In unserem Newsletter vom 24.07.2019 (Dunkle Wolken am Horizont) berichteten wir von der Anhörung in der Rechtssache Schrems ./. Facebook II (C 311/18), die der baden-württembergische Datenschutzbeauftragte damals als „Rumble in the Jungle“ (in Anlehnung an einen legendären Muhammad Ali Boxkampf) betitelte. Nunmehr hat der Europäische Gerichtshof am gestrigen Donnerstag seine Entscheidung getroffen, die von vielen mit großer Nervosität erwartet wurde und die einen teils erwarteten, teils befürchteten Paukenschlag darstellt.
I. Worum ging es genau?
Das Verfahren Schrems ./. Facebook hat eine lange Vorgeschichte. Berits 2011 hatte der damalige österreichische Student Maximilian Schrems eine Beschwerde gegen Facebook eingereicht, mit der er sich gegen den Transfer seiner personenbezogenen Daten in die USA wandte. Hintergrund waren die Snowden Enthüllungen um die Überwachungspraktiken der NSA. Im Jahr 2015 entschied der EUGH, dass das damals mit den USA bestehende sogenannte „Safe Habour Abkommen“ keinen ausreichenden Schutz für eine Datenverarbeitung bietet und damit auf dieser Basis keine Übermittlung von Daten in die USA gerechtfertigt werden kann.
Das Nachfolgemodell war das EU-US-Privacy-Shield Abkommen, das seit 2016 die Grundlage für einen Großteil der Datenübermittlungen in die USA bildete. Dabei handelte es sich um eine Art Selbstzertifizierungsmechanismus, organisiert vom US Department of Commerce, dem sich zuletzt ca. 4.800 amerikanische Unternehmen unterworfen hatten. Damit sollte ein ausreichender Schutz für EU-Daten gewährleistet sein.
Ein Großteil der Datentransfers von der EU in Drittstaaten (also außerhalb der EU und des EWR) erfolgte aber gar nicht auf der Grundlage des Privacy Shield Mechanismus, sondern auf Basis von sogenannten Standardvertragsklauseln, auf die sich auch Facebook nach der Safe-Habour-Entscheidung berief. Maximilian Schrems, mittlerweile Anwalt, passte seine Beschwerde an diese neuen Tatsachen an und forderte weiterhin, Facebook am Datentransfer in die USA zu hindern. Das Verfahren hat seinen Ursprung in Irland, nachdem sich dort die europäische Facebook-Zentrale befindet. Der irische High Court hat im Jahr 2018 eine gezielte massenhafte Überwachung durch die Regulierungsbehörden der Vereinigten Staaten festgestellt und dem EUGH eine Reihe von Fragen vorgelegt. Diese beschäftigten sich sowohl mit dem Privacy Shield Abkommen als auch mit den Standardvertragsklauseln, sodass der EUGH nunmehr eine Entscheidung über beide Transferregularien treffen musste.
II. Grundsätze für den Datentransfer in Staaten außerhalb der EU/EWR
Bevor eine Bewertung der Entscheidung des EUGH vorgenommen wird und hieraus Konsequenzen abgeleitet werden, empfiehlt sich ein Blick auf die Grundsätze für den Datentransfer in Drittländer.
1. Angemessenheitsbeschluss
Eine Übermittlung von personenbezogenen Daten in Drittstaaten ist nach europäischem Recht nur zulässig, wenn auch dort ein angemessenes Datenschutzniveau gesichert ist. Nach Art. 45 DSGVO kann die europäische Kommission feststellen, dass ein Drittland oder eine internationale Organisation ein solches angemessenes Datenschutzniveau gewährleistet. Ist dies der Fall, bedarf es keiner weiteren Maßnahme, ein Datentransfer ist ohne weiteres zulässig. Angemessenheitsbeschlüsse auf EU-Ebene bestehen zur Zeit für folgende Staaten: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada, Neuseeland, die Schweiz und Uruguay.
Hinzu kam für die USA das bereits erwähnte Privacy Shield Abkommen.
Liegt kein Angemessenheitsbeschluss vor, geht die Datenschutzgrundverordnung grundsätzlich davon aus, dass kein angemessenes Datenschutzniveau im Drittland vorliegt. In diesem Fall muss also die Datenübermittlung von weiteren Schutzmaßnahmen begleitet werden. In Betracht kommen folgende Möglichkeiten:
2. Standardvertragsklauseln
Standardvertragsklauseln, die von der europäischen Kommission erlassen wurden, können ohne weitere Genehmigung durch die Aufsichtsbehörden als Grundlage für Datenübermittlung in Drittländer und an internationale Organisationen genutzt werden, wenn sie im Wesentlichen unverändert in die zugrundeliegenden Verträge übernommen werden. Nachdem die europäische Kommission nach dem Inkrafttreten der DSGVO noch keine Standardvertragsklauseln erlassen hat, gilt gemäß Art. 46 Abs. 5 DSGVO, dass die zuvor zur EU- Datenschutz-Richtlinie erlassenen Standardvertragsklauseln weiter gültig sind.
3. Genehmigte Regelwerke
Alternativ können auch einzeln ausgehandelte Vertragsklauseln datenschutzkonform sein, sie müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden.
Ähnliches gilt für verbindliche interne Datenschutzvorschriften (Binding Corporate Rules/BCR), die insbesondere in großen internationalen Konzernen Anwendung finden. Sie regeln allerdings nur den internen Datentransfer zwischen Konzernunternehmen und erlauben grundsätzlich keinen Datentransfer zu Externen z. B. zu Serviceprovidern.
Eine weitere Möglichkeit stellen genehmigte Verhaltensregeln (Code of Conduct) oder ein genehmigter Zertifizierungsmechanismus dar, auch hier bedarf es jedoch einer Genehmigung durch die zuständigen Aufsichtsbehörden bzw. spezieller Zertifizierungsstellen.
Wichtig bei allen vorgenannten erforderlichen Genehmigungen ist, dass die Aufsichtsbehörde prüfen muss, ob es rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen im Drittland gibt. Hieran scheitern solche Regelungen oft, da es an der Durchsetzbarkeit für betroffene EU-Bürger und Unternehmen im Ausland fehlt.
4. Allgemeine Rechtfertigungsgründe
Neben speziellen Garantien für Behörden gibt es noch die allgemeinen Ausnahmen nach der DSGVO, namentlich das Vorliegen einer Einwilligung einer betroffenen Einzelperson (die im Arbeitsrecht allerdings kaum Bedeutung hat), die Erforderlichkeit der Übermittlung von Daten für die Erfüllung oder den Abschluss eines Vertrages zwischen der Einzelperson und dem Verantwortlichen (auch dies spielt bei der Übertragung personenbezogener Daten im Arbeitskontext keine Rolle), die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses sowie die Datenübermittlung für die Wahrung der zwingenden berechtigten Interessen der Organisation. Die vorgenannten Ausnahmen sind eng auszulegen und dürfen nach dem Leitfaden des europäischen Datenschutzausschusses nicht für regelmäßige Datentransfers verwendet werden, die eine Vielzahl von Personen betreffen.
Die vorstehende Rechtslage zeigt, wie bedeutsam Standardvertragsklauseln bzw. im Verhältnis zu den USA das Privacy Shield Abkommen sind. Dies unterstreicht die Bedeutung der nunmehrigen Entscheidung des EuGH.
III. Was hat der EuGH entschieden?
Mit unmissverständlicher Klarheit hat der EuGH unter Ziffer 5 seiner Entscheidung festgehalten, dass die bisher für viele Datentransfers in die USA grundlegende Vereinbarung zwischen der EU einerseits und den Vereinigten Staaten von Amerika andererseits, allgemein bezeichnet als „EU-US Privacy Shield“, unwirksam ist. Ein Transfer auf dieser Basis darf daher ab sofort nicht mehr stattfinden. Dies betrifft diejenigen Unternehmen, die eine Zertifizierung nach dem Abkommen durchgeführt haben. Diese Unternehmen werden nunmehr unverzüglich nach einer neuen Rechtsgrundlage für einen Datentransfer suchen müssen.
Hinsichtlich der vielfach genutzten Standard-Vertragsklauseln (s. o. Abschnitt II.2) hat der Europäische Gerichtshof eine differenzierte Entscheidung getroffen. Eine Verwendung dieser Klauseln ist danach weder ein Freibrief für einen Datentransfer noch generell unzulässig. Allerdings müssen die Verwender der Standard-Datenschutzklauseln auf beiden Seiten (Sender und Empfänger der Daten) sicherstellen, dass nicht nur in ihrem Verhältnis die Vertragsklauseln auch umgesetzt werden, sondern es muss überdies ein Abgleich mit den gesetzlichen Regelungen in dem Land, in das die Daten transferiert werden, auf Vereinbarkeit mit der EU-Datenschutzgrundverordnung hin, erfolgen. Darüber hinaus hat der EuGH festgestellt, dass eine Verpflichtung der Datenschutzbehörden in der EU besteht einzuschreiten und einen Datentransfer zu verbieten, der die vorgenannten Voraussetzungen nicht erfüllt. Im Streitfall bedeutet dies, dass der Datentransfer, den Facebook auf der Basis von Standard-Vertragsklauseln durchgeführt hat, künftig unzulässig ist. Letztlich geht die Entscheidung aber viel weiter, da, ohne dass dies ausdrücklich vom EuGH festgestellt wurde, jedenfalls im Verhältnis zu den Vereinigten Staaten von Amerika unzweifelhaft sein dürfte, dass die dortigen Datenschutzvorschriften den europäischen Standards im Regelfall gerade nicht entsprechen. Maßgeblich ist insoweit, dies hat auch in dem Verfahren eine entscheidende Rolle gespielt, dass sich die amerikanischen Sicherheitsbehörden einen umfassenden Datenzugriff gegenüber amerikanischen Unternehmen vorbehalten, selbst wenn sich die Daten gar nicht auf Servern in den USA befinden. Daher helfen im Verhältnis zu den USA vertragliche Vereinbarungen zwischen zwei Zivilrechtsparteien, in denen sich die Parteien verpflichten, die europäischen Datenschutzstandards zu beachten, letztlich gar nichts, da den amerikanischen Unternehmen gegen ihre eigenen Sicherheitsbehörden keine rechtliche Handhabe zur Verfügung steht, einen Zugriff zu verweigern.
Hieraus ist zu folgern, dass ein Datentransfer in die USA im Wesentlichen nur mehr noch erfolgen kann, wenn der Datentransfer entweder im Rahmen der Erfüllung vertraglicher Verpflichtungen notwendig ist oder eine rechtsgültige Einwilligung des von der Datenübertragung Betroffenen vorliegt.
IV. Was ist zu tun?
Unternehmen, die auf Basis des Privacy Shields oder von Standard-Vertragsklauseln routinemäßig Daten in die USA übermitteln oder Einsicht in Personaldaten gewähren, sind dringend gehalten, ihre Praxis unverzüglich einzustellen. Soweit ein Datentransfer weiter als unabdingbar angesehen wird müssen Alternativen wie Binding Corporate Rules geprüft und ggfls. umgesetzt werden.
Auch Betriebsvereinbarungen und Arbeitsverträge, die unter Bezugnahme auf Privacy Shield oder Standardvertragsklauseln den Transfer von Personaldaten erlauben, gehören zwingend auf den Prüfstand und müssen ggfls. sofort außer Kraft gesetzt und angepasst werden.
Bei weiteren Datentransfers entgegen der Entscheidung des EuGH drohen empfindliche Bußgelder. Letztlich bedeutet die Entscheidung voraussichtlich eine wesentlich größere Datensparsamkeit im Verhältnis insbesondere zu den USA (und anderen Ländern mit vergleichbar geringem Datenschutzstandard, hierzu dürfte z.B. auch China zählen). Dies gilt auch für den Transfer von Personaldaten im Konzernverbund, also zum Beispiel von und zu einem amerikanischen oder chinesischen Mutterunternehmen. Nicht vergessen werden dürfen auch Verträge mit Dienstleistern, die Personaldaten verarbeiten (Auftragsdatenverarbeitung). Auch hier ist unverzüglich zu prüfen, wo Daten gespeichert werden und ob die Verarbeitung den Anforderungen des EuGH genügt. Dies betrifft viele amerikanische Softwareanbieter und IT-Dienstleister.