Der EuGH hat in seinem kürzlich ergangenen Urteil (C-311/18; „Schrems II“ genannt) nun auch das EU-US Privacy Shield Abkommen für ungültig erklärt. Das im Jahr 2016 durch die EU-Kommission neu beschlossene Abkommen folgt damit einem ähnlichen Schicksal wie das schon im Jahr 2015 aufgehobene EU-US Safe Harbor Abkommen (Schrems I).
Hintergrund der Entscheidung
Der Foreign Intelligence Surveillance-Act (FIS-Act) der USA sieht vor, dass ua US-Telekommunikationsunternehmen sowie US-Internetdienstanbieter (bspw Google, Facebook, Microsoft), trotz des EU-US Privacy Shield Abkommens, ohne richterlichen Beschluss gegenüber den US-Behörden auskunftspflichtig sind, wodurch eine Überwachung von EU-Bürgern ermöglicht wird. Ein effektiver Grundrechtsschutz, der vergleichbar mit dem europäischen Grundrecht auf Schutz der Privatsphäre der EU-Grundrechtecharta wäre, besteht daher für EU-Bürger in den USA nicht. Mit seiner Entscheidung C-311/18 erklärte der EuGH nun in Folge des nicht ausreichenden Schutzes der Privatsphäre für EU-Bürger das EU-US Privacy Shield Abkommen für ungültig. Die auch im selben Verfahren beanstandeten EU-Standardvertragsklauseln wurden hingegen unter Einhaltung bestimmter Vorgaben für gültig erklärt.
Handlungsempfehlungen
Für die Praxis bedeutet diese Entscheidung, dass europäische Unternehmen Maßnahmen ergreifen müssen, um weiterhin personenbezogene Daten in die USA transferieren zu dürfen oder durch US-Unternehmen verarbeiten zu lassen. Der oft genannte Umstieg auf EU-Standardvertragsklauseln ändert primär nichts an der Unterwerfung mancher US-Unternehmen unter dem FIS-Act. Unternehmen sollten daher jedenfalls prüfen,
- welche personenbezogenen Daten in die USA übertragen oder durch US-Unternehmen verarbeitet werden,
- ob dies zur Erreichung des Verarbeitungszwecks notwendig ist sowie
- ob hinzugezogene US-Unternehmen dem FIS-Act oder ähnlichen US-Gesetzen unterliegen.
Unterliegen US-Unternehmen dem FIS-Act, ist unklar welche Maßnahmen eine Zulässigkeit von Datentransfers und Verarbeitungen bewirken können. Empfehlenswert ist es jedenfalls proaktiv auf zur Verarbeitung hinzugezogene US-Unternehmen zuzugehen und zusätzliche Maßnahmen, wie bspw ein jederzeit ausübbares Kündigungsrecht und zu ergreifende Abwehrpflichten gegen US-Behördenanfragen zu vereinbaren. Darüber hinaus ist es ratsam technische Maßnahmen, wie die Verschlüsselung der Daten nach dem Stand der Technik, wobei das US-Unternehmen den dazugehörigen Schlüssel nicht erhalten darf, zu ergreifen.
Viele US-Unternehmen haben vorsorglich für Datentransfers und Verarbeitungen neben dem EU-US Privacy Shield Abkommen auch einen automatischen Umstieg auf die EU-Standardvertragsklauseln vorgesehen. Auch in diesem Fall sollten die zuvor genannten Prüfschritte jedenfalls gesetzt, dokumentiert und zusätzliche Maßnahmen ergriffen werden.
Ausblick
Abzuwarten bleibt, wie die USA und die EU-Kommission auf das Urteil reagieren werden. Neue Gespräche zwischen den USA und der EU haben jedenfalls bereits begonnen – auch eine Überarbeitung der bereits 2010 veröffentlichten EU-Standardvertragsklauseln steht nun wieder zur Diskussion.
Ihr Kontakt
Mag. Sascha Jung
Sascha Jung ist Partner bei Jank Weiler Operenyi Rechtsanwälte (JWO), dem österreichischen Mitglied des globalen Anwaltsnetzwerkes Deloitte Legal, und leitet das IP/IT, Data Protection Team. Durch seine langjährige Berufs- und Beratungspraxis verfügt er über ein umfangreiches sowie praxisbezogenes Verständnis für Datenschutzrecht und IP/IT. Im Jahr 2017 schloss er sich JWO als Partner an. Vor JWO war Sascha Jung als Rechtsanwalt für die renommierte IP/IT Kanzlei Höhne, In der Maur & Partner sowie als Trade Mark Attorney für Red Bull tätig. Neben seiner anwaltlichen Tätigkeit trägt Sascha Jung als Lektor für IP/IT-Recht an der IMC Fachhochschule Krems vor und publiziert regelmäßig zu seinen Fachgebieten.