Abkommen „Privacy Shield“ für die Übermittlung personenbezogener Daten zwischen der EU und den USA vom EuGH für ungültig erklärt | Beitrag von Anna Tanyeli, VACE Compliance Consultant

DIGITAL SOLUTIONS,
VACE Mitarbeiter

Der EuGH hielt in seiner Entscheidung vom 16.07.2020 fest, dass im „Privacy Shield“ Beschluss der Kommission, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte von Personen ermöglicht, deren Daten in die USA übermittelt werden. Der EuGH kam zum Ergebnis, dass die Einschränkungen des Schutzes personenbezogener Daten in den USA nicht so ausgestaltet sind, dass sie den in der EU nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen an derartige Einschränkungen entsprechen.

Das Abkommen „Privacy Shield“ regelte bis 16.07.2020 die Übermittlung personenbezogener Daten zwischen der EU und der USA. Diesem Abkommen lag die Feststellung der Europäischen Kommission zugrunde, dass die USA aufgrund ihrer innerstaatlichen angemessenen Rechtsvorschriften oder ihrer internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleisten. Dieser Angemessenheitsbeschluss stellte somit fest, dass ein EU-konformes Datenschutzniveau für den Datentransfer aus der EU an US-Unternehmen, die sich dem „Privacy Shield“ unterworfen haben, gewährleistet ist. US-Unternehmen hatten die Möglichkeit, sich in eine vom US-Handelsministerium geführte Liste eintragen zu lassen, wenn sie sich zur Einhaltung der vereinbarten und verbindlichen Anforderungen der „Privacy Shield Principles“ durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium verpflichtet hatten. 

Was sind die Hintergründe für die Aufhebung?

Die auf amerikanische Rechtsvorschriften gestützten Überwachungsprogramme in den USA sind nicht auf das zwingend erforderliche Maß beschränkt. Die relevanten amerikanischen Rechtsvorschriften lassen nicht erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung von umfassender Überwachung Einschränkungen bestehen. Darüber hinaus ist aus denselben Rechtsvorschriften nicht ersichtlich, dass für die potenziell von den Überwachungsprogrammen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Den betroffenen Personen werden im Ergebnis keine Rechte verliehen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

Welche Folgen hat die Aufhebung für österreichische und europäische Unternehmen?

Für österreichische Unternehmen und die Unternehmen in anderen europäischen Ländern bedeutet die Erklärung der Ungültigkeit des „Privacy Shield“, dass der Datenverkehr mit den USA nicht mehr auf diese Rechtsgrundlage gestützt werden kann. Bei Verstößen gegen die Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer (die USA fallen darunter) oder an internationale Organisationen, riskieren österreichische und europäische Verantwortliche empfindliche Geldbußen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Es bleibt daher zu prüfen, welche weiteren Möglichkeiten einer zulässigen Datenübermittlung in die USA im Einklang mit der DSGVO den Unternehmen offen stehen.  

Was ist nun konkret zu tun?

Mangels eines Angemessenheitsbeschlusses darf der Verantwortliche oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur dann übermitteln, sofern er (als Unternehmer) geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Die geeigneten Garantien können bestehen in

  • Verbindlichen (unternehmens)internen Datenschutzvorschriften („Binding Corporate Rules“)
  • Standarddatenschutzklauseln, die von der Kommission genehmigt wurden und welche zwischen den übermittelnden Unternehmen und den betroffenen Personen verbindlich vereinbart werden sowie
  • Genehmigten Verhaltensregeln oder genehmigten Zertifizierungsmechanismen in den übermittelnden Unternehmen.

Liegen keine geeigneten Garantien im Sinne der oben angeführten Auflistung vor, darf die Übermittlung an ein Drittland (USA) nur dann erfolgen, sofern nachfolgende Voraussetzungen erfüllt sind:

  • Ausdrückliche Einwilligung der betroffenen Person
  • Die Übermittlung ist für die Erfüllung eines Vertrages zwischen dem übermittelnden Unternehmen und der betroffenen Person erforderlich
  • Die Übermittlung der personenbezogenen Daten ist zur Geltendmachung, Verteidigung oder Ausübung von Rechtsansprüchen erforderlich
  • Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem verantwortlichen Unternehmen mit einer anderen Person geschlossenen Vertrags erforderlich
  • Die Übermittlung erfolgt zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen, sofern die betroffene Person außerstande ist, ihre Einwilligung zu geben
  • Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig.

Liegt keine der genannten Voraussetzungen vor, darf eine Übermittlung nur noch in einem sehr begrenzten Rahmen erfolgen: Wenn die betreffende Übermittlung nicht wiederholt durchgeführt wird, wenn die Übermittlung nur eine begrenzte Zahl von betroffenen Personen betrifft und für die Wahrung der zwingenden berechtigten Interessen des verantwortlichen Unternehmens erforderlich ist.

Fazit

Die Beurteilung der Zulässigkeit von Übermittlungen personenbezogener Daten in die USA bedarf nach der Aufhebung des „Privacy Shield“ einer sorgfältigen Prüfung der Zulässigkeit, da ansonsten erhebliche Geldbußen riskiert werden. Es ist ein vorgegebenes strenges Prüfschema einzuhalten, dass im konkreten Fall einer sorgfältigen Einzelfallbetrachtung bedarf. Das Team der VACE Digital Solutions bietet Ihnen im Rahmen seiner Services „Datenschutzbeauftragter“ eine individualisierte professionelle und umfassende Anleitung sowie Begleitung zu diesem Thema.