Schrems II-Urteil: EuGH kippt auch Privacy Shield

Schrems II-Urteil: EuGH kippt auch Privacy Shield

Der Europäische Gerichtshof erklärt mit seiner Entscheidung vom 16. Juli 2020 (Az. C-311/18) den EU-US-Privacy Shield für unwirksam. Damit ist auch der Nachfolger des Safe Harbor-Abkommens Geschichte.

Worum geht`s?

Jede Übermittlung personenbezogener Daten in Länder außerhalb der EU/ des EWR bedarf einer besonderen rechtlichen Absicherung. Bereits 2015 hatte der Europäische Gerichtshof (EuGH) in seiner viel beachteten Schrems I – Entscheidung (Az. C-362/14) den Angemessenheitsbeschluss zwischen der EU und den USA aufgehoben. Die Übermittlung personenbezogener Daten aus der EU in die USA konnte damit nicht mehr auf Grundlage des Safe-Harbor Abkommens vorgenommen werden, da kein vergleichbares Datenschutzniveau in den USA sichergestellt werden konnte.

Was war das Safe-Harbor-Abkommen?

Bei Safe Harbor („sicherer Hafen“) handelte es sich um einen Beschluss der Europäischen Kommission auf dem Gebiet des Datenschutzrechts. Besteht in einem Staat kein angemessenes Datenschutzniveau, kann ein solches dennoch angenommen werden, wenn eine Vereinbarung mit der EU besteht, die ein angemessenes Datenschutzniveau sicherstellt und die empfangende Stelle sich dieser Vereinbarung unterwirft. Für die Datenübermittlung in die USA war das Safe-Harbor-Abkommen eine solche Vereinbarung. Unternehmen in den USA, die sich den Vorgaben von Safe-Harbor unterwarfen, galten als Unternehmen mit angemessenem Datenschutzniveau. Sie erhielten eine Zertifizierung, die ihnen die Einhaltung der EU-Standards für ein Jahr bescheinigte. Ob ein Unternehmen mit Sitz in den USA entsprechend zertifiziert war, ließ sich der beim „US Department of Commerce“ geführten Liste entnehmen.

Diese Möglichkeit der Datenübermittlung wurde im Rechtsstreit zwischen dem Datenschutzaktivisten Max Schrems und Facebook vom EuGH durch das Schrems I – Urteil wegen gravierender Datenschutzbedenken für ungültig erklärt.

Wie ging es nach Safe Harbor weiter?

In Folge des Safe-Harbor-Urteils setzten viele Unternehmen für den Datentransfer in die USA auf Alternativen, wie Standardvertragsklauseln (mittlerweile als Standarddatenschutzklauseln bezeichnet), Binding Corporate Rules oder eben ab August 2016 auf den EU-US-Privacy-Shield als Nachfolger des Safe-Harbor-Abkommens.

Warum jetzt auch Privacy Shield unwirksam?

Der österreichische Jurist Maximilian Schrems, der bereits das Safe-Harbor-Abkommen zu Fall brachte, stellte auch die Rechtmäßigkeit des Privacy Shields und der Standardvertragsklauseln als Rechtsgrundlage für eine Datenübermittlung in die USA in Frage.

Mit seinem Schrems II – Urteil erteilt der EuGH nun nach rund 4 Jahren auch dem Privacy Shield-Abkommen eine klare Absage. Wie bereits beim Safe-Harbor-Abkommen sei auch beim Privacy Shield für internationale Datentransfers kein der Datenschutzgrundverordnung vergleichbares Datenschutzniveau sichergestellt. Damit ist jede Übermittlung von personenbezogenen Beschäftigtendaten in die USA nunmehr unzulässig, soweit sie ausschließlich auf Grundlage des Privacy Shields erfolgt. Besonders kritisch werden dabei jederzeitige Zugriffe der US-Sicherheitsbehörden auf die in die USA übermittelten Daten von EU-Bürgern gesehen.

Und die Standardvertragsklauseln?

In seiner Entscheidung stellte der EuGH zwar klar, dass Standarddatenschutzklauseln auch weiterhin als taugliche Rechtsgrundlage für eine internationale Datenübermittlung zulässig sind. Mit ihnen könne grundsätzlich ein angemessenes Datenschutzniveau sichergestellt werden. Im Einzelfall müsse aber geprüft werden, ob zusätzliche Maßnahmen für die Datensicherheit erforderlich werden. Welche Maßnahmen und zusätzlichen Garantien dies dann sein könnten, ließ der EuGH aber offen.

Klar aber ist: Die Rechte von EU-Bürgern gegenüber US-Behörden sind gestärkt worden. Hierzu müssen jetzt weitere Schutzmaßnahmen ergriffen werden.

Was bedeutet die Entscheidung für Arbeitnehmer und Betriebsräte?

Das Schrems II – Urteil hat auch Auswirkungen auf die Betriebsratsarbeit. Interessenvertretungen sind gefordert, über ihre Beteiligungsrechte sicher zu stellen, dass Beschäftigtendaten auch zukünftig nicht ohne taugliche Rechtsgrundlage in die USA oder andere (unsichere) Drittstaaten übermittelt werden.

Da der Betriebsrat eine Überwachungspflicht bei der Einhaltung datenschutzrechtlicher Vorgaben hat, kann er nach § 80 Abs. 1 Nr. 1 BetrVG die aktuelle Rechtsgrundlage für die Datenübermittlung im Einzelfall beim Arbeitgeber erfragen und auf ihre Wirksamkeit hin überprüfen.

Hat sich der Arbeitgeber bisher auf das Privacy Shield berufen, ist zwingend eine alternative Rechtsgrundlage mit ausreichenden Garantien gemäß Art. 44 ff. DSGVO erforderlich. Eine Berufung auf das Privacy Shield ist mangels Übergangsfrist ab sofort nicht mehr zulässig.

Kommen bereits Standarddatenschutzklauseln zur Anwendung, müssen diese um zusätzliche Regelungen zum Umgang mit Anfragen von US-Behörden ergänzt werden. Im Konzern können neben verbindlichen internen Datenschutzregelungen (sog. Binding Corporate Rules) auch eigene Vertragsklauseln erarbeitet und durch die zuständigen Datenschutzbehörden genehmigt werden.

Bleibt der Arbeitgeber untätig und hat der Betriebsrat wiederholt auf den Handlungsbedarf hingewiesen, dürfte spätestens das drohende empfindliche Bußgeld oder Schadensersatzansprüche der betroffenen Arbeitnehmer zu einem Tätigwerden führen.

Weiterführende Hinweise:

Der Europäische Datenschutzausschuss (EDSA) hat einen Fragen-Antwort-Katalog erstellt mit dem erste Antworten auf die wichtigsten Fragen zu den Konsequenzen aus dem Schrems II -Urteil des EuGH gegeben werden. Dieser ist nicht abschließend und bisher nur in englischer Sprache unter https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en abrufbar.

Die deutschen Aufsichtsbehörden haben sich bislang nicht einheitlich geäußert. Eine umfassende Einschätzung der aktuellen Lage hat uns Dr. Stefan Brink, Landesbeauftragter für den Datenschutz in Baden-Württemberg, gegeben. Der Fachbuchautor und Referent ist einer der renommiertesten Datenschutz-Experten des Landes. Das aktuelle AfA Update unter
https://youtu.be/ZTT993kwQZA

Haben Sie weitere Fragen? Die AfA Rechtsanwälte unterstützen Sie gerne!