EuGH-Urteil zur Datenübermittlung in die USA: Im Grunde unzulässig

Nach dem „Schrems II"-Urteil des EuGH dürfen Transfers personenbezogener Daten in die USA nicht mehr auf den „Privacy-Shield"-Beschluss gestützt werden, weil die USA keinen ausreichenden Datenschutz bieten. Eine Studie* des cep (Centrum für Europäische Politik) berichtet, dass weder ein reformierter „Privacy Shield" noch die von der EU-Kommission im November 2020 vorgeschlagenen geänderten Standardvertragsklauseln etwas hieran ändern, solange die USA ihre Überwachungsgesetze nicht auf das nach EU-Recht zulässige Maß begrenzen und EU-Bürgern wirksame Rechtsbehelfe gewähren.

Der Europäische Gerichtshof (EuGH) hat im Juli 2020 im „Schrems II"-Urteil, die Praxis personenbezogene Daten in die USA zu übermitteln, für ungültig erklärt, weil der „Privacy Shield" keinen im Vergleich zur EU gleichwertigen Datenschutz bietet. „Datentransfers von Unternehmen aus der EU an Cloud-Dienste in den USA wie Microsoft, Amazon, Google oder Dropbox sind rechtswidrig, wenn die dortigen Datenempfänger den US-Überwachungsgesetzen unterliegen und Zugriff auf die Dateninhalte im Klartext haben", sagt cep-Juristin Anja Hoffmann. Denn in diesen Fällen lasse sich der Zugriff der US-Behörden auch durch zusätzliche Datenschutzmaßnahmen nicht wirksam verhindern. Dies gelte auch dann, wenn sich die Unternehmen auf Standardvertragsklauseln (SDPC) oder unternehmensinterne Datenschutzregelungen stützten. Hoffmann: „Weder ein reformierter Privacy Shield noch die von der EU-Kommission im November 2020 vorgeschlagenen neuen Standardvertragsklauseln ändern etwas daran, solange die USA ihre Überwachungsgesetze nicht auf das nach EU-Recht zulässige Maß begrenzen und EU-Bürgern keine wirksamen Rechtsbehelfe gewähren."

Das cep kommt zu dem Schluß, dass bei der Prüfung des Schutzniveaus im Drittland alle Umstände des spezifischen Datentransfers – u.a. Kategorien und Format der übermittelten Daten – zu berücksichtigen, nicht aber die subjektive Einschätzung der Wahrscheinlichkeit behördlicher Zugriffe. Datenexporteur und -empfänger müssten sich vergewissern, ob das Recht im Drittland es dem Datenempfänger erlaubt, die SDPC auch einzuhalten. Problematisch wären insbesondere Datentransfers an Empfänger, denen das Recht des Drittlands Verpflichtungen auferlegt, die den SDPC widersprechen und deren Garantie untergraben.

Die Pflicht des Datenempfängers, Behörden im Drittland Daten offenzulegen oder Zugriff auf diese zu gewähren, steht laut dem Europäischen Datenschutzausschuss (EDSA) der Einhaltung der SDPC nicht entgegen, wenn das Drittland bei seinen Überwachungsmaßnahmen die „wesentlichen europäischen Garantien" einhalte. Überwachungsmaßnahmen würden die „wesentlichen europäischen Garantien" des EDSA erfüllen, wenn sie auf klaren Regeln für die Datenverarbeitung beruhen, die Eingriffe erforderlich und angemessen sind und im Drittland eine unabhängige Aufsicht und wirksame Rechtsbehelfe existieren. Halten die Überwachungsmaßnahmen die Garantien nicht ein – was bei den US-Überwachungsgesetzender Fall sei –, fehle es an einem im Wesentlichen gleichwertigen Schutzniveau.

Die SDPC allein reichten dann nicht aus; vielmehr müsse der Datenexporteur zusätzlich ergänzende Datenschutzmaßnahmen vorsehen. Es bestehe aber Rechtsunsicherheit, welche zusätzlichen Maßnahmen der Datenexporteur ergreifen müsse, um die Schutzlücken zu schließen. Die Aufsichtsbehörden schlagen hierzu technische Maßnahmen wie die Anonymisierung, Verschlüsselung, Pseudonymisierung oder Aufspaltung der Daten, ergänzende Vertragsklauseln und organisatorische Maßnahmen vor.

Das cep kommt zu dem Schluß: „Alle Datentransfers in die USA an Empfänger, die den US-Überwachungsgesetzen unterliegen und die Zugriff auf die Dateninhalte im Klartext haben, sind daher derzeit unzulässig. Betroffen sind u.a. Transfers an Anbieter von Cloud-Diensten und Transfers innerhalb von Unternehmensgruppen zur Erbringung von Personaldienstleistungen."

*Quelle: cepStudie, Unzulässigkeit der Datenübermittlung in die USA, 26.1.2021; Foto: Titel cepStudie; PM 2-3-2021