Datentransfer in die USA, das Privacy Shield und der EuGH

Bei der Datenübertragung ist der Schutz der personenbezogenen Daten von EU-Bürgern ein wichtiger Faktor. Werden personenbezogene Daten aus EU-Ländern in die USA übertragen, dann geschieht dies unter anderem auf Basis des Privacy Shield.

Dessen Vorgänger namens Safe Harbor hatte eine Entscheidung des EuGH bereits 2015 für ungültig erklärt. Nun wird erneut ein Urteil des EuGH zum Thema des transatlantischen Datenverkehrs erwartet. Der Europäische Gerichtshof beschäftigt sich mit einer Klage des Datenschützers Max Schrems gegen die irische Datenschutzaufsicht.

Von dem Fall wird häufig auch als Schrems II gesprochen. Der Ausgang des Urteils kann dazu führen, dass Unternehmen sich über die rechtlichen Grundlagen, auf der sie personenbezogen Daten in die USA übertragen wollen, Gedanken machen müssen. Das Urteil des EuGH wird für den 16. Juli 2020 erwartet.

ComputerWeekly.de hat mit Dr. Viola Bensinger und Dr. Johanna Hofmann von der Kanzlei Greenberg Traurig über die möglichen Folgen für Unternehmen im Hinblick auf den transatlantischen Datenverkehr gesprochen.

Greenberg Traurig ist eine internationale Transaktionskanzlei an weltweit 41 Standorten. In Deutschland beraten rund 70 Anwälte schwerpunktmäßig Transaktionen in den Branchen Immobilien, Technologie und Telekommunikation, Medien und Entertainment sowie Infrastruktur.

Welche Bedeutung hat das EuGH-Urteil für hiesige Unternehmen im Hinblick auf die Datenübertragung in die USA und die dortige Datenspeicherung?

Greenberg Traurig: Das Urteil könnte für hiesige Unternehmen bedeuten, dass sie den Transfer personenbezogener Daten in die USA nicht mehr wie bisher auf den so genannten Privacy Shield, ein Abkommen zwischen der EU und den USA, stützen werden können.

Allerdings ist noch ungewiss, ob der EuGH diese Woche überhaupt über den Privacy Shield entscheiden wird. Der Generalanwalt hat jedenfalls in seinen – für das Gericht zwar nicht verbindlichen, erfahrungsgemäß aber Richtung weisenden – Schlussanträgen die Ansicht vertreten, dass über den Schutzschild nicht entschieden werden müsse. Gleichwohl hat er in diversen Punkten Zweifel an der Rechtmäßigkeit des Schutzschilds geäußert.

Daneben könnte das EuGH-Urteil auch dazu führen, dass sogenannte Standardvertragsklauseln („Model Clauses“) als Rechtfertigungsgrundlage für den Drittstaatentransfer entfallen. Damit wäre übrigens nicht nur der Datenverkehr in die USA, sondern auch in andere, nicht dem Europäischen Wirtschaftsraum (EWR) angehörende Drittstaaten betroffen.

Der Generalanwalt hält die Standardvertragsklauseln für nicht rechtswidrig. Vielmehr liege es in der Verantwortung der Vertragsparteien zu prüfen, ob sich die Klauseln überhaupt als Grundlage für ihren jeweiligen Transfer eignen. Auf die Standardvertragsklauseln darf man sich nämlich dann nicht stützen, wenn deren vollständige Einhaltung nach dem Recht des Bestimmungslandes nicht möglich ist. Das im Vorfeld zu überprüfen und sodann kontinuierlich zu überwachen, ist Aufgabe derjenigen, die Daten auf Grundlage der Standardvertragsklauseln übermitteln.

Was bedeutet dies in diesem Zusammenhang für Ende-zu-Ende verschlüsselte Daten?

Greenberg Traurig: Die Verschlüsselung von Daten kann die Wahrscheinlichkeit einer Datenpanne und damit das Risiko eines Bußgeldes verringern. Die Datenschutz-Grundverordnung (DSGVO) nennt die Verschlüsselung explizit als eine Sicherheitsmaßnahme, je nachdem, wie kritisch die Verarbeitung für die Rechte und Freiheiten der Betroffenen ist.

Als Faustregel gilt dabei: Je kritischer die Datenverarbeitung, desto höhere Sicherheitsmechanismen sind zu ergreifen. Außerdem haben Aufsichtsbehörden eine erfolgte Verschlüsselung bei der Überlegung, ob und in welcher Höhe ein Bußgeld zu verhängen ist, positiv zu berücksichtigen.

Eine Übertragung personenbezogener Daten an andere Unternehmen erhöht grundsätzlich das Risiko für die Betroffenen, dass die Daten unbefugt genutzt werden. Verlassen die Daten das Gebiet des EWR und unterliegt der Empfänger einer Rechtsordnung, die weniger Schutz für die Daten vorsieht, steigert dies obendrein das Risiko. Dementsprechend müssen dann auch höhere Sicherheitsmaßnahmen ergriffen werden.

„Grundsätzlich kann der Datentransfer in Drittstaaten nach der DSGVO auch durch andere Methoden, wie von den EU-Aufsichtsbehörden genehmigte Zertifizierungsmechanismen, abgesichert werden.“

Dr. Viola Bensinger, Greenberg Traurig

Eine Ende-zu-Ende-Verschlüsselung kann eine solche höhere Sicherheitsmaßnahme darstellen und kann damit den Drittstaatentransfer absichern. Rechtfertigen kann sie diese Übermittlung allerdings nicht.

Welchen Handlungsbedarf haben hiesige Unternehmen konkret?

Greenberg Traurig: Hiesige Unternehmen sollten die Entwicklungen genau beobachten und ihre Datenflüsse überprüfen. Je nach Ausgang des Verfahrens können sie entweder so wie bisher den Transfer auf den Privacy Shield und die Standardvertragsklauseln stützen, oder sie müssen zeitnah eine Alternative finden.

Grundsätzlich kann der Datentransfer in Drittstaaten nach der DSGVO auch durch andere Methoden, wie von den EU-Aufsichtsbehörden genehmigte Zertifizierungsmechanismen, abgesichert werden.

Wirklich ausgereift ist allerdings noch keine der entsprechenden Initiativen – erst recht keine, die den Standardvertragsklauseln oder dem Privacy Shield vergleichbar weitreichend und praktikabel wäre. Für konzern-interne Übertragungen in Drittstaaten stehen außerdem sogenannte Binding Corporate Rules zur Verfügung; deren Aufsetzen kann aber langwierig sein, da sie gegebenenfalls von mehreren EU-Aufsichtsbehörden genehmigt werden müssen.

Worauf sollten Unternehmen bei Standardvertragsklauseln achten? Welche Bedeutung haben diese Klauseln?

Greenberg Traurig: Selbst wenn der EuGH der Empfehlung des Generalanwalts folgt, und die Standardvertragsklauseln nicht kassiert, sollten Unternehmen stets prüfen, ob diese im Einzelfall überhaupt eine taugliche Grundlage für die Übermittlung darstellen. Dies kann eine vertiefte Analyse des Rechts des Bestimmungslandes erfordern.

„Unabhängig von der Entscheidung des EuGH ist zu erwarten, dass die Kommission zeitnah neue Standardvertragsklauseln vorlegen wird.“

Dr. Johanna Hofmann, Greenberg Traurig

Diese initiale und sodann kontinuierliche Prüfung sollte dokumentiert werden, um sie bei Aufforderung der Aufsichtsbehörde vorlegen und damit den Pflichten nach der DSGVO entsprechen zu können. Sobald ein hiesiges Unternehmen feststellt, dass das Bestimmungsland nicht mehr gewährleistet, dass die Klauseln eingehalten werden, darf der Datentransfer nicht mehr auf dieser Grundlage erfolgen und muss gegebenenfalls unverzüglich ausgesetzt werden, falls keine Alternative zur Hand ist.

Unabhängig von der Entscheidung des EuGH ist zu erwarten, dass die Kommission zeitnah neue Standardvertragsklauseln vorlegen wird. Bis dies geschieht, sollten Unternehmen bei Neuabschlüssen die Aufnahme einer dynamischen Klausel in den Vertrag erwägen, durch die der Abschluss eventueller Nachfolgeklauseln ermöglicht wird.

Welche Schwächen hat das Privacy Shield?

Greenberg Traurig: Der Privacy Shield wird insbesondere in zweierlei Hinsicht heftig kritisiert: Zum einen sei der Schutz der Daten vor dem Zugriff der US-Nachrichtendienste nicht vollständig sichergestellt. Zum anderen weise das Rechtssystem der USA Lücken beim Individualrechtsschutz auf, die auch der eigens für den Privacy Shield geschaffene Ombudsmann-Mechanismus nicht ausgleichen könne, so dass der Rechtsschutz der Betroffenen nicht ausreichend sichergestellt sei. Insgesamt biete der Privacy Shield damit keinen gleichwertigen Schutz und könne deshalb keinen Transfer in die USA absichern.

Dr. Viola Bensinger ist Partnerin der internationalen Wirtschaftskanzlei Greenberg Traurig und leitet in Deutschland das Technologie-Team sowie das Litigation-Team, und ist außerdem Co-Chair der globalen Data, Privacy & Cybersecurity Praxisgruppe. Sie berät Unternehmen aus den Bereichen Technologie, Medien und Healthcare in den Bereichen Digitalisierung, (IT-) Outsourcing, Cloud Computing, E-Commerce, digitale Zahlungsdienstleistungen, Datenschutz, Softwarelizenzierungen sowie digitale Medienangebote.

Dr. Johanna Hofmann ist Associate bei Greenberg Traurig. Sie berät deutsche und internationale Unternehmen in allen Fragen des Datenschutz- und des IT-Sicherheitsrechts. Dabei liegen die Schwerpunkte ihrer Tätigkeit in der datenschutzkonformen Gestaltung interner (Konzern-)Strukturen und Geschäftsbeziehungen, sowohl auf nationaler als auch auf internationaler Ebene sowie in den Bereichen Digitalisierung, (IT-) Outsourcing, Cloud Computing, E-Commerce und Zertifizierung.