Der EuGH hat jüngst in einem weiteren Verfahren auf Betreiben des Klägers mit sofortiger Wirkung festgestellt (EuGH, Urt. vom 16.07.2020, C-311/18 – Schrems II), dass ein Nachfolgeinstrument für die Übermittlung personenbezogener Daten aus der EU in die USA, der EU-US Privacy Shield, ebenso wenig eine gültige Rechtsgrundlage für solche Datentransfers darstellt. Die aktuelle Entscheidung hat, auch über den Privacy Shield hinaus, weitreichende Auswirkungen in Bezug auf die Anforderungen an den Transfer personenbezogener Daten aus der EU in Drittländer und erhöht die Risiken und die potentielle Haftung für die Beteiligten am Datentransfer substantiell.
Auch nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO; VO (EU) 2016/679) ist die Übermittlung personenbezogener Daten in ein Land außerhalb der EU bzw. des EWR nur eingeschränkt und unter besonderen Voraussetzungen zulässig, Art. 44-49 DSGVO. Der Grund für jene Beschränkungen liegt in der Annahme, dass innerhalb der EU durch eine gleichmäßige und einheitliche Anwendung von Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen gewährleistet ist (vgl. Erwägungsgrund 10 zu DSGVO). Ein solches, angemessenes Datenschutzniveau soll mit bestimmten, gesetzlich in der DSGVO verankerten Werkzeugen auch in Bezug auf in Drittländer wie die USA transferierte personenbezogene Daten erreicht werden. Zu jenen Instrumenten zählen unter anderem Angemessenheitsbeschlüsse der EU-Kommission, Art. 45 DSGVO, das Vorliegen geeigneter Garantien (verbindliche interne Datenschutzvorschriften („Binding Corporate Rules“), Standarddatenschutzklauseln der Kommission, etc.), Art. 46 DSGVO oder bestimmte Ausnahmetatbestände (ausdrückliche Einwilligung des Betroffenen, Datenübermittlung zur Erfüllung eines Vertrages mit dem Betroffenen etc.), Art. 49 DSGVO.
Zu den in der Praxis wichtigsten Werkzeugen für den internationalen Datentransfer zählen die Standarddatenschutzklauseln der Kommission, Art. 46 Abs. 2 c) DSGVO (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32010D0087) und – bislang – der Privacy Shield, nach dem in den USA mehr als 5000 Unternehmen (auch Großunternehmen wie Facebook) zertifiziert sind.
In dem aktuellen Rechtsstreit Schrems II (EuGH a.a.O., Rn. 52 f.) wandte sich der Kläger gegen die Übermittlung seiner personenbezogenen Daten in die USA insbesondere mit dem Argument, Facebook Inc. sei verpflichtet, seine personenbezogenen Daten gegebenenfalls auch US-amerikanischen Sicherheitsbehörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen, was mit Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union (Charta) unvereinbar sei (EuGH a.a.O, Rn. 55).
Der EuGH prüfte die weitgehenden Befugnisse von NSA und FBI, insbesondere Section 702 des Foreign Intelligence Surveillance Act (Gesetz zur Überwachung in der Auslandsaufklärung – FISA) und der Executive Order 12333 mitsamt der Presidential Policy Directive 28 (PPD), und folgerte, dass mit jenen Regeln auch unter Wahrung des Grundsatzes der Verhältnismäßigkeit und insbesondere mangels effektiven Rechtsschutzes der betroffenen natürlichen Personen kein Art. 52 Abs. 1 Satz 2 der Charta entsprechendes Datenschutzniveau gewährleistet werde (EuGH a.a.O., Rn. 178 f.). Deswegen hat der EuGH den zugehörigen Angemessenheitsbeschluss der EU-Kommission über den EU-US Privacy Shield mit sofortiger Wirkung für unwirksam erklärt (EuGH a.a.O., Rn. 198, 199).
Die Entscheidung des EuGH wirft bedeutsame Fragen über das Verhältnis von EU-Datenschutzrecht, mithin der DSGVO und dem nationalen Sicherheitsrecht der Datenimporteure in den betroffenen Drittländern auf. Denn innerhalb der EU gilt gemäß Art. 4 Abs. 2 Satz 3 EUV der Vorbehalt, dass nationales Sicherheitsrecht in der alleinigen Zuständigkeit der Mitgliedstaaten verbleibt und insoweit Vorrang auch gegenüber der DSGVO und der Charta genießt. Nationale Sicherheitsbehörden in den Mitgliedsstaaten wie etwa der Bundesnachrichtendienst (BND) müssen sich bei ihrer operativen Tätigkeit den Maßstäben von DSGVO und Charta nicht unterwerfen, während US-amerikanische Sicherheitsdienste dies nach Auffassung des EuGH, z.B. bei der Prüfung von Social Media Accounts internationaler Anbieter auf Servern in den USA, welche personenbezogene Daten von EU-Bürgern enthalten, tun müssen.
Bei internationalen Datentransfers mit Ziel außerhalb der EU besteht der Konflikt zwischen den Befugnissen nationaler Sicherheitsbehörden und der Wahrung eines angemessenen Schutzniveaus in Bezug auf personenbezogene Daten aus der EU wohl ohnehin stets. Man mag zum Beispiel an die chinesische Video App TikTok denken. Interessant dürfte die Anwendung der Maßstäbe des EuGH nach dem 31.12.2020 im Falle eines ungeregelten Brexits auch beim Umgang mit personenbezogenen Daten von EU-Bürgern im Vereinigten Königreich werden, da dortige nationale Sicherheitsdienste nicht den Anforderungen des englischen Datenschutzrechts unterworfen sind und unter anderem mit US-Sicherheitsdiensten kooperieren.
Eine weitere zentrale Frage ist, ob die mit der EuGH-Entscheidung Schrems II aufgestellten Prüfungsmaßstäbe auch auf andere Werkzeuge zur Gewährleistung eines angemessenen Datenschutzniveaus, vor allem den Standarddatenschutzklauseln der Kommission (Standard Contractual Clauses – SCC), anzuwenden sind. Nach dem Wortlaut von Art. 46 DSGVO wird nicht erwähnt, dass die „geeigneten Garantien“ ein angemessenes Schutzniveau der im Rahmen der SCC transferierten Daten gewährleisten müssen. Allerdings legt der EuGH in der aktuellen Entscheidung (a.a.O., Rn. 96) einen vereinheitlichten Prüfungsmaßstab auf der Grundlage von Art. 45 Abs. 2 DSGVO für sämtliche Instrumente des internationalen Datentransfers nach Kapitel V der DSGVO zugrunde. Die SCC binden lediglich die betroffenen Vertragsparteien, nicht jedoch zuständige Sicherheitsbehörden. Nach dem EuGH (a.a.O., Rn. 132 f.) müssen auch die SCC ein gleichwertiges Schutzniveau sicherstellen. Es könne sich insoweit als notwendig erweisen, die in den SCC enthaltenen Garantien zu ergänzen. Allein der wirksame Abschluss eines SCC-Vertrages macht den Datentransfer in das außereuropäische Ausland damit nicht ohne weiteres zulässig. Vielmehr müssen die Beteiligten nach dem EuGH umfassend die Einhaltung eines angemessenen Datenschutzniveaus im Drittland prüfen, und dabei einerseits die vertraglichen Pflichten der Parteien, aber ebenso die Rechtsordnung im Empfängerstaat einbeziehen (EuGH a.a.O., Rn. 134). Nach dem Ergebnis der Prüfung könnten „zusätzliche Maßnahmen“ geboten sein, um unter Berücksichtigung der drittstaatlichen Rechtsordnung ein angemessenes Datenschutzniveau sicherzustellen.
Bei Datentransfers in die USA auf der Grundlage der SCC muss der Datenimporteur nach Klausel 5 a) des zugehörigen Anhangs den in der EU ansässigen Verantwortlichen unverzüglich informieren, wenn er seine Pflichten gemäß SCC aufgrund von Rechtsvorschriften in seinem Land nicht einhalten kann. Beide Vertragsparteien müssen sich nach den SCC vor Übermittlung der personenbezogenen Daten in das Drittland vergewissern, ob das vom Unionsrecht verlangte Schutzniveau eingehalten werden kann (EuGH a.a.O., Rn. 142). Ist dies nicht der Fall, müssen bereits übermittelte Daten zurückgesendet oder zerstört werden. Nach der Klausel 6 des Anhangs der SCC steht Betroffenen bei Verstößen ein Schadensersatzanspruch zu. Umgekehrt sind Zugriffe nationaler Sicherheitsbehörden auf personenbezogene Daten in Systemen Dritter in ihrem Territorium regelmäßig mit Geheimhaltungsverpflichtungen zulasten jener Dritten verbunden. Die betroffenen Datenimporteure verstoßen mithin entweder gegen ihnen auferlegte Geheimhaltungsverpflichtungen der nationalen Sicherheitsdienste oder gegen die Bestimmungen der SCC. Die Konflikte zwischen nationalen Sicherheitsrecht auf der einen und Privacy Shield bzw. SCC auf der anderen Seite ähneln sich.
Insoweit werden, falls Datentransfers auf der Grundlage der SCC nicht generell gestoppt und zugehörige Daten gelöscht werden, „zusätzliche Maßnahmen“ der Beteiligten geboten sein. Was darunter im Einzelnen zu verstehen ist, erläutert der EuGH nicht. Denkbar wäre zum Beispiel eine Verschlüsselung der exportierten Daten, sofern nach dem Geschäftsmodell der betroffenen Beteiligten darstellbar. Möglich könnte auch eine Verlagerung der personenbezogenen Daten aus der EU auf Cloud Server innerhalb der EU erscheinen. Als „zusätzliche Maßnahmen“ könnten auch ergänzende strikte vertragliche Transparenz- und Reporting-Pflichten des Datenimporteurs in Betracht kommen. Bei internationalen Datentransfers auf der Grundlage der betreffenden SCC für Auftragsverarbeitungen könnten zusätzliche vertragliche Regelungen analog den Standardverträgen für Auftragsverarbeitungen innerhalb der EU in Betracht kommen.
Jeglichen Maßnahmen muss die vorherige Analyse und Diskussion mit dem Datenimporteur über die Folgen des Wegfalls des Privacy Shields mitsamt der Ersatzlösung, z.B. SCC, bzw. bei vorhandenen SCC die Erfassung und Dokumentation der Datentransfers mitsamt der Bewertung des Datenschutzniveaus in den Empfängerländern vorhergehen. Die Ergebnisse der Analyse und die Abwägung sind zu dokumentieren. Die Schrems II-Entscheidung schafft unmittelbaren Handlungsbedarf für betroffene Unternehmen.