Erste Einschätzung der Datenschutzkonferenz zum Privacy-Shield-Urteil

Am 16. Juli 2020 hat der Europäische Gerichtshof den sogenannten EU-US Privacy Shield für ungültig erklärt. Genauer: Den Beschluss der EU-Kommission über die Angemessenheit des Schutzes personenbezogener Daten bei der Übermittlung in die USA. Wo sich zuvor viele US-Unternehmen nach diesem Datenschutzbeschluss zertifiziert haben und so den transatlantischen Datentransfer mit ihren Partnern und Dependancen auf dieser Basis rechtssicher und verhältnismäßig einfach abwickeln konnten, gibt es diese Möglichkeit nun nicht mehr – es bleiben nur andere aber komplexere Lösungen wie die Standardvertragsklauseln. 

Es ist ein Urteil mit großer Tragweite. Aber eines, dass die Datenschutzgrundrechte der Bürgerinnen und Bürger in der EU stärkt, wie nun die Datenschutzkonferenz in einer ersten Stellungnahme zu dem EuGH-Urteil mitgeteilt hat. 

Datenschutzkonferenz gibt erste Stellungnahme ab

Zunächst stellt die DSK in ihrer Pressemitteilung fest, dass eine Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shields nun nicht mehr möglich ist und unverzüglich eingestellt werden muss. Der Europäische Gerichtshof habe US-Recht darauf hin geprüft, ob es ein Schutzniveau biete, welches dem in der EU im wesentlichen gleichwertig ist, und dabei etwa nachrichtendienstliche Befugnisse unter die Lupe genommen. Da dieses Schutzniveau schließlich nicht gewährleistet ist, hat der EuGH den Privacy Shield für ungültig erklärt. 

Völlig unmöglich wird eine rechtskonforme Übermittlung personenbezogener Daten dadurch aber nicht. So wie der EuGH, betont die Datenschutzkonferenz, dass etwa die bestehenden Standardvertragsklauseln der EU-Kommission weiterhin genutzt werden können und orientiert sich auch weiter am Urteil: „Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können.“

Falls es kein gleichwertiges Schutzniveau gebe, wie es laut dem EuGH bei der Übermittlung in die USA der Fall sei, müssten ggf. zusätzliche Maßnahmen getroffen werden, um das nötige Schutzniveau sicherzustellen. Dafür sei dann auch nötig, dass diese tatsächlich ihre Wirkung entfalten können und durch das Recht des Drittlandes nicht weitgehender beeinträchtigt werden. 

Angemessenes Schutzniveau im Drittland muss sichergestellt sein

Kurzum: Die Standardvertragsklauseln können also für betroffene Unternehmen eine Alternative zum Privacy Shield darstellen. Dass diese Lösung dann datenschutzrechtlich in Ordnung ist – dafür müssen der Verantwortliche und der Empfänger aber selbst Sorge tragen. 

Schließlich seien auch mögliche andere rechtliche Grundlagen nicht von den Wertungen der EuGH-Richter ausgenommen, zum Beispiel die verbindlichen internen Datenschutzvorschriften („binding corporate rules“). Damit will die Datenschutzkonferenz wohl noch einmal festhalten, dass es mit der einfachen Vereinbarung über die Datenübertragung nicht getan ist, wenn das Schutzniveau dadurch nicht auch praktisch und im konkreten Fall sichergestellt wird. 

Letztlich stellt die Datenschutzkonferenz fest, dass auch ihr selbst durch das EuGH-Urteil eine „Schlüsselrolle“ übertragen wird, was die DSGVO und Entscheidungen über die Datenübermittlung in Drittländer anbelangt. Das künftige Vorgehen will sie mit dem Europäischen Datenschutzausschuss abstimmen. Letzterer hat bereits ein englischsprachiges FAQ veröffentlicht. 

Bei der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, kurz Datenschutzkonferenz oder auch DSK, handelt es sich um ein Gremium bestehend aus dem Bundesdatenschutzbeauftragten und den jeweiligen Vertretern der Bundesländer. Ihr Ziel ist unter anderem eine möglichst einheitliche Anwendung des Datenschutzrechts.