Die wichtigsten Erkenntnisse aus dem Urteil

• Das EU-U.S. Privacy Shield kann nicht länger als Basis für die Übermittlung von Personendaten aus der EU in die USA dienen. Grund dafür sind die umfassenden Überwachungsmassnahmen der USA, welche laut EuGH durch das Privacy Shield nicht hinreichend beschränkt werden.
• Demgegenüber sind die von der EU Kommission genehmigten Standardvertragsklauseln gültig und können grundsätzlich für Datenexporte in Länder ohne angemessenes Datenschutzniveau verwendet werden.
• Der EuGH bringt aber einen bedeutenden Vorbehalt betreffend die Standardvertragsklauseln an: Der Datenexporteur kann die Standardvertragsklauseln nicht unbesehen verwenden, sondern er muss im Einzelfall prüfen, ob die Einhaltung der Standardvertragsklauseln im Empfängerland gewährleistet ist. Dabei sind insbesondere behördliche Zugriffsrechte zu berücksichtigen: Sofern diese nicht über das hinausgehen, was in einer demokratischen Rechtsordnung zur Wahrung der öffentlichen Sicherheit notwendig ist, sind solche Zugriffsrechte unproblematisch. Ergibt sich aber, dass trotz der Vereinbarung der Standardvertragsklauseln mit dem Datenimporteur im Zielland kein angemessenes Datenschutzniveau erreicht wird, ist der Export zu unterlassen. Das kann namentlich dann der Fall sein, wenn im Zielland Massenüberwachung betrieben wird, welche mit den Grundsätzen einer demokratischen Rechtsordnung nicht vereinbar ist.
• Das Urteil des EuGH weckt Zweifel, ob die Standardvertragsklauseln inskünftig als Basis für Datenübermittlungen in die USA eingesetzt werden können. Der EuGH entscheidet diese Frage nicht. Er bringt aber zum Ausdruck, dass er in den Überwachungsmassnahmen der USA einen Widerspruch zur europäischen Datenschutzordnung erkennt, da die amerikanischen Überwachungsprogramme nicht auf das zwingend Erforderliche beschränkt seien.

Auswirkungen des Urteils

Neben der offensichtlichen Folge des Hinfallens des Privacy Shields nimmt der EuGH mit seinem Urteil Datenexporteure und Aufsichtsbehörden in die Pflicht: Datenexporteure dürfen die Standardvertragsklauseln zwar weiterhin verwenden, können sie aber nicht länger unbesehen für Exporte in beliebige Zielländer einsetzen. Stattdessen müssen sie im Einzelfall prüfen, ob die Standardvertragsklauseln eingehalten werden können. Damit schafft der EuGH neue Hürden und Unsicherheiten für Datenübermittlungen in Drittstaaten, insbesondere in die USA. Es ist davon auszugehen, dass Datenexporten unter den Standardvertragsklauseln künftig mehr Aufmerksamkeit zu schenken ist.

Aufgrund der Bedeutung der Standardvertragsklauseln für den Datentransfer in Drittstaaten sind aber vor allem auch die Aufsichtsbehörden gefordert: Diese müssen nun rasch Klarheit schaffen, ob, in welchen Fällen und allenfalls mit welchen Zusatzmassnahmen die Standardvertragsklauseln mittelfristig noch für Datenübermittlungen in die USA und andere Länder mit vergleichbaren Überwachungsprogrammen genutzt werden können. Ein koordiniertes Vorgehen auf europäischer Ebene ist hier dringend angezeigt.

Schliesslich sendet der EuGH mit seinem Entscheid auch ein Signal an die Adresse der USA: Der EuGH ist nicht gewillt, sich mit den beschränkten Verbesserungen des Privacy Shield gegenüber dem früheren Safe Harbor Framework zufrieden zu geben. Damit erhöht der EuGH den Druck auf die USA, zur Gewährleistung des für die Wirtschaft wichtigen transatlantischen Datentransfers weitere Zugeständnisse in Bezug auf den Schutz der Persönlichkeitsrechte von Personen in der EU zu machen.

Bedeutung für Schweizer Unternehmen

Das Urteil des EuGH hat auch Auswirkungen auf Schweizer Unternehmen. Auch diese stützen ihre Datenexporte weitgehend auf die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ebenfalls anerkannten EU-Standardvertragsklauseln. Zudem besteht für die Schweiz das Swiss-U.S. Privacy Shield, das dem nun für ungültig erklärten EU-U.S. Privacy Shield entspricht.

In Bezug auf das Privacy Shield ist davon auszugehen, dass der EDÖB Datenexporte auf Basis des Swiss-U.S. Privacy Shield ebenfalls für unzulässig erklären und die Länderliste entsprechend anpassen wird. Mithin ist davon auszugehen, dass Schweizer Unternehmen ihre Datenexporte kurz- bis mittelfristig nicht länger auf das Swiss-U.S. Privacy Shield stützen können.

In Bezug auf die Standardvertragsklauseln ist die Lage in der Schweiz unter dem Datenschutzgesetz (DSG) vergleichbar mit jener unter der europäischen Datenschutz-Grundverordnung (DSGVO): Datenübermittlungen in Drittstaaten sind gemäss Art. 6 Abs. 2 lit. a DSG zulässig, wenn «hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten». Schweizer Unternehmen können sich daher grundsätzlich auf die Standardvertragsklauseln verlassen, wenn sie Personendaten in Drittstaaten exportieren. Aber auch hier gilt, dass im Fall begründeter Zweifel an der Einhaltung der Standardvertragsklauseln durch den Datenimporteur ein Einschreiten geboten ist.

Handlungsbedarf

Unternehmen, die Datenübermittlungen in die USA auf das EU-U.S. Privacy Shield stützen, müssen diese Übermittlungen auf eine neue Grundlage stellen. Dasselbe ist Unternehmen in der Schweiz zu empfehlen, die ihre Datenübermittlungen in die USA auf das Swiss-U.S. Privacy Shield stützen.

Als Alternative bieten sich die Standardvertragsklauseln an. Hier ist den Bedenken des EuGH Rechnung zu tragen: Können die Standardvertragsklauseln durch den Datenimporteur nicht eingehalten werden, ist der Export zu stoppen.

Unternehmen, die ihre Datenexporte aus der Schweiz in die USA auf die Standardvertragsklauseln stützen, raten wir kurzfristig zu einem vorsichtigen Abwarten. Es ist undenkbar, von einem Tag auf den anderen alle diese Datenexporte zu stoppen. Dazu besteht unseres Erachtens weder aus Schweizer Perspektive noch unter der DSGVO eine unmittelbare Notwendigkeit. Es ist davon auszugehen, dass die europäischen Aufsichtsbehörden und der EDÖB in Kürze Position beziehen werden. Folglich sind die Entwicklungen zu beobachten und bei einer Praxisänderung wird eine Reaktion notwendig sein. Dazu ist Klarheit zu schaffen, welche Verträge allenfalls angepasst werden müssten, wenn sich Praxisänderungen in Bezug auf die Standardvertragsklauseln und deren Anwendung ergeben.

Der Hintergrund des Urteils

Hintergrund des Urteils ist ein Streit zwischen Facebook und Maximilian Schrems betreffend die Datenübermittlungen von Facebook Ireland in die USA. Facebook Ireland stützt seine Datentransfers in die USA seit der Ungültigerklärung des Safe Harbor Framework durch den EuGH² auf die Standardvertragsklauseln. Darin verpflichtet sich die amerikanische Facebook-Gesellschaft gegenüber Facebook Ireland, den europäischen Datenschutz zu respektieren. Maximilian Schrems beantragte bei der irischen Datenschutzbehörde, die weitere Übermittlung seiner Personendaten durch Facebook Ireland in die USA zu verbieten. Er machte geltend, die Standardvertragsklauseln könnten aufgrund entgegenstehendem U.S.-Recht keine Grundlage für die Übermittlung personenbezogener Daten in die USA sein.

Fussnoten:

¹ Urteil des EuGH vom 16. Juli 2020, Rechtssache C-311/18, abrufbar hier: https://bit.ly/2ZADzY4 (besucht am 16. Juli 2020).

² Urteil des EuGH vom 6. Oktober 2015, Rechtssache C-362/14, abrufbar hier: https://bit.ly/3exrXcD (besucht am 16. Juli 2020).