Pres­se­mit­tei­lung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der vom 28.07.2020

Der Euro­päi­sche Gerichts­hof (EuGH) hat in sei­nem Urteil vom 16. Juli 2020 (Rechts­sa­che C‑311/​18) den Beschluss 2016/​1250 der Euro­päi­schen Kom­mis­si­on zur Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA (Pri­va­cy Shield) für unwirk­sam erklärt. Zugleich hat der EuGH fest­ge­stellt, dass die Ent­schei­dung 2010/​87/​EG der Kom­mis­si­on über Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses – SCC) grund­sätz­lich wei­ter­hin gül­tig ist.

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) sieht mit die­sem Urteil die Daten­schutz­grund­rech­te der Bür­ger und Bür­ge­rin­nen in der Euro­päi­schen Uni­on gestärkt. Für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­län­der hat das Urteil nach einer ersten Ein­schät­zung der DSK fol­gen­de Aus­wir­kun­gen:

  1. Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA auf der Grund­la­ge des Pri­va­cy Shield ist unzu­läs­sig und muss unver­züg­lich ein­ge­stellt wer­den. Der EuGH hat das Pri­va­cy Shield für ungül­tig erklärt, weil das durch den EuGH bewer­te­te US-Recht kein Schutz­ni­veau bie­tet, das dem in der EU im Wesent­li­chen gleich­wer­tig ist. Das US-Recht, auf das der EuGH Bezug genom­men hat, betrifft z. B. die nach­rich­ten­dienst­li­chen Erhe­bungs­be­fug­nis­se nach Sec­tion 702 FISA und Exe­cu­ti­ve Order 12 333.
  2. Für eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­län­der kön­nen die bestehen­den Stan­dard­ver­trags­klau­seln der Euro­päi­schen Kom­mis­si­on zwar grund­sätz­lich wei­ter genutzt wer­den. Der EuGH beton­te jedoch die Ver­ant­wor­tung des Ver­ant­wort­li­chen und des Emp­fän­gers, zu bewer­ten, ob die Rech­te der betrof­fe­nen Per­so­nen im Dritt­land ein gleich­wer­ti­ges Schutz­ni­veau wie in der Uni­on genie­ßen. Nur dann kann ent­schie­den wer­den, ob die Garan­tien aus den Stan­dard­ver­trags­klau­seln in der Pra­xis ver­wirk­licht wer­den kön­nen. Wenn das nicht der Fall ist, soll­te geprüft wer­den, wel­che zusätz­li­chen Maß­nah­men zur Sicher­stel­lung eines dem Schutz­ni­veau in der EU im Wesent­li­chen gleich­wer­ti­gen Schutz­ni­veaus ergrif­fen wer­den kön­nen. Das Recht des Dritt­lan­des darf die­se zusätz­li­chen Schutz­maß­nah­men jedoch nicht in einer Wei­se beein­träch­ti­gen, die ihre tat­säch­li­che Wir­kung ver­ei­telt. Nach dem Urteil des EuGH rei­chen bei Daten­über­mitt­lun­gen in die USA Stan­dard­ver­trags­klau­seln ohne zusätz­li­che Maß­nah­men grund­sätz­lich nicht aus.
  3. Die Wer­tun­gen des Urteils fin­den auch auf ande­re Garan­tien nach Arti­kel 46 DSGVO Anwen­dung wie ver­bind­li­che inter­ne Daten­schutz­vor­schrif­ten („bin­ding cor­po­ra­te rules“ – BCR), auf deren Grund­la­ge eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA und ande­re Dritt­staa­ten erfolgt. Daher müs­sen auch für Daten­über­mitt­lun­gen auf der Grund­la­ge von BCR ergän­zen­de Maß­nah­men ver­ein­bart wer­den, sofern die Rech­te der betrof­fe­nen Per­so­nen im Dritt­land nicht ein gleich­wer­ti­ges Schutz­ni­veau wie in der Uni­on genie­ßen. Auch die­se Maß­nah­men müs­sen für die über­mit­tel­ten Daten ein im Wesent­li­chen gleich­wer­ti­ges Daten­schutz­ni­veau wie in der EU garan­tie­ren kön­nen.
  4. Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten aus der EU in die USA und ande­re Dritt­staa­ten nach Arti­kel 49 DSGVO ist wei­ter­hin zuläs­sig, sofern die Bedin­gun­gen des Arti­kels 49 DSGVO im Ein­zel­fall erfüllt sind. Zur Anwen­dung und Aus­le­gung die­ser Vor­schrift hat der Euro­päi­sche Daten­schutz­aus­schuss Leit­li­ni­en ver­öf­fent­licht.
  5. Ver­ant­wort­li­che, die wei­ter­hin per­so­nen­be­zo­ge­ne Daten in die USA oder ande­re Dritt­län­der über­mit­teln möch­ten, müs­sen unver­züg­lich über­prü­fen, ob sie dies unter den genann­ten Bedin­gun­gen tun kön­nen. Der EuGH hat kei­ne Über­gangs- bzw. Schon­frist ein­ge­räumt.

Auch wenn der EuGH in sei­ner Ent­schei­dung an ver­schie­de­nen Stel­len die vor­ran­gi­ge Ver­ant­wor­tung des Über­mitt­lers von per­so­nen­be­zo­ge­nen Daten und des Emp­fän­gers beton­te, hat er auch den Auf­sichts­be­hör­den eine Schlüs­sel­rol­le bei der Durch­set­zung der DSGVO und wei­te­ren Ent­schei­dun­gen über Daten­über­mitt­lun­gen in Dritt­län­der zuge­wie­sen. Die deut­schen Auf­sichts­be­hör­den wer­den sich in ihrem Vor­ge­hen mit ihren Kol­le­gin­nen und Kol­le­gen im Euro­päi­schen Daten­schutz­aus­schuss abstim­men und zukünf­tig auch zu spe­zi­fi­sche­ren Fra­ge­stel­lun­gen bera­ten.

Nach dem Urteil des EuGH hat der Euro­päi­sche Daten­schutz­aus­schuss nach einer ersten Stel­lung­nah­me in sei­ner Sit­zung am 23. Juli 2020 zen­tra­le Fra­gen und Ant­wor­ten (FAQ) zur Umset­zung des Urteils ver­öf­fent­licht. Die DSK befür­wor­tet die Posi­tio­nie­rung des Euro­päi­schen Daten­schutz­aus­schus­ses. Der eng­li­sche Text der FAQ ist auf der Web­sei­te des Euro­päi­schen Daten­schutz­aus­schus­ses unter https://​edpb​.euro​pa​.eu/​n​e​w​s​/​n​e​w​s​/​2​0​2​0​/​e​u​r​o​p​e​a​n​-​d​a​t​a​-​p​r​o​t​e​c​t​i​o​n​-​b​o​a​r​d​-​p​u​b​l​i​s​h​e​s​-​f​a​q​-​d​o​c​u​m​e​n​t​-​c​j​e​u​-​j​u​d​g​m​e​n​t​-​c​-​3​1​1​1​8​-​s​c​h​r​e​m​s​_de zu fin­den.

Die Web­sei­te der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der kann hier abge­ru­fen wer­den.