EuGH i.S. Schrems II (Rs. C‑311/18): Der Pri­va­cy Shield ist nich­tig, die Stan­dard­klau­seln blei­ben wirk­sam, der Expor­teur hat hohe Pflich­ten

Der EuGH hat heu­te im Urteil Schrems II (C‑311/18) ent­spre­chend den Anträ­gen des Gene­ral­an­walts ent­schie­den, dass

  • die Stan­dard­ver­trags­klau­seln wei­ter­hin gel­ten,
  • aber der Pri­va­cy Shield mit sofor­ti­ger Gel­tung unwirk­sam ist.

Das mag nach einem Teil­sieg für den trans­at­lan­ti­schen Daten­ver­kehr klin­gen, ist es aber kaum.

Zur Nich­tig­keit des Pri­va­cy Shield und deren Aus­wir­kun­gen

Sofor­ti­ger Weg­fall des Pri­va­cy Shield

Zunächst zum Pri­va­cy Shield: Der EuGH erklärt den Pri­va­cy Shield für unwirk­sam, weil

  • Erfor­der­nis­se der natio­na­len Sicher­heit, des öffent­li­chen Inter­es­ses oder der Durch­füh­rung von Geset­zen den Grund­sät­zen des Pri­va­cy Shield vor­ge­hen (Rz. 164 ff.) und die Zugriffs­mög­lich­kei­ten nach US-Recht zu weit gehen, und
  • betrof­fe­ne Per­so­nen kei­ne aus­rei­chen­den Rechts­be­hel­fe haben; der Ombuds­me­cha­nis­mus ist zu schwach (Rz. 186 ff.).

Die­se Ungül­tig­keit – Nich­tig­keit – besteht aus­drück­lich ab sofort:

[202] Zu der Fra­ge, ob die Wir­kun­gen die­ses Beschlus­ses auf­recht­zu­er­hal­ten sind, um die Ent­ste­hung eines recht­li­chen Vaku­ums zu ver­mei­den […], ist fest­zu­stel­len, dass in Anbe­tracht von Art. 49 der DSGVO durch die Nich­tig­erklä­rung eines Ange­mes­sen­heits­be­schlus­ses wie des DSS-Beschlus­ses jeden­falls kein sol­ches recht­li­ches Vaku­um ent­ste­hen kann. In die­ser Vor­schrift ist näm­lich klar gere­gelt, unter wel­chen Vor­aus­set­zun­gen per­so­nen­be­zo­ge­ne Daten in Dritt­län­der über­mit­telt wer­den kön­nen, falls weder ein Ange­mes­sen­heits­be­schluss nach Art. 45 Abs. 3 der DSGVO vor­liegt noch geeig­ne­te Garan­tien im Sin­ne ihres Art. 46 bestehen.

Eine Liste der zer­ti­fi­zier­ten Unter­neh­men fin­det sich auf der Pri­va­cy Shield List.

Vor­läu­fi­ge Ein­schät­zung der Aus­wir­kun­gen

Das Urteil des EuGH ist hier wenig über­ra­schend. Es dürf­te ins­be­son­de­re fol­gen­des bedeu­ten:

  • Der Pri­va­cy Shield ent­fällt wie zuvor das Safe-Har­bor-Abkom­men. Daten­über­mitt­lun­gen an Emp­fän­ger in den USA, die sich nur auf den Pri­va­cy Shield gestützt haben, sind unzu­läs­sig (sowohl neue Über­mitt­lun­gen als auch auf die­ser Basis frü­her erfolg­te Über­mitt­lun­gen, wenn die ent­spre­chen­den Daten wei­ter­hin in den USA bele­gen oder wei­ter­hin von den USA aus zugäng­lich sind).
  • Aller­dings sehen man­che Ver­trä­ge mit nach dem Pri­va­cy Shield zer­ti­fi­zier­ten Unter­neh­men vor, dass zusätz­lich die Stan­dard­ver­trags­klau­seln gel­ten oder dass die­se eo ipso grei­fen, soll­te der Pri­va­cy Shield fal­len. In die­sem Fall kann die Über­mitt­lung wei­ter­hin zuläs­sig sein, muss es aber nicht (s. unten zu den Stan­dard­ver­trags­klau­seln).
  • Man­che Ver­trä­ge sehen auch nur die Pflicht des zer­ti­fi­zier­ten Emp­fän­gers vor, Stan­dard­ver­trags­klau­seln zu schlie­ssen, wenn der Pri­va­cy Shield ent­fällt. Hier sind also Stan­dard­ver­trags­klau­seln neu zu schlie­ssen (sowie ggf. zusätz­li­che Ver­ein­ba­run­gen, s. unten). Das­sel­be gilt, wenn mit dem zer­ti­fi­zier­ten Emp­fän­ger kei­ne ent­spre­chen­den Bestim­mun­gen ver­ein­bart wor­den sind.
  • Zumin­dest dann, wenn Stan­dard­ver­trags­klau­seln neu zu schlie­ssen sind und dies vor­aus­sicht­lich län­ge­re Zeit dau­ert, soll­te eine Ein­stel­lung der Über­mitt­lun­gen geprüft wer­den.
  • Emp­fän­ger, die sich ver­trag­lich zur Ein­hal­tung des Pri­va­cy Shield ver­pflich­tet haben (was vor­kommt, bis­wei­len sogar aus­drück­lich auch dann, wenn der Pri­va­cy Shield ent­fällt), blei­ben wei­ter­hin an die­sen gebun­den. Zwar hat der Pri­va­cy Shield hat nach den Fest­stel­lun­gen des EuGH bis­her schon kei­ne aus­rei­chen­de Sicher­heit gebo­ten, doch ist er bes­ser als nichts. In die­sen Fäl­len wird der Ersatz durch Stan­dard­ver­trags­klau­seln viel­leicht weni­ger dring­lich sein.
  • Dem Expor­teur steht in sol­chen Fäl­len zudem das Argu­ment offen, dass der Pri­va­cy Shield zwar nicht gene­rell wirk­sam ist, nach dem Ent­scheid des EuGH, dass er in kon­kre­ten Fall auf­grund beson­ders nied­ri­ger Risi­ken aber den­noch aus­rei­che. Auch in einem sol­chen Fall soll­ten Stan­dard­ver­trags­klau­seln geschlos­sen wer­den, aber hier mag der Expor­teur bis dahin nicht in einer Ver­let­zung sein.
  • Nicht zu ver­ges­sen sind Aus­nah­men vom Ver­bot der Über­mitt­lung in Dritt­staa­ten nach Art. 49 DSGVO (z.B. aus­drück­li­che Ein­wil­li­gung, Ver­trags­er­fül­lung, Wah­rung von Rechts­an­sprü­chen usw.)

Was den CH/US Pri­va­cy Shield betrifft, so

  • ist er nicht for­mal auf­ge­ho­ben. Aller­dings wur­de der Pri­va­cy Shield dadurch aner­kannt, dass die Staa­ten­li­ste des EDÖB i.S.v. Art. 6 Abs. 1 DSG ent­spre­chend ergänzt wor­den ist. Die Staa­ten­li­ste begrün­det aber nur eine Ver­mu­tung, kei­ne Fik­ti­on. Es ist daher denk­bar – aber prak­tisch kaum rele­vant -, dass eine Über­mitt­lung auf Basis des Pri­va­cy Shield heu­te schon daten­schutz­wid­rig ist bzw. war;
  • wird er wohl bald auf­ge­ho­ben, d.h. der EDÖB wird die Staa­ten­li­ste vor­aus­sicht­lich anpas­sen. Aller­dings muss bzw. soll­te der EDÖB zuerst prü­fen, ob der Stan­dard der Ange­mes­sen­heit der­sel­be ist wie jener nach der DSGVO. Dabei ist zu beach­ten, dass die vom EuGH in die­sem Zusam­men­hang ange­ru­fe­ne Grund­rechts­char­ta für die Schweiz selbst­ver­ständ­lich nicht gilt. Die Ange­mes­sen­heit ist viel­mehr nach dem Stan­dard der Euro­pa­rats­kon­ven­ti­on 108 zu beur­tei­len. Es ist also recht­lich betrach­tet nicht unbe­dingt zwin­gend, dass der EDÖB zum sel­ben Ergeb­nis kommt – auch wenn es in prak­ti­scher Hin­sicht natür­lich sehr wahr­schein­lich ist.

Zur Wirk­sam­keit der Stan­dard­ver­trags­klau­seln

Kei­ne Ungül­tig­keit…

Mehr Über­ra­schungs­po­ten­ti­al – jeden­falls wenn man die Hin­wei­se des Gene­ral­an­walts bei­sei­te lässt – haben die Erwä­gun­gen zu den Stan­dard­ver­trags­klau­seln. Die Stan­dard­ver­trags­klau­seln sind zwar wei­ter­hin gül­tig.

… um den Preis hoher Anfor­de­run­gen

Aller­dings wer­den die­se Klau­seln abstrakt und nicht bezo­gen auf ein bestimm­tes Land oder Gebiet beur­teilt, wes­halb sie nicht alle mög­li­chen Risi­ken berück­sich­ti­gen. Das führt zwar nicht zu ihrer Unwirk­sam­keit, doch sind sie umge­kehrt auch nicht als abschlie­ssend zu ver­ste­hen. Viel­mehr hält Erwä­gungs­grund 109 der DSGVO fest, dass die Ver­ant­wort­li­chen und die Auf­trags­ver­ar­bei­ter sogar “ermu­tigt wer­den” soll­ten, “mit ver­trag­li­chen Ver­pflich­tun­gen, die die Stan­dard-Schutz­klau­seln ergän­zen, zusätz­li­che Garan­tien zu bie­ten.”

Der daten­ex­por­tie­ren­de Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter hat dem­nach das Recht, die Klau­seln soweit erfor­der­lich zu ergän­zen. Der EuGH setzt an die­sem Punkt an, belässt es aber kei­nes­wegs dabei.

Viel­mehr

  • ist in jedem Ein­zel­fall eine Risi­ko­ein­schät­zung erfor­der­lich und
  • kann eine Pflicht bestehen, die Stan­dard­klau­seln zu ergän­zen (Rz. 133 und 134).

Das bedeu­tet,

  • dass es nicht genügt, unbe­se­hen Stan­dard­ver­trags­klau­seln zu schlie­ssen (bei Expor­ten aus der Schweiz viel­leicht ange­passt an schwei­ze­ri­sche Eigen­hei­ten und mit einer Mel­dung an den EDÖB) und anson­sten auf die Aner­ken­nung der Klau­seln als aus­rei­chen­de Garan­tie zu ver­trau­en.
  • Viel­mehr muss der Ver­ant­wort­li­che vor dem Ein­satz der Klau­seln eine Risi­ko­ein­schät­zung durch­füh­ren (wobei nicht nur Risi­ken des Rechts im Ziel­staat mass­ge­bend sein kön­nen, son­dern auch Gegen­par­tei­ri­si­ken, denn wenn die Emp­fän­ger­par­tei nicht zu einer gewis­sen Mit­wir­kung in der Lage ist, lau­fen die nach den Klau­seln vor­ge­se­he­nen Mit­wir­kungs­pflich­ten ins Lee­re) und sich über­le­gen, ob die Klau­seln die spe­zi­fi­schen Risi­ken abdecken und sie ggf. ergän­zen, soweit das mög­lich ist.
  • Soweit spe­zi­fi­schen Aus­lands­ri­si­ken mit wei­te­ren Ver­ein­ba­run­gen begeg­net wer­den kann, müs­sen ent­spre­chen­de Ver­ein­ba­run­gen vor der Über­mitt­lung geschlos­sen wer­den. Der EuGH ist in die­sem Punkt deut­lich:

    [134] Wie der Gene­ral­an­walt hier­zu in Nr. 126 sei­ner Schluss­an­trä­ge aus­ge­führt hat, beruht der in Art. 46 Abs. 2 Buchst. c der DSGVO vor­ge­se­he­ne ver­trag­li­che Mecha­nis­mus dar­auf, dass das Ver­ant­wor­tungs­be­wusst­sein des in der Uni­on ansäs­si­gen Ver­ant­wort­li­chen bzw. sei­nes dort ansäs­si­gen Auf­trags­ver­ar­bei­ters und, in zwei­ter Linie, der zustän­di­gen Auf­sichts­be­hör­de geweckt wird. Folg­lich obliegt es vor allem die­sem Ver­ant­wort­li­chen bzw. sei­nem Auf­trags­ver­ar­bei­ter, in jedem Ein­zel­fall – gege­be­nen­falls in Zusam­men­ar­beit mit dem Emp­fän­ger der Über­mitt­lung – zu prü­fen, ob das Recht des Bestim­mungs­dritt­lands nach Maß­ga­be des Uni­ons­rechts einen ange­mes­se­nen Schutz der auf der Grund­la­ge von Stan­dard­da­ten­schutz­klau­seln über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten gewähr­lei­stet, und erfor­der­li­chen­falls mehr Garan­tien als die durch die­se Klau­seln gebo­te­nen zu gewäh­ren.

Damit fragt sich aller­dings, wel­chen Risi­ken ver­trag­lich über­haupt begeg­net wer­den kann:

  • Die Risi­ken, die zum Fall des Pri­va­cy Shield geführt haben, sind Risi­ken, die sich aus dem US-Recht erge­ben, und da Behör­den nicht an Stan­dard­klau­seln gebun­den sind, lässt sich die Ent­ste­hung die­ser Risi­ken nicht beein­flus­sen. Sie wer­den aber je nach Sen­si­ti­vi­tät der Daten und Umfang ihrer Über­mitt­lung und deren Moda­li­tä­ten (z.B. phy­si­sche Daten­über­mitt­lung vs. Zugriff im Ein­zel­fall, Dau­er der Spei­che­rung vor Ort usw.) unter­schied­lich zu bewer­ten sein.
  • Mög­lich ist aber ggf. eine Miti­gie­rung ihrer Wir­kun­gen, bspw. indem ein Ver­fah­ren fest­ge­legt wird, wie der Daten­emp­fän­ger bei offe­nen Behör­den­zu­grif­fen (“law­ful access requests”) reagiert. Hier ent­hält der Cloud-Leit­fa­den der Ban­kier­ver­ei­ni­gung Hin­wei­se.

Kann der erfor­der­li­che Schutz auch mit zusätz­li­chen Klau­seln nicht gewähr­lei­stet wer­den, muss der Expor­teur die Daten­über­mitt­lung kon­se­quen­ter­wei­se aus­set­zen oder been­den (Rz. 135):

Kann der in der Uni­on ansäs­si­ge Ver­ant­wort­li­che bzw. sein dort ansäs­si­ger Auf­trags­ver­ar­bei­ter kei­ne hin­rei­chen­den zusätz­li­chen Maß­nah­men ergrei­fen, um einen sol­chen Schutz zu gewähr­lei­sten, ist er – bzw. in zwei­ter Linie die zustän­di­ge Auf­sichts­be­hör­de – ver­pflich­tet, die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in das betref­fen­de Dritt­land aus­zu­set­zen oder zu been­den. Dies ist ins­be­son­de­re dann der Fall, wenn das Recht die­ses Dritt­lands dem Emp­fän­ger aus der Uni­on über­mit­tel­ter per­so­nen­be­zo­ge­ner Daten Ver­pflich­tun­gen auf­er­legt, die den genann­ten Klau­seln wider­spre­chen und daher geeig­net sind, die ver­trag­li­che Garan­tie zu unter­gra­ben, dass ein ange­mes­se­ner Schutz vor dem Zugang der Behör­den die­ses Dritt­lands zu die­sen Daten besteht.

Eine Zusam­men­fas­sung die­ser Anfor­de­run­gen fin­det sich in Rz. 140 ff.:

[140] Klau­sel 5 Buchst. a und b räumt in den bei­den von ihr erfass­ten Fäl­len dem in der Uni­on ansäs­si­gen Ver­ant­wort­li­chen das Recht ein, die Daten­über­mitt­lung aus­zu­set­zen und/oder vom Ver­trag zurück­zu­tre­ten. In Anbe­tracht der Anfor­de­run­gen, die sich aus Art. 46 Abs. 1 und Abs. 2 Buchst. c der DSGVO im Licht der Art. 7 und 8 der Char­ta erge­ben, ist der Ver­ant­wort­li­che zur Aus­set­zung der Daten­über­mitt­lung und/oder zum Rück­tritt vom Ver­trag ver­pflich­tet, wenn der Emp­fän­ger der Über­mitt­lung nicht oder nicht mehr in der Lage ist, die Stan­dard­da­ten­schutz­klau­seln ein­zu­hal­ten. Unter­lie­ße der Ver­ant­wort­li­che dies, wür­de er die Pflich­ten ver­let­zen, die ihm nach Klau­sel 4 Buchst. a des Anhangs des SDK-Beschlus­ses, aus­ge­legt im Licht der DSGVO und der Char­ta, oblie­gen.

[141] Somit ver­pflich­ten Klau­sel 4 Buchst. a sowie Klau­sel 5 Buchst. a und b die­ses Anhangs den in der Uni­on ansäs­si­gen Ver­ant­wort­li­chen und den Emp­fän­ger der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten, sich vor der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein Dritt­land zu ver­ge­wis­sern, dass das Recht des Bestim­mungs­dritt­lands es dem Emp­fän­ger erlaubt, die Stan­dard­da­ten­schutz­klau­seln im Anhang des SDK-Beschlus­ses ein­zu­hal­ten. […]

[142] […] Der Emp­fän­ger der Über­mitt­lung ist nach Klau­sel 5 Buchst. b des Anhangs des SDK-Beschlus­ses gege­be­nen­falls ver­pflich­tet, dem Ver­ant­wort­li­chen mit­zu­tei­len, dass er die Klau­seln nicht ein­hal­ten kann, wor­auf­hin der Ver­ant­wort­li­che die Daten­über­mitt­lung aus­set­zen und/oder vom Ver­trag zurück­tre­ten muss.

Es dürf­te zu früh sein für Pro­gno­sen, aber mög­li­cher­wei­se wird das Schrems II-Urteil zum Fol­gen­den füh­ren:

  • Daten­über­mitt­lun­gen in Län­der ohne ange­mes­se­nen Schutz wer­den gene­rell vor­sich­ti­ger gesteu­ert. Bereits bis­her war frag­lich, ob die ver­brei­te­ten Intra-Group-Über­mitt­lungs­ver­trä­ge noch zuläs­sig waren, die pau­schal auf die Stan­dard­ver­trags­klau­seln ver­wie­sen haben, ohne die erfass­ten Über­mitt­lun­gen, ihre Par­tei­en und ihren Gegen­stand für ein­zel­ne Über­mitt­lun­gen kon­kret zu bestim­men. Nun, mit der Vor­ga­be, die Risi­ken im Ein­zel­fall zu beur­tei­len, dürf­te die­ser Schluss noch näher lie­gen.
  • Anbie­ter im EWR wer­den gestärkt.
  • Bei Daten­über­mitt­lun­gen ins­be­son­de­re in die USA fragt sich, wie die Risi­ken der Behör­den­zu­grif­fe, die der EuGH moniert, gemin­dert wer­den kann. Aller­dings sind die USA bei wei­tem nicht das ein­zi­ge Land, des­sen Behör­den weit­ge­hen­de Über­wa­chungs- und Zugriffs­be­fug­nis­se haben. Die USA ste­hen auf­grund des Pri­va­cy Shield und letzt­lich der Snow­den-Affä­re im Fokus, aber das soll­te nicht dazu ver­lei­ten, alle ande­ren Staa­ten als harm­los zu betrach­ten.
  • Die Risi­ko­be­ur­tei­lung bei der Über­mitt­lung von Per­so­nen­da­ten nähert sich jener bei der Über­mitt­lung gesetz­lich geschütz­ter Geheim­nis­se an, etwa Bank­kun­den- oder Pati­en­ten­da­ten. Die Über­mitt­lung von Per­so­nen­da­ten wird ent­spre­chend auf­wen­di­ger.
  • Die Infor­ma­ti­on der betrof­fe­nen Per­so­nen bei Über­mitt­lun­gen in Dritt­län­der wird wich­ti­ger.
  • Bei der Ver­wen­dung der Stan­dard­klau­seln wer­den sich Zusatz­klau­seln ein­bür­gern, die Pflich­ten aus den Stan­dard­klau­seln ver­deut­li­chen, ver­schär­fen oder ergän­zen. Sie wer­den wohl bei den Mit­wir­kungs­pflich­ten des Impor­teurs anset­zen müs­sen.
  • Man­che Dienst­lei­ster ausser­halb Euro­pas wer­den ver­su­chen, in Ver­hand­lun­gen, mit White­pa­pern u.dgl. zu zei­gen, dass ihr loka­les Recht kei­ne Ein­griffs­be­fug­nis­se ent­hält, die den Stan­dard­klau­seln wider­spre­chen, oder dass sol­chen Befug­nis­sen mit Zusatz­klau­seln begeg­net wer­den kann.
  • Auf­sichts­be­hör­den wer­den prü­fen - nach einer Über­gangs­zeit -, wie Unter­neh­men bei der Über­mitt­lung in Dritt­staa­ten die Risi­ken bewer­ten und ggf. miti­gie­ren.
  • Die Bedeu­tung anony­mer Daten nimmt zu, und zwar auch für den län­der­über­grei­fen­den kon­zern­in­ter­nen Daten­aus­tausch.

Jeden­falls darf man gespannt sein, wie die Stan­dard­ver­trags­klau­seln in Zukunft ange­passt oder ergänzt wer­den. Dazu sind im Rah­men des EDSA Arbei­ten im Gang.