Global menu

Our global pages

Close

EuGH: EU-US-Privacy Shield ungültig – Standardvertragsklauseln weiterhin gültig

  • Germany
  • Privacy, data protection and cybersecurity

16-07-2020

Der Europäische Gerichtshof bezieht in seinem Urteil Stellung zu Zulässigkeitsvoraussetzungen von Datenübermittlungen in die USA nach der DS-GVO

Was ist passiert?

Der Europäische Gerichtshof (EuGH) hat sich in seinem Urteil vom 16.07.2020 in der Rechtssache C-311/18 zur Gültigkeit des EU-US-Privacy Shield sowie zur Gültigkeit der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern geäußert.

Was muss ich wissen?

• Nach der Datenschutz-Grundverordnung (DS-GVO) dürfen personenbezogene Daten grundsätzlich nur dann in ein Land außerhalb der EU (sog. Drittland) übermittelt werden, wenn dadurch das durch die DS-GVO gewährleistete Schutzniveau nicht untergraben wird.

• Die DS-GVO sieht verschiedene Möglichkeiten zur Gewährleistung eines angemessenen Schutzniveaus vor: Ein Angemessenheitsbeschluss der Europäischen Kommission (Art. 45, beispielsweise das EU-US-Privacy Shield), das Vorliegen geeigneter Garantien (Art. 46, beispielsweise die Standardvertragsklauseln) oder die Erfüllung eines der Ausnahmetatbestände des Art. 49 (beispielsweise die Übermittlung zur Geltendmachung rechtlicher Ansprüche).

• Der EuGH urteilte nun, dass eine Datenübermittlung in die USA nun nicht mehr auf das EU-US-Privacy Shield gestützt werden kann. Vielmehr müssen sich Verantwortliche auf eine andere Rechtsgrundlage beziehen. Insbesondere die Standardvertragsklauseln behalten jedoch weiterhin (bis auf Weiteres) ihre Gültigkeit und können für einen Datentransfer herangezogen werden.

• Der Datenexporteur ist jedoch dafür verantwortlich zu prüfen, ob der Importeur im Drittland auch tatsächlich mit dem Schutzniveau der DS-GVO vergleichbare Garantien für den Datenschutz gewähren kann. Wie diese Prüfpflicht allerdings in der Praxis aussehen soll, wird durch den EuGH nicht weiter spezifiziert. Aus dem Urteilstext ist allenfalls zu entnehmen, dass es sich als notwendig erweisen kann, „die in den Standarddatenschutzklauseln enthaltenen Garantien zu ergänzen“. Es obliege dem Verantwortlichen, so die Luxemburger Richter, „gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren“. Ob und in welchem Umfang ein Empfänger in den USA hierzu allerdings verpflichtende Garantien bieten kann, ist mehr als fraglich. Schließlich hat er auch seine „lokalen“ Gesetze zu beachten.

Wieso ist das für mich wichtig?

Wie intensiv wird die Entscheidung durchgesetzt? Bereits im Jahr 2015 erklärte der EuGH den Vorläufer des EU-US-Privacy Shield – die „Safe-Harbour“-Entscheidung der Europäischen Kommission – für ungültig. Unter massivem politischen und wirtschaftlichen Druck wurde im Anschluss an einer verbesserten Nachfolgeregelung gearbeitet, dem EU-US-Privacy Shield. Während dieser Verhandlungs- und Übergangsphase sahen die Datenschutzaufsichtsbehörden von etwaigen Anordnungen und Maßnahmen gegenüber Unternehmen ab. Es spricht einiges dafür, dass die Aufsichtsbehörden auch hier ein ähnliches Vorgehen wählen. Genaueres kann jedoch erst gesagt werden, wenn die ersten Aufsichtsbehörden zum EuGH Urteil Stellung nehmen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat bereits angekündigt, sich umgehend mit seinen europäischen Kolleginnen und Kollegen abstimmen zu wollen.

Gibt es Fälle, in denen bereits ein Bußgeld verhängt wurde? Es sind uns keine Fälle bekannt, in denen in der Übergangszeit zwischen Safe Harbour und EU-US-Privacy-Shield Bußgelder oder andere Maßnahmen durch die Aufsichtsbehörden verhängt wurden.

Was ist jetzt zu tun?

Folgende Schritte können Unternehmen Hilfeleistung bei der Entscheidung über das weitere Vorgehen bieten:

1. Zunächst müssen Unternehmen klären, ob sie überhaupt personenbezogene Daten in die USA übermitteln. Hierbei ist zu berücksichtigen, dass die Schwelle einer Datenübermittlung in einen Drittstaat relativ niedrig liegt und bereits bei Nutzung von Cloud-Services außerhalb des Raumes der EU regelmäßig vorliegt.

2. Anschließend ist zu prüfen, auf welche Rechtsgrundlage die Datenübermittlung derzeit gestützt wird und welche alternativen Rechtsgrundlagen der Art. 45 – 49 DS-GVO herangezogen werden könnten. Wie anfangs erläutert ist das EU-US-Privacy-Shield nicht die einzige Rechtsgrundlage für Datenübermittlungen in die USA. Das bedeutet jedoch nicht, dass Unternehmen in übereilter Weise allen Vertragspartnern in den USA Standardvertragsklauseln mit der Aufforderung zur Unterzeichnung zusenden sollten.

3. Unternehmen sollten vielmehr die in Kürze zu erwartenden Stellungnahmen der Aufsichtsbehörden, der Europäischen Kommission und anderer staatlicher Organe abwarten und ihr Vorgehen dem anpassen. So wird beispielsweise der BfDI nach Veröffentlichung des gesamten Urteils und den Beratungen im Europäischen Datenschutzausschuss (EDSA) eine weitere Stellungnahme abgeben.

Dr. Alexander Niethammer, LL.M. (UConn), Managing Partner
Nils Müller, Partner
Constantin Herfurth, Senior Associate

< Go back

Print Friendly and PDF

© Eversheds Sutherland 2023. All rights reserved. Eversheds Sutherland is a global provider of legal and other services operating through various separate and distinct legal entities.

Eversheds Sutherland is the name and brand under which the members of Eversheds Sutherland Limited (Eversheds Sutherland (International) LLP and Eversheds Sutherland (US) LLP) and their respective controlled, managed and affiliated firms and the members of Eversheds Sutherland (Europe) Limited (each an "Eversheds Sutherland Entity" and together the "Eversheds Sutherland Entities") provide legal or other services to clients around the world. Eversheds Sutherland Entities are constituted and regulated in accordance with relevant local regulatory and legal requirements and operate in accordance with their locally registered names. The use of the name Eversheds Sutherland, is for description purposes only and does not imply that the Eversheds Sutherland Entities are in a partnership or are part of a global LLP. The responsibility for the provision of services to the client is defined in the terms of engagement between the instructed firm and the client.