Die Übermittlung von personenbezogenen Daten in Drittstaaten ist nach der DSGVO unzulässig, wenn das dortige Datenschutzniveau nicht von der EU als gleichwertig anerkannt wurde. In diesem Sinne anerkannt wurden die Staaten des EWR, die Schweiz und einige wenige andere Staaten. Für die Übermittlung in Drittstaaten, wie die USA, China oder Indien, verwenden die Unternehmen regelmäßig Standardvertragsklauseln, die einen ausreichenden Datenschutz gewährleisten sollen. Unternehmen in den USA konnten sich bislang aber auch für das „Privacy Shield“, einer zwischen der EU und den USA getroffene Absprache mit dem Ziel einer DSGVO-konformen Übermittlung personenbezogener Daten, zertifizieren und so eine Übermittlung ermöglichen. Diese Absprache ersetzt das bereits 2015 als EU-rechtswidrig beurteilte transatlantische „Safe Harbor“-Abkommen zwischen der EU und den USA.
Mit Urteil vom 16.7.2020 (Rs. C-311/18, Facebook Ireland / Schrems II) entschied der EuGH nun, dass auch das „Privacy Shield“ EU-rechtswidrig und damit unwirksam ist. Die USA hätten mit dem FISA Act, der Auslandsaufklärung und Spionageabwehr betrifft, und dem CLOUD-Act, der US-Behörden den Zugriff auf außerhalb der USA gespeicherte Daten von US-Unternehmen gewährleistet, Regelungen implementiert, die dem Schutzgedanken der DSGVO entgegenstünden. Vor dem Hintergrund der Zugriffsmöglichkeiten durch die US-Behörden sind die datenschutzrechtlichen Anforderungen nicht erfüllt und der Rechtsschutz für Betroffene ist unzureichend.
Anders beurteilt der EuGH Standardvertragsklauseln, die in der Praxis häufig in der jeweiligen vertraglichen Vereinbarung der Datenübermittlung von EU-Unternehmen in die USA zugrunde gelegt werden. Diese sind laut EuGH grundsätzlich ein geeignetes Mittel, um eine Datenübermittlung ins Drittland zu ermöglichen. Allerdings muss sichergestellt sein, dass in dem Drittland die Gesetze den Schutz der Standardvertragsklauseln nicht vereiteln. Ansonsten können die nationalen Aufsichtsbehörden der EU-Staaten, und zwar jede für sich, die Übermittlung in dieses Drittland untersagen. Fallen die Beurteilungen der Aufsichtsbehörden unterschiedlich aus, ist der Europäische Datenschutzausschuss der Aufsichtsbehörden (EDSA), einzuschalten, um eine einheitliche Lösung zu erreichen.
Im Ergebnis gibt der EuGH mit seinem Urteil dem Kläger Recht, der bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingereicht hatte. Der Österreicher Schrems hatte sich mit seiner Beschwerde dagegen gewendet, dass die irische Facebook-Tochtergesellschaft Daten an den US-Mutterkonzern weiterleitet, obwohl dieser zu einer Offenlegung der Daten gegenüber den US-Behörden verpflichtet sei, ohne dass sich Betroffene dagegen wehren könnten.
Für die Praxis bedeutet das: Sämtliche Datenübermittlungen in die USA stehen auf dem Prüfstand und können von den Aufsichtsbehörden untersagt werden. Verträge, die eine Datenübermittlung auf Basis des Privacy Shields vorsahen, müssen möglichst zeitnah angepasst werden. Erfolgt weiterhin eine entsprechende Datenübermittlung, drohen datenschutzrechtliche Sanktionen.
Aber auch Verträge mit Standardvertragsklauseln sollten unter Berücksichtigung der neuen Kriterien überprüft werden. Konkret ist abzuklären, ob in den USA Gesetze der Einhaltung des Datenschutzes nach den Standardvertragsklauseln entgegenstehen. Falls der Datenschutz nicht als gewährleistet anzusehen ist, könnte ggf. noch die Ausnahmeregelung nach Art. 49 DSGVO greifen, die in bestimmten Fällen (etwa der zwingenden Erforderlichkeit für die Vertragsdurchführung mit dem Betroffenen) eine Übermittlung ausnahmsweise erlaubt. Auch könnte geprüft werden, ob z. B. durch vertragliche Vereinbarungen der Datenschutz sichergestellt werden könnte. Sollte all dies nicht gelingen und auch keine andere Handlungsoption, wie etwa die Verlagerung der Datenverarbeitung und -nutzung nach Europa, umsetzbar sein, drohen Sanktionen durch die Aufsichtsbehörde.
