Interview mit Dr. Friedrich Popp,

Interview mit Dr. Friedrich Popp, Debevoise & Plimpton, zum Urteil des Europäischen Gerichtshofs (EuGH) „Schrems II“

„Unternehmen, die europäische personenbezogene Daten auf Grundlage des Privacy Shield in die Vereinigten Staaten übermitteln, müssen nun Alternativen entwickeln.“

Der Europäische Gerichtshof hat nach seinem „Safe-Harbor“-Urteil vom Oktober 2015 zum zweiten Mal geurteilt, dass die Daten europäischer Bürger in den USA nicht ausreichend geschützt werden: Auch das „Privacy Shield“ zwischen USA und Europäischer Union wurde vom EuGH gekippt. Eine politische und diplomatische Herausforderung zwischen EU-Kommission und US-Regierung – und ganz konkrete Herausforderungen an die tägliche Arbeit von Datenschutzbeauftragten in Unternehmen.

Vor welche Herausforderungen stellt das Urteil aus Luxemburg global agierende Unternehmen?

Vorweg ist dem EuGH für seine Klarheit zu den Konturen des europäischen Grundrechts auf Datenschutz zu danken. Das Gericht beseitigt damit manche Fehlvorstellung in den USA, bestätigt die Störgefühle einer Vielzahl europäischer Aufsichtsbehörden und entzieht der uneinheitlichen Vollzugspraxis in Europa und den damit verbundenen Wettbewerbsverzerrungen die Grundlage.

Unternehmen, die europäische personenbezogene Daten auf Grundlage des Privacy Shield in die Vereinigten Staaten übermitteln, müssen nun Alternativen entwickeln. Weiter erinnert die Entscheidung die Verwender von Standardvertragsklauseln für Datenexporte in die USA oder andere Drittstaaten an ihre Verpflichtung zur Gewährleistung eines gleichwertigen Datenschutzniveaus im Empfängerland. Ist dieses nicht herzustellen liegt es in erster Linie an den Vertragsparteien, Datenübermittlungen auszusetzen oder den Vertrag zu beenden. Erst in zweiter Linie sind die Aufsichtsbehörden verpflichtet, diese Transfers auszusetzen oder zu verbieten.

Der Datenschutzbeauftragte hat nun das datenexportierende Unternehmen bei der Bewältigung dieser Herausforderungen zu beraten. Vielleicht mag hierbei die Information ein wenig beruhigen, dass der EuGH bei den unabhängigen Aufsichtsbehörden einen europaweit kohärenten Vollzug eingefordert hat. Und anders noch als nach der Safe Harbor-Entscheidung regelt die zwischenzeitig in Kraft getretene DS-GVO die Zusammenarbeit der europäischen Aufsichtsbehörden im Datenschutzausschuss wesentlich ausdifferenzierter als noch zu Zeiten der Datenschutzrichtlinie. Die in diesem Gremium gelebte Praxis verdeutlicht die Anstrengungen für eine europaweit einheitliche Anwendung der Verordnung.

Die ersten Stellungnahmen des Datenschutzausschusses zu Schrems II betonen dann auch die angestrebte Konsistenz im Vollzug, und die in der Datenschutzkonferenz vertretenen deutschen Aufsichtsbehörden haben sich bereits geschlossen hinter diesen gemeinsamen Kurs gestellt.

Eines ist bereits jetzt klar: Mit Blick auf die wirtschaftlichen Verflechtungen zwischen Europa und den Vereinigten Staaten werden personenbezogene Daten auch weiterhin über den Atlantik fließen. Eine dauerhafte Lösung setzt aber auf beiden Seiten eine Haltung voraus, die nicht nach einem gerade noch möglichen Kompromiss sucht, sondern die hinter den Grundrechten auf Datenschutz sowie Privat- und Familienleben stehende Freiheit des Menschen respektiert und effektiven Rechtsschutz gewährt.

Welche Unternehmen und Branchen sind am stärksten von dem Urteil betroffen?

Die Entscheidung des EuGH unterscheidet nicht nach Unternehmen oder Branchen sondern betrifft sämtliche Datenübermittlungen für geschäftliche Zwecke in Drittstaaten der EU. Dennoch hat jede Datenübermittlung ihr eigenes Risikoprofil aufgrund der Natur der Daten, der Branchenzugehörigkeit von Sender und Empfänger sowie dem möglichen Interesse staatlicher Behörden im Empfängerland am Zugriff auf die Daten. Beispielsweise könnte die in einer Cloud abgelegte Information über Empfänger von Zahlungen mit einer bestimmten Kreditkarte für einen ausländischen Geheimdienst wesentlich interessanter sein als ebenfalls dort abgelegte Urlaubsfotos. Demnach sind Soziale Medien wie etwa Facebook sowie Cloud Services nach Art von „Software as a Service“ sicherlich stärker im Fokus ausländischer behördlicher Aktivitäten. Aber auch andere Branchen müssen sich nach diesem Urteil verstärkt mit ihrem Datenschutzrisiko auseinandersetzen.

Ist es zukünftig ausreichend, Standardvertragsklauseln zu vereinbaren und auf welcher Grundlage hat Facebook die Daten bisher in die USA transferiert?

Genau genommen war die bloße Vereinbarung von Standardvertragsklauseln auch bisher nicht ausreichend: Vielmehr verpflichten sowohl die Klauseln als auch die DS-GVO die Verwender zu einer fortlaufenden Analyse der Übermittlung unter dem Gesichtspunkt, ob sie der betroffenen Person einen dem europäischen Datenschutz im Wesentlichen gleichwertigen Schutz gewährleisten können. Sollte dem nicht oder nicht mehr so sein, haben sie nun nach Schrems II zu prüfen, ob zusätzliche vertragliche Garantien den erforderlichen Standard herstellen können. Um welche Maßnahmen es sich dabei handeln könnte hat der EuGH zwar offen gelassen. Der Datenschutzausschuss hat jedoch diese, bereits in der DS-GVO angelegte Idee aufgegriffen und Orientierungshilfen in Aussicht gestellt. Der Datenexporteur hat die Datenübermittlung auszusetzen und möglicherweise auch vom Vertrag zurückzutreten sofern der Datenimporteur gegen die Klauseln verstößt oder ihm die Gesetzgebung im Empfängerland die Gewährleistung eines gleichwertigen Datenschutzniveaus unmöglich macht.

Facebook hat erst nach Abschluss des Safe Harbor-Verfahrens die Position bezogen, einen Großteil seiner Daten auf der Grundlage von Standardvertragsklauseln in die USA zu übermitteln. Und genau deshalb war die Gültigkeit der Klauseln Gegenstand des nunmehrigen EuGH-Verfahrens. Einzig dem weiten Verständnis des EuGH vom Verfahrensgegenstand ist die zusätzliche Einbeziehung des Privacy Shield in die Beurteilung geschuldet.

Gehen Sie davon aus, dass die Aufsichtsbehörden künftig vermehrt Datentransfers trotz abgeschlossener EU-Standardvertragsklauseln untersagen werden?

Datenübermittlungen in Drittstaaten sind nicht erst seit Schrems II ein brisantes Thema in der Aufsichtspraxis. Die Behörden werden sich die auf EU-Standardvertragsklauseln beruhenden Übermittlungen nach dieser Entscheidung sicherlich noch ein wenig genauer ansehen und im Bedarfsfall auch von ihren Befugnissen Gebrauch machen.

In diesem Zusammenhang stellt sich weiter die Frage, wie sich die Aufsichtsbehörden zu den alsbald von der Europäischen Kommission zu beschließenden neuen Standarddatenschutzklauseln verhalten werden. Eine Berücksichtigung der Auffassungen des Datenschutzausschusses bereits im Entwurfsstadium der Klauseln kann der für Unternehmen so wichtigen Rechtssicherheit stark zuträglich sein.

Ist damit zu rechnen, dass die Aufsichtsbehörden Unternehmen eine Übergangszeit einräumen werden?

Der EuGH hat die sofortige Wirkung der Ungültigkeitserklärung des Privacy Shield unterstrichen und die Verwender von Standardvertragsklauseln lediglich an ihre ohnehin bereits nach den Klauseln und der Verordnung bestehenden Pflichten erinnert. Dies muss aber nicht unbedingt in eine sofortige Rechtsdurchsetzung münden.

Vielmehr haben europäische Datenschutzbehörden bereits nach der Safe Harbor-Entscheidung sowie bei der Einführung der DS-GVO im Jahr 2018 sehr umsichtig agiert und die Unternehmen zuerst beraten ehe sie mit dem Vollzug begonnen haben. Eine ähnliche Vorgangsweise hat der Datenschutzausschuss auch jetzt angedeutet. Es ist kein Grund ersichtlich wieso die europäischen Behörden von diesem Erfolgsmodell nun abweichen sollten.

Welche Länder bzw. Drittländer sind noch sicher und wonach bemessen sich die Kriterien hierfür?

Datenübermittlungen in Mitgliedsstaaten der EU und des EWR sind von den Wirkungen der Entscheidung von vornherein nicht erfasst und bleiben demnach sicher. Dies gilt auch für Empfängerländer mit einem Angemessenheitsbeschluss der Europäischen Kommission, wie etwa Japan, Schweiz oder Israel.

Andere Drittstaaten sind nach der Verordnung im Lichte der Interpretation des EuGH nur dann sicher, wenn die übermittelnden Parteien den betroffenen Personen „geeignete Garantien“ nach Art von Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften geben, diese einhalten und auch einhalten können. Weiter müssen den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Ein kritischer Punkt ist demnach die von den übermittelnden Parteien vertraglich nicht zu beeinflussende Rechtslage im Empfängerland, insbesondere zum behördlichen Zugriff. Wenngleich diese schwierige Beurteilung in erster Linie von den Vertragsparteien vorzunehmen ist, sollte auch in diesem Punkt mit Unterstützung der Aufsichtsbehörden zu rechnen sein. Aufgrund der europaweiten Auswirkungen hat der EuGH insbesondere angeregt, die Beantwortung dieser Fragen dem in der DS-GVO angelegten Instrument einer „Stellungnahme“ des Datenschutzausschusses zu übertragen.

Die in Schrems II entwickelten Kriterien sind auch für die von der Kommission vorzunehmende anstehende Neubewertung der Sicherheit von Drittstaaten mit Angemessenheitsbeschluss von Bedeutung und es ist nicht klar, ob sämtliche der manchmal mehr als ein Jahrzehnt zurückliegenden und zwischenzeitig nicht überprüften Entscheidungen den neuen Standards der DS-GVO standhalten werden. Dieser Maßstab wird auch an die Bestrebungen Südkoreas sowie des Vereinigten Königreichs nach einer Angemessenheitsentscheidung anzulegen sein.

Was müssen Unternehmen beachten, wenn sie CRM-Systeme oder Newsletter-Systeme von US-Anbietern nutzen?

Die angesprochenen Systeme erfassen personenbezogene Daten zur Übermittlung und Weiterverarbeitung in den USA und fallen daher in den Kernbereich von Schrems II.

Das Rechenschaftsprinzip der DS-GVO fordert vom europäischen Datenexporteur, gerade mit Blick auf die Entscheidung, nachweisbare Vorkehrungen zur Einhaltung des europäischen Datenschutzes zu treffen. Hierzu gehört jedenfalls, sich mit dem US-Datenimporteur in Verbindung zu setzen, um dessen Position zu Schrems II und etwaige Nachbesserungen am Übertragungsmechanismus zu überprüfen. Auf dieser Basis ist das Datenschutzrisiko zu bewerten und sind möglicherweise Alternativen zu entwickeln. Zusätzlich ist die Interpretation der Aufsichtsbehörden gut dokumentiert im Auge zu behalten. Vielleicht beruhigt die Information, dass ein europäisches Unternehmen mit dieser Aufgabe derzeit nicht alleine steht und die Aufsichtsbehörden an einer europaweit einheitlichen Linie interessiert sind.

Die Entscheidung kann natürlich auch ein weiterer Anstoß sein, das Compliance-Risiko der Drittstaatenübermittlung mit den Stellschrauben der Datenminimierung und Speicherbegrenzung zu steuern.

Die Aufgaben eines Datenschutzbeauftragten sind nicht erst seit der Einführung der DS-GVO vielfältig. Entscheidungen wie diese geben dem Thema der Datenübermittlung in Drittstaaten eine völlig neue Dynamik und verdeutlichen das Erfordernis beständiger Weiterbildung sowie des Gedankenaustauschs zwischen Behörden und Unternehmen.

Und noch ein Gedanke zum Schluss: Ist es nicht bemerkenswert, wie sehr die Safe Harbor-Entscheidung des EuGH das Anliegen des europäischen Datenschutzes auch global vorangetrieben hat und auf welcher Basis wir nun Schrems II diskutieren dürfen? Wir sehen demnach spannenden Zeiten entgegen und dürfen wirklich neugierig sein, wohin uns dieses Urteil in den nächsten fünf Jahren führen wird.