BLOG -
Schrems vs. Facebook: Viel Lärm um nichts? Wann dürfen personalbezogene Daten in die USA übermittelt werden?
Die Entscheidung des Europäischen Gerichtshofs ("EuGH") vom 6. Oktober 2015 (C‑362/14) schlug große mediale Wellen. Maximilian Schrems, ein österreichischer Jurist und Datenschutzaktivist, klagte wegen angeblich rechtwidriger Übermittlung seiner personenbezogenen Daten durch Facebook Irland an Facebook USA. Der EuGH gab Herrn Schrems Recht und stellte in seinem Urteil u.a. fest, dass die Grundsätze des Safe Harbor Programms nicht ausreichend sind, um für ein angemessenes Datenschutzniveau bei den Empfängern in den USA zu sorgen. Der bisherigen Safe Harbor‑Praxis wurde damit der Boden entzogen. Seitdem müssen Internationale Datenübermittlungen in unsichere Drittländer wie die USA auf andere Adäquanzmechanismen gestützt werden.
Konsequenzen für den internationalen Datentransfer
Das Urteil wird zwar häufig im Zusammenhang mit sozialen Netzwerken erwähnt, hat jedoch auch heute ganz generell gravierende Auswirkungen auf internationale Datenübermittlungen. So erhalten sehr viele deutsche Unternehmen Unterstützung durch Dienstleister in den USA für IT-Tools im Bereich der Personal- oder Kundenverwaltung, des Hostings oder für Cloud-Anwendungen. Relevanz hat das Urteil auch für Übermittlungen innerhalb eines Konzerns, wenn z.B. deutsche Unternehmen Arbeitnehmerdaten an ihre Konzernmutter oder an verbundene Unternehmen in den USA auf Grundlage von Matrixstrukturen übermitteln.
Der Handlungsbedarf ist groß, da Unternehmen bereits von Datenschutzbehörden dazu aufgerufen wurden, unverzüglich ihre Verfahren zur Übermittlung in die USA datenschutzgerecht zu gestalten und darüber Auskunft zu erteilen. Viele Datenschutzbehörden weisen derzeit darauf hin, dass Unternehmen mit Sanktionen rechnen müssen, wenn sie sich weiterhin auf das Safe Harbor-Programm verlassen und keine nach der Datenschutzgrundverordnung ("DS-GVO") zulässigen Alternativen implementieren.
Praktikable Alternativen für das Safe Harbor-Programm
Als Alternativen zu Safe Harbor kommen vor allem folgende drei Möglichkeiten in Betracht: die Einwilligung des Betroffenen, die EU-Standardvertragsklauseln oder das EU-US Privacy Shield (der Nachfolger des Safe Harbor-Programms). (Die sog. Binding Corporate Rules werden in der Regel nur im Rahmen von Übermittlungen innerhalb des Konzerns relevant und hier daher nur kurz erwähnt.)
Einwilligung
Zum leichteren Verständnis wird die Einwilligung nicht abstrakt, sondern anhand von Mitarbeiterdatenübermittlungen diskutiert. Denkbar ist es, von jedem Arbeiternehmer eine Einwilligung einzuholen, nach der das Unternehmen die personenbezogenen Daten des Arbeitnehmers für bestimmte Zwecke an einen Empfänger in Drittstaaten übermitteln darf, bei dem kein angemessenes Datenschutzniveau besteht. Jedoch wurde die Einwilligung im Arbeitsverhältnis schon vor der Entscheidung des EuGH kritisiert, da es hier an der freien Entscheidung des Arbeitnehmers fehlen kann. Zweifel an der Freiwilligkeit entstehen, da das zwischen Arbeitgeber und Arbeitnehmer bestehende Über- und Unterordnungsverhältnis dem Arbeitnehmer womöglich keine andere Wahl lassen könnte als zuzustimmen. Zu erwähnen sind auch die praktischen Probleme, die entstehen, wenn der Arbeiternehmer gar nicht einwilligt oder seine Einwilligung widerruft und daher seine Daten nicht übermittelt werden dürfen oder gelöscht werden müssen. Daher bietet sich die Einwilligung nur in besonderen Ausnahmefällen an, um eine Übermittlung von Arbeitnehmerdaten in die USA zu ermöglichen, z.B. wenn sie im Einzelfall rein vorteilhaft für den Arbeitnehmer ist, etwa bei einem Bonus- oder Reward-Programm.
EU-US Privacy Shield – Safe Harbor 2.0?
Auch die Politik hat auf die Safe Harbor-Entscheidung reagiert. Inzwischen wurde ein Nachfolgeprogramm mit dem Namen EU-US Privacy Shield zwischen der EU und den USA verhandelt und von der EU-Kommission im Juli 2016 für zulässig erklärt. Wie bereits bei dem Vorgänger können sich US-Unternehmen im Wege der Selbstzertifizierung verpflichten, die Datenschutzgrundsätze des Privacy Shields einzuhalten. Unterdessen mehren sich Stimmen in der Wissenschaft und Politk, die Kritik an dieser neuen Lösung äußern und bezweifeln, dass die Vorgaben des EuGH berücksichtigt werden. So äußern der Vorgänger des Europäischen Datenschutzausschusses und das EU-Parlament vor allem Bedenken zur praktischen Umsetzung in den Unternehmen und monieren Vollzugsdefizite. Problematisch ist auch, dass sich US-Behörden weiterhin Vorbehalte ausbedingen, um Daten zu Zwecken der nationalen Sicherheit zu erheben und das Privacy Shield keinen adäquaten Schutz dagegen bietet. Der erwartete Showdown blieb jedoch (vorerst) aus. Die EU-Kommission bestätigte Ende 2018, dass das EU-US Privacy Shield trotz der gerügten Defizite ein angemessenes Datenschutzniveau gewährleistet. Auch Herr Schrems beschäftigt den EuGH mit der Wirksamkeit des Privacy Shields. Es ist daher nicht auszuschließen, dass das EU-US Privacy Shield Programm einer kritischen Prüfung durch den EuGH nicht standhält. Praktisch hat das EU-US Privacy Shield das Safe Harbor-Programm zwar ersetzt. Es bleibt jedoch abzuwarten, ob auch dieses Programm für ungültig erklärt wird und darauf basierende Datenübermittlungen rechtswidrig werden.
EU-Standardvertragsklauseln
Schließlich stellen die sog. EU-Standardvertragsklauseln ein beliebtes Element zur Herstellung eines angemessenen Datenschutzniveaus für den Betroffenen beim Empfänger dar. Bei diesen handelt es sich um Verträge, die zwischen dem Unternehmen in der EU und dem Empfänger der Daten in einem Drittstaat, in dem kein angemessenes Datenschutzniveau herrscht, abgeschlossen werden. Die EU-Standardvertragsklauseln dürfen nicht modifiziert werden. Möglich ist aber, geschäftsbezogene Regelungen zu treffen, sofern diese nicht im Widerspruch zu den EU-Standardvertragsklauseln stehen. In Reaktion auf die Safe Harbor-Entscheidung bieten Dienstleister aus den USA ihren europäischen Kunden Lösungen an, in denen die EU-Standardvertragsklauseln eine zentrale Rolle spielen. Da die EU-Standardvertragsklauseln nicht modifiziert werden dürfen, passen diese Lösungen nicht immer auf die Anforderungen im Einzelfall, sodass zunächst eine gründliche (datenschutz)rechtliche Prüfung anzuraten ist.
Da einige Argumente des EuGH Urteils auch auf die EU-Standardvertragsklauseln übertragbar erscheinen, sind diese in die Kritik geraten. Dennoch sehen die europäischen Datenschutzbehörden die EU-Standardvertragsklauseln derzeit noch als mögliche Alternative zu Safe Harbor (und dem Nachfolger, dem Privacy Shield) an. Doch auch hier ist Herr Schrems nicht untätig geblieben. Am 9. Juli 2019 fand die mündliche Verhandlung vor dem EuGH in dem Fall C311/18 zur Gültigkeit der Standardvertragsklauseln statt. Dieses Verfahren stellt ein großes Risiko für Datentransfers in Länder außerhalb des EWR dar, da die Standardvertragsklauseln bisher die meistgenutzte Grundlage sind. Falls die Standardvertragsklauseln vom EuGH für ungültig erklärt werden, könnte der Datentransfer in die USA mangels praktikabler Alternativen vorübergehend lahm gelegt werden. Die Entscheidung des EuGH wird nächstes Jahr erwartet. Bis dahin bleibt unklar, ob die Standardvertragsklauseln in Zukunft noch als ausreichend angesehen werden können, um ein angemessenes Datenschutzniveau sicherzustellen. Derzeit ist diese Alternative jedoch gegenüber den anderen Alternativen zu Safe Harbor zu bevorzugen.
Laureen Lee
(Rechtsanwältin, LL.M.)