EuGH-Urteil Facebook vs. Schrems

Written on 16 Jul 2020

Der EuGH hat das als Nachfolger des Safe Harbor-Abkommens gedachte „Privacy Shield“ für ungültig erklärt. Die sogenannten Standardvertragsklauseln bleiben hingegen wirksam. Aber: Auch Datenübertragungen auf Grundlage der Standardvertragsklauseln können rechtswidrig sein, wenn der Datenimporteur die Verpflichtungen nach den Standarddatenschutzklauseln im jeweiligen Land nicht einhalten kann. Nach der Pressemitteilung zu urteilen, wäre das auch für Datentransfers in die USA genau zu prüfen. Die Auswirkungen auf die digitale Wirtschaft sind massiv.

Informationen im Detail:

  • Der EuGH erklärt das Privacy Shield für unwirksam. Dieses hatte die Übertragung von personenbezogenen Daten an Unternehmen gerechtfertigt, die nach dem Privacy Shield zertifiziert waren. Alle Unternehmen, die eine solche Datenübertragung in die USA momentan auf Grundlage des Privacy Shield vornehmen, müssen die Datenübertragung stoppen.
  • Der alternative Rechtfertigungsmechanismus der sogenannten „Standardvertragsklauseln“  bleibt wirksam. Aber das macht nicht sämtliche Datenübertragungen nach diesen Verträgen rechtmäßig. Der EuGH hebt hervor, dass der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werden kann. In Verbindung mit der Entscheidung zum Privacy Shield, ist das auch für die USA genau zu prüfen.
  • Datenschutzbehörden müssten die Übertragungen auf Grundlage der Standardvertragsklauseln stoppen, wenn sie davon ausgehen, dass der Datenempfänger die in den Standardvertragsklauseln angelegten Pflichten und Garantien nicht erfüllen kann. Unternehmen müssten die Datenübertragungen stoppen.

Auswirkungen:

  • Alle Datenübertragungen in die USA etwa zu amerikanischen Cloud Services-Providern auf Grundlage des Privacy Shields sind fortan rechtswidrig und müssen gestoppt werden. Viele der amerikanischen Cloud-Service-Provider werden ihre Verträge grundlegend überarbeiten müssen.
  • Deutsche Unternehmen, die diese Services auf Grundlage des Privacy Shield nutzen, dürfen das streng genommen nicht mehr tun. Die Datenschutzbehörden dürfen derartige Datenübertragungen untersagen und Bußgelder verhängen.
  • Stattdessen müssen deutsche Unternehmen nunmehr die oben genannten Standardvertragsklauseln implementieren und prüfen, ob sie deren Voraussetzungen erfüllen können. Der EuGH scheint (auf Grundlage der Pressemitteilung) hier davon auszugehen, dass das für Übertragungen in die USA diskussionswürdig ist. Insoweit wird eine massive Rechtsunsicherheit aufkommen.
  • Es ist davon auszugehen, dass Hunderttausende Verträge geändert werden müssen. Nach der ähnlichen Safe-Harbor-Entscheidung hat Osborne Clarke beispielsweise deutsche Konzerne zur Umstellung von tausenden Verträgen pro Konzern Gleichzeitig bleibt für Unternehmen angesichts der Ausführungen zur Verwendung der Standardvertragsklauseln eine massive Rechtsunsicherheit für alle Datenübertragungen in die USA oder in andere Drittländer wie etwa China oder Russland. Unternehmen werden jeweils im Einzelfall prüfen müssen, ob die Verpflichtungen nach den Standardvertragsklauseln tatsächlich erfüllt werden können.
  • Industriepolitisch wird voraussichtlich nach Wegen gesucht werden, Datenverarbeitungen nach Europa zu verlagern. Der freie Datenaustausch mit Drittländern im Rahmen von digitalen Services, Konzernstrukturen oder beim Hosting wird ggf. vollständig neu konzipiert werden müssen.