Datenschutz zwischen EU und USA: Weder sicherer Hafen, noch Privatsphäre-Schild

Nach einem aktuellen Urteil des Europäischen Gerichtshofs dürfen ab sofort personenbezogene Daten nicht mehr auf Basis bestehender Regelungen in die USA übermittelt werden. In der Konsequenz sehen sich Unternehmen mit erheblichen Reputations- und Rechtsrisiken bis hin zu empfindlichen Bußgeldern und Schadensersatzansprüchen Betroffener konfrontiert. Zudem berühren Verstöße auch unternehmensinterne Compliance-Vorschriften.

Mit einer Klage gegen Facebook Ireland Ltd. hatte ein österreichischer Datenschutzaktivist die gängige Praxis zum Austausch personenbezogener Daten mit den USA durch Soziale Netzwerke wie auch andere Unternehmen grundsätzlich unterbinden wollen. Seiner Auffassung nach waren personenbezogene Daten in den USA nicht ausreichend vor dem Zugriff der dortigen Sicherheitsbehörden geschützt. Daran ändere auch das zu diesem Zwecke verabschiedete Abkommen („Safe-Harbour“) zwischen der EU und den USA nichts. Der Europäische Gerichtshof (EuGH) folgte dieser Argumentation und erklärte es 2015 für ungültig.

Auf der Grundlage des als Nachfolgeregelung genutzten „Privacy Shield“ sowie auf Basis sogenannter Standarddatenschutz-Klauseln wurden personenbezogene Daten weiter in die USA übermittelt. Der Datenschutzaktivist klagte erneut und bekam wieder vor dem EuGH Recht. In seinem Urteil vom 16. Juli 2020 hat der EuGH den Beschluss der EU-Kommission, dass das EU-US-Datenschutzschild (Privacy Shield) ein angemessenes Schutzniveau biete, für ungültig erklärt. Dabei stützt sich der EuGH vor allem auf die weitreichenden Eingriffsbefugnisse für Sicherheitsbehörden in den USA, die nach seiner Ansicht nicht auf das zwingend erforderliche Maß beschränkt sind. Insbesondere eröffne der implementierte Ombuds-Mechanismus keine ausreichenden Rechtsschutzgarantien.

Nach dem EuGH kann eine Datenübermittlung zwar grundsätzlich weiterhin auf sog. Standarddatenschutzklauseln zwischen dem Übermittler und dem Empfänger in den USA gestützt werden. Jedoch kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung eines angemessenen, das heißt eines der DSGVO-vergleichbaren, Schutzniveaus zu gewährleisten.

Kann ein solches angemessenes Schutzniveau nicht garantiert werden, muss die Übermittlung personenbezogener Daten in die USA unverzüglich ausgesetzt bzw. beendet werden.

Die Entscheidung des EUGH bedeutet daher für Unternehmen:

1. Eine Übermittlung personenbezogener Daten in die USA ist ab sofort nicht mehr auf Basis des Privacy Shields erlaubt. Daten müssen ggf. sogar zurückgeholt werden.

2. Standardschutzklauseln als alleinige Grundlage für den Datenaustausch sind ohne zusätzliche Garantien nicht mehr zulässig. Ähnliches dürfte auch für Verbindliche Interne Datenschutzvorschriften (Binding Corporate Rules) gelten.

3. Absolute Rechtssicherheit lässt sich derzeit wohl nur durch eine ausschließliche Verarbeitung personenbezogener Daten innerhalb der EU gewährleisten – ohne Zugriff einer US Konzernmutter.

Das Urteil dürfte erhebliche Auswirkungen auf die alltägliche Arbeit in Unternehmen, nicht zuletzt in Personalabteilungen, haben. Man denke nur an Arbeitsverträge, Gehaltsabrechnungen, Vergütungsvergleiche bis hin zu Angaben der betrieblichen Altersversorgung. Dabei scheinen einfache Lösungen zur Übertragung von Daten in die USA bislang nicht in Sicht. Die erweiterten Prüfpflichten vor der Übermittlung von Daten an potenziell betroffene Dritte wie beispielsweise Dienstleister können nicht nur erhebliche Reputations- und Rechtsrisiken – bis hin zu empfindlichen Bußgeldern und Schadensersatzansprüchen Betroffener – auslösen, sondern berühren bei Verstößen auch unternehmensinterne Compliance-Vorgaben.

Dr. Jan Dörrwächter und Johannes Brinkkötter