- Betriebsrat Blog - https://blog.betriebsrat.de -

Neues EuGH-Urteil zum Privacy Shield: Ist ein Datentransfer in die USA noch zulässig?

Interview mit unserem Datenschutz-Experten Stephan Sägmüller

Eine viel beachtete Entscheidung zum sogenannten „Privacy Shield-Abkommen“ wurde vor Kurzem vom Europäischen Gerichtshof (EuGH) gefällt. Stephan, kannst du uns aufklären, was hinter dem EuGH-Urteil steckt?

Dazu muss man ein bisschen ausholen: Zuallererst ist es wichtig zu verstehen, dass man für jede Datenübermittlung in ein Drittland – also (von wenigen Ausnahmen abgesehen) für Länder außerhalb der Europäischen Union – eine Rechtsgrundlage braucht. Dies gilt auch für die USA. Unternehmen können bzw. konnten sich bei einem Datentransfer in die USA u.a. auf das Privacy Shield-Abkommen stützen. Eine andere Möglichkeit sind sogenannte Standardvertragsklauseln.

EuGH-Urteil zum Datenschutz
Bild: pixabay

Was genau ist das Privacy Shield-Abkommen?

Das Privacy Shield ist ein Abkommen zwischen der EU und den USA aus dem Jahr 2016, auf dessen Grundlage personenbezogene Daten in die USA übermittelt werden durften. Mit dem Privacy Shield erkannte die EU sozusagen das Datenschutzniveau der USA als angemessen an. Das ist laut der DSGVO eine zwingende Voraussetzung dafür, dass Daten in ein Land außerhalb der EU übermittelt werden dürfen.

Das Privacy Shield enthielt u.a. Grundsätze zum Datenschutz, die von den amerikanischen Unternehmen einzuhalten sind, sowie Zusicherungen, Garantien und Beschränkungen auf den Datenzugriff durch Behörden. Laut dem Abkommen konnten US-amerikanische Unternehmen sich freiwillig selbst verpflichten, diesen Datenschutz einzuhalten. Salopp gesagt konnten die Unternehmen erklären: „Schaut her, ich verspreche, mich an die Datenschutz-Regeln zu halten.“ Und dann durften Daten übermittelt werden. Das ist vielleicht etwas überspitzt formuliert, allerdings war es mehr oder weniger tatsächlich schon fast alles.

Was kritisiert der EuGH konkret an dem Abkommen?

Der EuGH kritisiert vor allem, dass das Abkommen der nationalen Sicherheit in den USA, dem öffentlichen Interesse und der Einhaltung des amerikanischen Rechts einen Vorrang einräumt. Insbesondere, so meint der EuGH, sind Überwachungsprogramme (z.B. der NSA), die durch amerikanische Rechtsvorschriften erlaubt sind, nicht auf ein zwingend erforderliches Maß beschränkt. Deshalb gewährleistet das Privacy Shield keinen gleichwertigen Schutz zum europäischen Datenschutz, z.B. zur DSGVO.

Außerdem kritisierte der EuGH das im Privacy Shield geregelte Ombudsverfahren. Dieses besagt, dass EU-Bürger sich an einen sogenannten Ombudsmann beim amerikanischen Außenministerium wenden können, um eventuellen Verstößen nachzugehen und prüfen zu lassen, ob ein Unternehmen rechtswidrig gehandelt hat. Der EuGH meint, dieses Verfahren gebe betroffenen Personen keinen ausreichenden gerichtlichen Rechtsschutz. Alles in allem könne von einem angemessenen Schutzniveau deshalb nicht die Rede sein.

Was heißt das jetzt für das Abkommen?

Der EuGH hat es für ungültig erklärt. Genau wie schon 2015 das Safe Harbour-Abkommen.

Dürfen Unternehmen jetzt keine Daten mehr in die USA übermitteln?

Ganz so ist es nicht. Auf der Grundlage des Privacy Shield-Abkommens dürfen zwar keine Daten mehr in die USA übermittelt werden, Firmen können aber nach wie vor auf die bereits erwähnten Standardvertragsklauseln zurückgreifen. Diese wurden von der EU eigens für Datenübermittlungen erstellt und sie wurden vom EuGH auch weiterhin als angemessen eingestuft. Allerdings haben die Richter auch hier einen wichtigen Hinweis gegeben: Datenempfänger und Übermittler müssen unbedingt vor dem Datentransfer prüfen, ob ein gleichwertiges Datenschutzniveau gewährleistet werden kann. Darüber hinaus muss der Empfänger der Daten dem Exporteur melden, falls er die Standardvertragsklauseln nicht einhalten kann. Erfolgt so eine Meldung, muss der Exporteur die Datenübermittlung einstellen und ggf. vom Vertrag mit dem Empfänger zurücktreten. Außerdem haben diese Klauseln in der Praxis einen weiteren nicht unwesentlichen Nachteil: Sie sind mit deutlich mehr Bürokratie bzw. Aufwand verbunden.

Das klingt sehr abstrakt, kannst du uns ein Beispiel geben?

Gern: Im vorliegenden Fall ging es um die Übermittlung der Daten eines österreichischen Facebook-Nutzers von Facebook-Ireland an die Server der Konzernmutter in den USA. Überträgt man die Ausführungen des Gerichts auf diese Konstellation, dann bedeutet das, dass die irische Facebook-Tochter mit Facebook in den USA zukünftig vor einer Übermittlung personenbezogener Daten klären muss, ob dort ein angemessenes Schutzniveau existiert. Das könnte mit Blick auf die ergangene Entscheidung jetzt aber schwierig werden! Denn es steht ja die Kritik des EuGH im Raum, dass ein angemessenes Datenschutzniveau in den USA, u.a. wegen der weitgehenden Befugnisse z.B. der NSA, gerade nicht gegeben ist.

Weiß man denn schon, wie es jetzt weiter geht?

Noch nicht konkret. Es bleibt noch spannend, wie das Urteil von den Beteiligten interpretiert und eingeordnet wird. Die EU ist jedenfalls auf der Suche nach möglichen Alternativen, wie z.B. eine Überprüfung der bestehenden Standardvertragsklauseln. Aber egal wie man das Blatt dreht und wendet, das Kernproblem bleibt: die weitreichenden Überwachungsbefugnisse in den USA für NSA und Co. Eine Möglichkeit wird von einigen amerikanischen Tech-Firmen aber bereits eifrig genutzt: Der Aufbau von Serverstandorten innerhalb der EU. Damit erledigen sich viele Probleme von selbst.

Hat das Urteil auch eine Bedeutung für Betriebsräte?

Ich sehe hier eigentlich zwei wichtige Signale: Erstens sollten Betriebsräte kontrollieren, ob z.B. Cloud-Services o.Ä. im Betrieb genutzt werden. Ist dies der Fall, dann sollten diese dahingehend überprüft werden, wo die Daten gespeichert werden und auf welche Rechtsgrundlage, falls notwendig, sie sich stützen. Gegebenenfalls sind hier Anpassungen notwendig. Dies gilt natürlich besonders für personenbezogene Daten von Beschäftigten!

Zweitens zeigt der Fall, dass Beharrlichkeit sich auszahlen kann, auch wenn eine Situation eher nach „David gegen Goliath“ aussieht. Viele Betriebsräte kennen das selbst ganz gut, denn so ist oft auch bei Verhandlungen mit dem Arbeitgeber. Dann heißt es: dran bleiben und nicht unterkriegen lassen. Den Stein ins Rollen gebracht hat nämlich ein Bürger aus Österreich, Herr Schrems. Er ist seit vielen Jahren Nutzer von Facebook und war nicht einverstanden damit, dass seine Daten von den Facebook-Servern in Irland in die USA übertragen werden. Dabei stützte er sich genau auf die angesprochenen Mängel, nämlich auf das geringere Datenschutzniveau in den USA. Übrigens hat er mit seinem Anliegen bereits zum zweiten Mal Erfolg: Der Vorgänger des Privacy Shield-Abkommens, das sogenannte Safe Harbor-Abkommen, wurde auch wegen einer Beschwerde von Herrn Schrems dem EuGH zur Überprüfung vorgelegt. Mit bekanntem Ergebnis. Das ist doch ein schönes Beispiel dafür, dass Hartnäckigkeit sich lohnen kann.

Alle wichtigen Informationen, Folgen und Handlungsempfehlungen für Betriebsräte erfahren Sie in unserem Seminar: Internationaler Datentransfer: https://www.ifb.de/betriebsrat/seminare/thema/betriebsratswissen-zum-internationalen-datentransfer-1235#/ [1]

Pressemitteilung des EuGH zum Urteil: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf [2]