Constantin Jacob, Leiter Recht & Regulierung und Verbandsjustitiar im Customer Service & Call Center Verband Deutschland e. V. (CCV)
Der Europäische Gerichtshof (EuGH) erklärte mit dem „Privacy Shield“ die hauptsächlich genutzte Grundlage für Datentransfers zwischen der EU und den USA für unwirksam. Das Gericht veröffentlichte hierzu eine zusammenfassende Pressemitteilung. Der EuGH argumentiert, auch wenn die US-Nachrichtendienste beim Zugriff auf personenbezogene Daten bestimmte Anforderungen zu beachten hätten, seien deren Überwachungsprogramme nicht auf das „zwingend erforderliche Maß“ beschränkt.
Hintergrund
Nach allgemeiner Auffassung entsprechen die USA nicht dem europäischen Datenschutzniveau. Um eine Datenübermittlung dennoch zu ermöglichen, wurde im Jahr 2000 das sogenannte Safe-Harbor-Abkommen beschlossen. Dieses wurde vom EuGH jedoch 2015 für ungültig erklärt, da US-Behörden einen generellen Zugriff auf elektronische Kommunikation haben (Schrems I, Urteil v. 06.10.2015, C 362/14). Daraufhin trat im Jahr 2016 der EU-US-Privacy Shield mit strengeren Vorgaben in Kraft. Auch dieses Abkommen wurde nun durch den EuGH am 16.07.2020 für ungültig erklärt (Schrems II, Urteil v. 16.07.2020, C 311/18). Ausschlaggebend für dieses Urteil waren wiederum u. a. die Zugriffsrechte von US-Behörden auf Daten sowie eine mangelnde Verhältnismäßigkeit nach europäischen Datenschutzgrundsätzen.
Auswirkungen
Der EU-US-Privacy Shield ist unwirksam, die Standarddatenschutzklauseln sind als solche hingegen weiterhin wirksam.
Durch das Urteil ist der Datenexporteur verpflichtet, die Datenübermittlung auszusetzen oder zu beenden, wenn der Schutz der übermittelten Daten auch durch zusätzliche Schutzmaßnahmen nicht hinreichend sichergestellt werden kann. Folge ist, dass Unternehmen, die Daten in Drittstaaten – das Urteil betrifft nicht nur den Transfer in die USA – übermitteln, umgehend eine Bestandsaufnahme ihrer Übermittlungen durchführen sollten. Denn eine Übermittlung personenbezogener Daten in die USA ist seit 16.07.2020 nicht mehr auf der Grundlage des EU-US-Privacy Shields möglich, es besteht keine Übergangsfrist.
EU-Standardvertragsklauseln sind nur noch eingeschränkt als Grundlage der Datenübermittlung verwendbar. Gemäß Urteil besteht zudem keine Verpflichtung der EU-Kommission, beim Erlass von Standardvertragsklauseln das Datenschutzniveau von Drittstaaten zu überprüfen. Stattdessen ist es die Verantwortung des Datenexporteurs, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen und geeignete Garantien für den Schutz der zu übermittelnden Daten vorzusehen. Dabei kann es erforderlich sein, über die Standardvertragsklauseln hinaus ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen, wenn anders ein „gleichwertiges Schutzniveau“ nicht erreicht werden kann. Welche Garantien und Maßnahmen das sind, ist aktuell umstritten.
Die Datenschutzkonferenz hat hierzu eine Pressemitteilung veröffentlicht, welche ergänzende Informationen enthält. Zudem veröffentlichte der Europäischer Datenschutzausschuss (EDSA) FAQs (deutsche Sprache, [PDF]) zum Urteil.
Prüfen Sie gemeinsam mit Ihren Datenschutzbeauftragten unbedingt die Auswirkungen des Urteils auf Ihre Prozesse!
CCV-Mitglieder können nach Login unten unter Downloads die Präsentationen von Dr. Oliver Hornung (SKW Schwarz Rechtsanwälte) sowie Alexander Filip (Bayerisches Landesamt für Datenschutzaufsicht) aufrufen, welche im Rahmen eines vbw-Webinars zu diesem Thema erstellt wurden und der CCV als vbw-Mitglied dankenswerterweise veröffentlichen darf.
Am 25. März 2022 wurde bekannt, dass sich die EU und die USA im Grundsatz auf ein neues Abkommen geeinigt haben, das sog. Trans-Atlantic Data Privacy Framework. Über den weiteren Fortgang wird der CCV in seinen Verbandsmedien informieren. Auf den Datentransfer in Drittländer geht auch die neu im April 2022 erschienene CCV-Publikation „Datenschutz- und Wettbewerbsrecht im Kundenservice“ ein.
Rechtliche Hinweise:
Diese Publikation stellt eine allgemeine und unverbindliche Information dar. Obwohl die Informationen mit größtmöglicher Sorgfalt erstellt wurden, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität, insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt daher in der eigenen Verantwortung des Lesers. Jegliche Haftung des CCV wird ausgeschlossen. Der CCV darf als Branchenverband keine Rechtsberatung im Einzelfall leisten. Hierzu wenden Sie sich bitte je nach Fragestellung an einen spezialisierten Rechtsanwalt oder an einen (externen) Datenschutzbeauftragten.