betreffenden Unternehmens untersagen könnte. Ob dies der Fall ist, hängt dann von den Umständen des Einzelfalls ab. Geht es etwa um Datenübermittlungen an US-Telekommunikationsunternehmen oder Internetdiensteanbieter, so sind die Zugriffsbefugnisse der US-Nachrichtendienste besonders weitreichend und eine Untersagung damit wahrscheinlicher: Der US-amerikanische Foreign Intelligence Surveillance-Act (FISA) sieht vor, dass solche Unternehmen gegenüber den US-Diensten auskunftspflichtig sind und es dafür auch keinen richterlichen Beschluss braucht, um auf Daten bei solchen Unternehmen zuzugreifen. Dies betrifft beispielsweise Anbieter sozialer Netzwerke, aber auch Cloud-Anbieter wie Amazon oder Microsoft.

Andererseits: Wirkliche Alternativen zu den Standardvertragsklauseln bieten sich in der Praxis kaum an. Denn die europäische Datenschutzgrundverordnung sieht nur einen begrenzten Katalog an Erlaubnisnormen für Drittlandsübermittlungen vor. Die Einholung einer Einwilligung ist zum Beispiel häufig nicht praktikabel oder – im Fall von Beschäftigten – einem Unwirksamkeitsrisiko wegen mangelnder Freiwilligkeit ausgesetzt. Unternehmen könnten aber erwägen, personenbezogene Daten vermehrt in der EU zu speichern: Bereits nach dem Safe-Harbor-Urteil aus dem Jahr 2015 hatten einige Cloud-Anbieter umgehend europäische Clouds angeboten.

Engere Abstimmung mit den europäischen Behörden?

Um Haftungsrisiken zu minimieren, könnten EU-Unternehmen auch auf eine stärkere Abstimmung mit den für sie zuständigen Aufsichtsbehörden setzen, wenn sie Übermittlungen in die USA planen. Da eine unzulässige Überwachung in den USA für Datenexporteure nämlich oft nicht erkennbar oder nachvollziehbar ist, könnten sie sich im Zweifel an ihre lokale Aufsichtsbehörde wenden und deren Meinung einholen.

Der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber kündigte in einer ersten Reaktion auf das EuGH-Urteil am Donnerstag übrigens schon an, sich mit seinen europäischen Kollegen abzustimmen und zu prüfen, inwieweit die hohen Anforderungen des EuGH bei US-Transfers erfüllt würden.

EU-Kommission hatte die Schlappe offenbar schon erwartet

Abzuwarten bleibt, wie die USA und die EU-Kommission auf das Urteil des EuGH reagieren werden.

Bei der EU-Kommission hatte man sich offenbar bereits auf ein Scheitern des Privacy Shields vorbereitet und "an alternativen Instrumenten" gearbeitet. Auch eine Überarbeitung der bereits 2010 veröffentlichten Standardvertragsklauseln ist in Brüssel immer wieder diskutiert worden.

Dass die USA ihre Überwachungspraxis ändern werden, steht – zumindest vor der Wahl im November diesen Jahres – wohl nicht zu erwarten. Das US-Handelsministerium tat bereits seine "schwere Enttäuschung" über das EuGH-Urteil kund und unterstrich, dass es die US-Regeln für den Datenzugriff als in den meisten Fällen ausreichend erachte.

Der Autor Dr. Ingemar Kartheuser ist Counsel bei der Wirtschaftskanzlei Linklaters und spezialisiert auf Technologierecht, auf Daten- und Geheimnisschutzrecht sowie auf IT-Vertragsrecht. Er berät regelmäßig internationale Mandanten bei der Implementierung von Technologie-Projekten.