Wir haben seit Jahren in unseren Analysen darauf hingewiesen, heute ist es geschehen: Der EuGH hat nun auch das Privacy Shield Abkommen für unzulässig erklärt – wie bereits das Vorgänger-Abkommen "Safe Harbor" (wir haben darüber berichtet: Das Safe-Harbor-Abkommen ist Geschichte).

Damit sind Datentransfers zwischen europäischen Unternehmen und amerikanischen Anbietern, die sich ausschließlich auf dieses Abkommen stützen, ab sofort nicht mehr möglich bzw. nicht legal.

Kurz zum Hintergrund

Wenn ein Unternehmen amerikanische Anbieter (wie Facebook, Trello, Mailchimp, usw.) einsetzt, werden personenbezogene Daten in die USA übertragen. In den USA gelten jedoch andere Datenschutz-Standards, die nicht dem europäischen Niveau entsprechen, daher war eine Datenübertragung unzulässig.

Um einen Datentransfer zu ermöglichen, wurde zuerst das Safe Harbor Abkommen zwischen der EU und den USA vereinbart; vereinfacht gesagt haben sich teilnehmende amerikanische Unternehmen damit verpflichtet, sich an die europäischen Datenschutz-Standards zu halten. Doch der EuGH hat dieses Abkommen aus mehreren Gründen im Jahre 2015 für unzureichend und daher unzulässig erklärt.

Daraufhin wurde in aller Eile das Privacy Shield Abkommen verhandelt. Doch dieses wies im Grunde die gleichen Schwächen auf wie das bereits gekippte Vorgänger-Abkommen.

Nun hat der EuGH auch damit Schluss gemacht und auch Privacy Shield für unzureichend erklärt. Auslöser war die Klage des österr. Datenschützers Max Schrems von noyb gegen Facebook (die Pressemeldung von noyb zum heutigen Urteil und das Urteil des EuGH im Wortlaut [PDF]).

Ein Datentransfer ist auf dieser Basis also nicht mehr möglich. Und zwar ohne Übergangsfrist.

Entscheidung aus gutem Grund

Der Gerichtshof hat klargestellt, dass die weitreichenden amerikanischen Überwachungsgesetze (wie zum Beispiel der CLOUD Act) im Widerspruch zu den Grundrechten der EU stehen.

Denn erstens werden europäische Bürger nicht ausreichend geschützt und zweitens können Sie gerichtlich dagegen nicht vorgehen (auch weil man als Betroffener davon im Normallfall gar nichts erfährt).

Und die Standard-Vertrags-Klauseln?

Auch die sog. Standard-Vertragsklauseln (Standard Contractual Clauses, SCC) sind von dem Urteil betroffen. Das sind standardisierte Verträge, die von der Europäischen Kommission erlassen wurden. Dadurch konnten europäische und amerikanische Unternehmen vertraglich regeln, dass bestimmte Datenschutz-Regeln gelten.

Ob aber die Standard-Vertragsklausel ausreichenden Schutz gegen die US-Gesetze bieten, ist mehr als fraglich, weil sich die amerikanischen Unternehmen hier in einer Zwickmühle befinden: Entweder sie befolgen die nationalen Überwachungs-Gesetze (Verstoß wäre strafbar) oder die SCC bzw. die EU-Datenschutz-Gesetze (Verstoß wäre strafbar).

Anders formuliert: Auch die SCC dürften für europäische Unternehmen keine ausreichende Grundlage bieten, um personenbezogene Daten an einen amerikanischen Anbieter zu transferieren. Denn europäische Unternehmen dürfen die SCCs nicht einfach unterzeichnen, sondern müssen prüfen, ob diese in der Praxis von dem Anbieter überhaupt eingehalten werden können. Diese Prüfung wird wohl in der Praxis kaum durchführbar sein und die laufende Einhaltung der SCC zu kontrollieren wäre de facto unmöglich.

"Notwendige" Datenübertragungen weiterhin erlaubt

Die Richter des EuGH erklärten aber auch, dass absolut notwendige Übertragungen weiterhin möglich sind. Allerdings sieht der Artikel 49 DSGVO ("Ausnahme für bestimmte Fälle") hier relativ enge Grenzen vor:

So ist die Datenübermittlung beispielsweise erlaubt, wenn die Betroffenen darüber detailliert informiert werden (inkl. der Risiken, die sich damit für sie ergeben!) und aktiv darin einwilligen. Ob das in der Praxis auch passiert, darf wohl eher bezweifelt werden.

Auch wenn die Datenübermittlung für die Vertragserfüllung unbedingt notwendig ist, wäre der Transfer zulässig. Allerdings muss "der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen" haben (Artikel 49 DSGVO).

Der Knackpunkt ist jedoch, dass der Artikel 49 nur für gelegentliche Datenübermittlungen in Anspruch genommen werden kann (da er ja nur eine "Ausnahme" regelt). Deshalb kommt diese Ausnahme nach Artikel 49 nach Ansicht des Europäischen Datenschutzausschusses nicht für laufende Datenübermittlungen in Frage.

Was bedeutet das für europäische Unternehmen?

Wenn Sie einen amerikanischen Dienstleister einsetzen, sollten Sie unbedingt zeitnah die rechtlichen Rahmenbedingungen überprüfen.

Und Sie könnten sich nach einer europäischen Alternative umsehen. Das mag kurzfristig zwar lästig sein, aber Unternehmen könnten das Thema Datenschutz auch endlich als Wettbewerbsvorteil begreifen – und erkennen, dass das Thema für immer mehr Menschen ein wichtiges Anliegen wird.

Und damit wird das Thema Datenschutz in letzter Konsequenz auch immer mehr ein Entscheidungskriterium für oder gegen einen Anbieter.

(Hier zum Beispiel ein kurzer Überblick über unsere Datenschutz-Features).