Datenschutz zwischen EU und USA: Weder sicherer Hafen, noch Privatsphäre-Schild
Nach einem aktuellen Urteil des Europäischen Gerichtshofs dürfen ab sofort personenbezogene Daten nicht mehr auf Basis bestehender Regelungen in die USA übermittelt werden. In der Konsequenz sehen sich Unternehmen mit erheblichen Reputations- und Rechtsrisiken bis hin zu empfindlichen Bußgeldern und Schadensersatzansprüchen Betroffener konfrontiert. Zudem berühren Verstöße auch unternehmensinterne Compliance-Vorschriften.
Privacy Shield: Auch dieses Konstrukt zur Datenübertragung zwischen der EU und den USA hat der EuGH nun zu Fall gebracht.
Mit einer Klage gegen Facebook Ireland Ltd. hatte ein österreichischer Datenschutzaktivist die gängige Praxis zum Austausch personenbezogener Daten mit den USA durch Soziale Netzwerke wie auch andere Unternehmen grundsätzlich unterbinden wollen. Seiner Auffassung nach waren personenbezogene Daten in den USA nicht ausreichend vor dem Zugriff der dortigen Sicherheitsbehörden geschützt. Daran ändere auch das zu diesem Zwecke verabschiedete Abkommen („Safe-Harbour“) zwischen der EU und den USA nichts. Der Europäische Gerichtshof (EuGH) folgte dieser Argumentation und erklärte es 2015 für ungültig.
Auf der Grundlage des als Nachfolgeregelung genutzten „Privacy Shield“ sowie auf Basis sogenannter Standarddatenschutz-Klauseln wurden personenbezogene Daten weiter in die USA übermittelt. Der Datenschutzaktivist klagte erneut und bekam wieder vor dem EuGH Recht. In seinem Urteil vom 16. Juli 2020 hat der EuGH den Beschluss der EU-Kommission, dass das EU-US-Datenschutzschild (Privacy Shield) ein angemessenes Schutzniveau biete, für ungültig erklärt. Dabei stützt sich der EuGH vor allem auf die weitreichenden Eingriffsbefugnisse für Sicherheitsbehörden in den USA, die nach seiner Ansicht nicht auf das zwingend erforderliche Maß beschränkt sind. Insbesondere eröffne der implementierte Ombuds-Mechanismus keine ausreichenden Rechtsschutzgarantien.
Nach dem EuGH kann eine Datenübermittlung zwar grundsätzlich weiterhin auf sog. Standarddatenschutzklauseln zwischen dem Übermittler und dem Empfänger in den USA gestützt werden. Jedoch kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung eines angemessenen, das heißt eines der DSGVO-vergleichbaren, Schutzniveaus zu gewährleisten.
Kann ein solches angemessenes Schutzniveau nicht garantiert werden, muss die Übermittlung personenbezogener Daten in die USA unverzüglich ausgesetzt bzw. beendet werden.
Die Entscheidung des EUGH bedeutet daher für Unternehmen:
1. Eine Übermittlung personenbezogener Daten in die USA ist ab sofort nicht mehr auf Basis des Privacy Shields erlaubt. Daten müssen ggf. sogar zurückgeholt werden.
2. Standardschutzklauseln als alleinige Grundlage für den Datenaustausch sind ohne zusätzliche Garantien nicht mehr zulässig. Ähnliches dürfte auch für Verbindliche Interne Datenschutzvorschriften (Binding Corporate Rules) gelten.
3. Absolute Rechtssicherheit lässt sich derzeit wohl nur durch eine ausschließliche Verarbeitung personenbezogener Daten innerhalb der EU gewährleisten – ohne Zugriff einer US Konzernmutter.
Das Urteil dürfte erhebliche Auswirkungen auf die alltägliche Arbeit in Unternehmen, nicht zuletzt in Personalabteilungen, haben. Man denke nur an Arbeitsverträge, Gehaltsabrechnungen, Vergütungsvergleiche bis hin zu Angaben der betrieblichen Altersversorgung. Dabei scheinen einfache Lösungen zur Übertragung von Daten in die USA bislang nicht in Sicht. Die erweiterten Prüfpflichten vor der Übermittlung von Daten an potenziell betroffene Dritte wie beispielsweise Dienstleister können nicht nur erhebliche Reputations- und Rechtsrisiken – bis hin zu empfindlichen Bußgeldern und Schadensersatzansprüchen Betroffener – auslösen, sondern berühren bei Verstößen auch unternehmensinterne Compliance-Vorgaben.
Dr. Jan Dörrwächter und Johannes Brinkkötter
Ein ausführlicher Beitrag zum Thema erscheint in der November-Ausgabe des Compliance-Beraters.
Dr. Jan Dörrwächter ist Rechtsanwalt und seit April 2017 Senior Partner und Mitglied der Geschäftsleitung der hkp///group. Seit seinem Wechsel aus der Industrie berät er Unternehmen unter anderem in allen Fragen der Vorstandsvergütung, aber auch zur Vergütung von Führungskräften und sonstigen Mitarbeitern einschließlich des Tarifbereichs.
Johannes Brinkkötter ist seit Juli 2018 Partner und Mitglied der Geschäftsleitung der hkp///group. Er zählt zu den führenden Shared Service Beratern in Deutschland und blickt auf eine themenspezifisch geprägte Laufbahn im BASF- und EON-Konzern zurück, wo er verschiedene Fach- und Führungspositionen innehatte.