Facebook, Google, Microsoft. Jedes der großen US-Techunternehmen transferiert personenbezogene Daten (Art. 4 Nr. 1 DS-GVO) auch in die USA. Der Europäische Gerichtshof (EuGH) hat am 16.07.2020 (Rechtssache C-311/18 – Facebook Ireland und Schrems) entschieden, dass das zwischen der EU und den USA bestehende „Privacy Shield Abkommen“ ungültig ist. Durch das „Privacy Shield Abkommen“ konnte der Datentransfer in die USA gerechtfertigt werden.
Hintergrund der Klage ist, dass Facebooks europäisches Tochterunternehmen in Irland personenbezogene Daten auch an die in den USA ansässige Mutter-Gesellschaft weiterleitet. Für einen Datentransfer in ein Drittland, d.h. einem Land außerhalb des Europäischen Wirtschaftsraums (EWR), bedarf es nach den Art. 44 ff. DS-GVO einer Rechtfertigung. Eine solche Rechtfertigung stellte das „Privacy Shield Abkommen“ dar.
Der EuGH führt jedoch aus, dass amerikanischen Behörden aufgrund bestehender US-Gesetze auch auf Daten zugreifen können, die unter dem „Privacy Shield Abkommen“ in die USA übermittelt werden. Gegen den Zugriff gibt es keine ausreichenden Schutzmaßnahmen, die den Anforderungen des Unionsrechts entsprechen, sodass das „Privacy Shield Abkommen“ ungültig ist.
Mit Wegfall des „Privacy Shield Abkommens“ bedarf es einer anderen Rechtfertigungsgrundlage für einen Datentransfer außerhalb des EWR. Eine solche Möglichkeit stellen die sog. „Standard Contractual Clauses“ („SCC“) dar, die auf einem Beschluss der EU-Kommission beruhen. SCC können im Wege eines Vertrags zwischen dem Datenexporteur in der EU und dem Datenimporteuer in den USA geschlossen werden. Auch die SCC waren Gegenstand des Verfahrens. Nach Ansicht des EuGH können diese weiterhin verwendet werden, allerdings hat der Datenexporteur zu prüfen, ob das Drittland, in welches die Daten übermittelt werden sollen, über ein angemessenes Schutzniveau in Bezug auf personenbezogene Daten verfügt.
Praxistipp
Wir empfehlen daher zunächst, bestehende datenschutzrechtliche Vereinbarungen, wie Verträge zur Auftragsverarbeitung (Art. 26 DS-GVO) oder zur gemeinsamen Verantwortlichkeit (Art. 28 DS-GVO) daraufhin zu untersuchen, ob es zu einem Datentransfer in ein Drittland kommt. Sollte dies der Fall sein und in diesen Vereinbarungen als einzige Rechtsgrundlage für den Datentransfer das „Privacy Shield Abkommen“ dienen, sollte zunächst auf den Abschluss von SCC hingewirkt werden.
Dabei ist von besonderer Relevanz, dass SCC nur zwischen dem Verantwortlichen als Datenexporteur und dem Auftragsverarbeiter im Drittstaat als Datenimporteur abgeschlossen werden können. Nicht vorgesehen ist, dass der europäische Auftragsverarbeiter die Standard-Vertragsklauseln mit dem Sub-Auftragsverarbeiter im Drittstaat abschließt.
Für weitere Fragen zu den Folgen des EuGH Urteils für Ihr Unternehmen oder sonstige datenschutzrechtliche Fragestellungen steht Ihnen unsere Praxisgruppe Datenschutzrecht gerne zur Verfügung. Sie erreichen uns telefonisch unter 069 – 65300060 oder per Mail an frankfurt@melchers-law.com.