Der EuGH hat heute im Urteil Schrems II (C‑311/18) entsprechend den Anträgen des Generalanwalts entschieden, dass
- die Standardvertragsklauseln weiterhin gelten,
- aber der Privacy Shield mit sofortiger Geltung unwirksam ist.
Das mag nach einem Teilsieg für den transatlantischen Datenverkehr klingen, ist es aber kaum.
Zur Nichtigkeit des Privacy Shield und deren Auswirkungen
Sofortiger Wegfall des Privacy Shield
Zunächst zum Privacy Shield: Der EuGH erklärt den Privacy Shield für unwirksam, weil
- Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen den Grundsätzen des Privacy Shield vorgehen (Rz. 164 ff.) und die Zugriffsmöglichkeiten nach US-Recht zu weit gehen, und
- betroffene Personen keine ausreichenden Rechtsbehelfe haben; der Ombudsmechanismus ist zu schwach (Rz. 186 ff.).
Diese Ungültigkeit – Nichtigkeit – besteht ausdrücklich ab sofort:
[202] Zu der Frage, ob die Wirkungen dieses Beschlusses aufrechtzuerhalten sind, um die Entstehung eines rechtlichen Vakuums zu vermeiden […], ist festzustellen, dass in Anbetracht von Art. 49 der DSGVO durch die Nichtigerklärung eines Angemessenheitsbeschlusses wie des DSS-Beschlusses jedenfalls kein solches rechtliches Vakuum entstehen kann. In dieser Vorschrift ist nämlich klar geregelt, unter welchen Voraussetzungen personenbezogene Daten in Drittländer übermittelt werden können, falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 der DSGVO vorliegt noch geeignete Garantien im Sinne ihres Art. 46 bestehen.
Eine Liste der zertifizierten Unternehmen findet sich auf der Privacy Shield List.
Vorläufige Einschätzung der Auswirkungen
Das Urteil des EuGH ist hier wenig überraschend. Es dürfte insbesondere folgendes bedeuten:
- Der Privacy Shield entfällt wie zuvor das Safe-Harbor-Abkommen. Datenübermittlungen an Empfänger in den USA, die sich nur auf den Privacy Shield gestützt haben, sind unzulässig (sowohl neue Übermittlungen als auch auf dieser Basis früher erfolgte Übermittlungen, wenn die entsprechenden Daten weiterhin in den USA belegen oder weiterhin von den USA aus zugänglich sind).
- Allerdings sehen manche Verträge mit nach dem Privacy Shield zertifizierten Unternehmen vor, dass zusätzlich die Standardvertragsklauseln gelten oder dass diese eo ipso greifen, sollte der Privacy Shield fallen. In diesem Fall kann die Übermittlung weiterhin zulässig sein, muss es aber nicht (s. unten zu den Standardvertragsklauseln).
- Manche Verträge sehen auch nur die Pflicht des zertifizierten Empfängers vor, Standardvertragsklauseln zu schliessen, wenn der Privacy Shield entfällt. Hier sind also Standardvertragsklauseln neu zu schliessen (sowie ggf. zusätzliche Vereinbarungen, s. unten). Dasselbe gilt, wenn mit dem zertifizierten Empfänger keine entsprechenden Bestimmungen vereinbart worden sind.
- Zumindest dann, wenn Standardvertragsklauseln neu zu schliessen sind und dies voraussichtlich längere Zeit dauert, sollte eine Einstellung der Übermittlungen geprüft werden.
- Empfänger, die sich vertraglich zur Einhaltung des Privacy Shield verpflichtet haben (was vorkommt, bisweilen sogar ausdrücklich auch dann, wenn der Privacy Shield entfällt), bleiben weiterhin an diesen gebunden. Zwar hat der Privacy Shield nach den Feststellungen des EuGH bisher schon keine ausreichende Sicherheit geboten, doch ist er besser als nichts. In diesen Fällen wird der Ersatz durch Standardvertragsklauseln vielleicht weniger dringlich sein.
- Dem Exporteur steht in solchen Fällen zudem das Argument offen, dass der Privacy Shield zwar nicht generell wirksam ist, nach dem Entscheid des EuGH, dass er in konkreten Fall aufgrund besonders niedriger Risiken aber dennoch ausreiche. Auch in einem solchen Fall sollten Standardvertragsklauseln geschlossen werden, aber hier mag der Exporteur bis dahin nicht in einer Verletzung sein.
- Nicht zu vergessen sind Ausnahmen vom Verbot der Übermittlung in Drittstaaten nach Art. 49 DSGVO (z.B. ausdrückliche Einwilligung, Vertragserfüllung, Wahrung von Rechtsansprüchen usw.)
Was den CH/US Privacy Shield betrifft, so
- ist er nicht formal aufgehoben. Allerdings wurde der Privacy Shield dadurch anerkannt, dass die Staatenliste des EDÖB i.S.v. Art. 6 Abs. 1 DSG entsprechend ergänzt worden ist. Die Staatenliste begründet aber nur eine Vermutung, keine Fiktion. Es ist daher denkbar – aber praktisch kaum relevant -, dass eine Übermittlung auf Basis des Privacy Shield heute schon datenschutzwidrig ist bzw. war;
- wird er wohl bald aufgehoben, d.h. der EDÖB wird die Staatenliste voraussichtlich anpassen. Allerdings muss bzw. sollte der EDÖB zuerst prüfen, ob der Standard der Angemessenheit derselbe ist wie jener nach der DSGVO. Dabei ist zu beachten, dass die vom EuGH in diesem Zusammenhang angerufene Grundrechtscharta für die Schweiz selbstverständlich nicht gilt. Die Angemessenheit ist vielmehr nach dem Standard der Europaratskonvention 108 zu beurteilen. Es ist also rechtlich betrachtet nicht unbedingt zwingend, dass der EDÖB zum selben Ergebnis kommt – auch wenn es in praktischer Hinsicht natürlich sehr wahrscheinlich ist.
Zur Wirksamkeit der Standardvertragsklauseln
Keine Ungültigkeit…
Mehr Überraschungspotential – jedenfalls wenn man die Hinweise des Generalanwalts beiseite lässt – haben die Erwägungen zu den Standardvertragsklauseln. Die Standardvertragsklauseln sind zwar weiterhin gültig.
… um den Preis hoher Anforderungen
Allerdings werden diese Klauseln abstrakt und nicht bezogen auf ein bestimmtes Land oder Gebiet beurteilt, weshalb sie nicht alle möglichen Risiken berücksichtigen. Das führt zwar nicht zu ihrer Unwirksamkeit, doch sind sie umgekehrt auch nicht als abschliessend zu verstehen. Vielmehr hält Erwägungsgrund 109 der DSGVO fest, dass die Verantwortlichen und die Auftragsverarbeiter sogar “ermutigt werden” sollten, “mit vertraglichen Verpflichtungen, die die Standard-Schutzklauseln ergänzen, zusätzliche Garantien zu bieten.”
Der datenexportierende Verantwortliche oder Auftragsverarbeiter hat demnach das Recht, die Klauseln soweit erforderlich zu ergänzen. Der EuGH setzt an diesem Punkt an, belässt es aber keineswegs dabei.
Vielmehr
- ist in jedem Einzelfall eine Risikoeinschätzung erforderlich und
- kann eine Pflicht bestehen, die Standardklauseln zu ergänzen (Rz. 133 und 134).
Das bedeutet,
- dass es nicht genügt, unbesehen Standardvertragsklauseln zu schliessen (bei Exporten aus der Schweiz vielleicht angepasst an schweizerische Eigenheiten und mit einer Meldung an den EDÖB) und ansonsten auf die Anerkennung der Klauseln als ausreichende Garantie zu vertrauen.
- Vielmehr muss der Verantwortliche vor dem Einsatz der Klauseln eine Risikoeinschätzung durchführen (wobei nicht nur Risiken des Rechts im Zielstaat massgebend sein können, sondern auch Gegenparteirisiken, denn wenn die Empfängerpartei nicht zu einer gewissen Mitwirkung in der Lage ist, laufen die nach den Klauseln vorgesehenen Mitwirkungspflichten ins Leere) und sich überlegen, ob die Klauseln die spezifischen Risiken abdecken und sie ggf. ergänzen, soweit das möglich ist.
- Soweit spezifischen Auslandsrisiken mit weiteren Vereinbarungen begegnet werden kann, müssen entsprechende Vereinbarungen vor der Übermittlung geschlossen werden. Der EuGH ist in diesem Punkt deutlich:
[134] Wie der Generalanwalt hierzu in Nr. 126 seiner Schlussanträge ausgeführt hat, beruht der in Art. 46 Abs. 2 Buchst. c der DSGVO vorgesehene vertragliche Mechanismus darauf, dass das Verantwortungsbewusstsein des in der Union ansässigen Verantwortlichen bzw. seines dort ansässigen Auftragsverarbeiters und, in zweiter Linie, der zuständigen Aufsichtsbehörde geweckt wird. Folglich obliegt es vor allem diesem Verantwortlichen bzw. seinem Auftragsverarbeiter, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.
Damit fragt sich allerdings, welchen Risiken vertraglich überhaupt begegnet werden kann:
- Die Risiken, die zum Fall des Privacy Shield geführt haben, sind Risiken, die sich aus dem US-Recht ergeben, und da Behörden nicht an Standardklauseln gebunden sind, lässt sich die Entstehung dieser Risiken nicht beeinflussen. Sie werden aber je nach Sensitivität der Daten und Umfang ihrer Übermittlung und deren Modalitäten (z.B. physische Datenübermittlung vs. Zugriff im Einzelfall, Dauer der Speicherung vor Ort usw.) unterschiedlich zu bewerten sein.
- Möglich ist aber ggf. eine Mitigierung ihrer Wirkungen, bspw. indem ein Verfahren festgelegt wird, wie der Datenempfänger bei offenen Behördenzugriffen (“lawful access requests”) reagiert. Hier enthält der Cloud-Leitfaden der Bankiervereinigung Hinweise.
Kann der erforderliche Schutz auch mit zusätzlichen Klauseln nicht gewährleistet werden, muss der Exporteur die Datenübermittlung konsequenterweise aussetzen oder beenden (Rz. 135):
Kann der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter keine hinreichenden zusätzlichen Maßnahmen ergreifen, um einen solchen Schutz zu gewährleisten, ist er – bzw. in zweiter Linie die zuständige Aufsichtsbehörde – verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden. Dies ist insbesondere dann der Fall, wenn das Recht dieses Drittlands dem Empfänger aus der Union übermittelter personenbezogener Daten Verpflichtungen auferlegt, die den genannten Klauseln widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben, dass ein angemessener Schutz vor dem Zugang der Behörden dieses Drittlands zu diesen Daten besteht.
Eine Zusammenfassung dieser Anforderungen findet sich in Rz. 140 ff.:
[140] Klausel 5 Buchst. a und b räumt in den beiden von ihr erfassten Fällen dem in der Union ansässigen Verantwortlichen das Recht ein, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten. In Anbetracht der Anforderungen, die sich aus Art. 46 Abs. 1 und Abs. 2 Buchst. c der DSGVO im Licht der Art. 7 und 8 der Charta ergeben, ist der Verantwortliche zur Aussetzung der Datenübermittlung und/oder zum Rücktritt vom Vertrag verpflichtet, wenn der Empfänger der Übermittlung nicht oder nicht mehr in der Lage ist, die Standarddatenschutzklauseln einzuhalten. Unterließe der Verantwortliche dies, würde er die Pflichten verletzen, die ihm nach Klausel 4 Buchst. a des Anhangs des SDK-Beschlusses, ausgelegt im Licht der DSGVO und der Charta, obliegen. [141] Somit verpflichten Klausel 4 Buchst. a sowie Klausel 5 Buchst. a und b dieses Anhangs den in der Union ansässigen Verantwortlichen und den Empfänger der Übermittlung personenbezogener Daten, sich vor der Übermittlung personenbezogener Daten in ein Drittland zu vergewissern, dass das Recht des Bestimmungsdrittlands es dem Empfänger erlaubt, die Standarddatenschutzklauseln im Anhang des SDK-Beschlusses einzuhalten. […] [142] […] Der Empfänger der Übermittlung ist nach Klausel 5 Buchst. b des Anhangs des SDK-Beschlusses gegebenenfalls verpflichtet, dem Verantwortlichen mitzuteilen, dass er die Klauseln nicht einhalten kann, woraufhin der Verantwortliche die Datenübermittlung aussetzen und/oder vom Vertrag zurücktreten muss.
Es dürfte zu früh sein für Prognosen, aber möglicherweise wird das Schrems II-Urteil zum Folgenden führen:
- Datenübermittlungen in Länder ohne angemessenen Schutz werden generell vorsichtiger gesteuert. Bereits bisher war fraglich, ob die verbreiteten Intra-Group-Übermittlungsverträge noch zulässig waren, die pauschal auf die Standardvertragsklauseln verwiesen haben, ohne die erfassten Übermittlungen, ihre Parteien und ihren Gegenstand für einzelne Übermittlungen konkret zu bestimmen. Nun, mit der Vorgabe, die Risiken im Einzelfall zu beurteilen, dürfte dieser Schluss noch näher liegen.
- Anbieter im EWR werden gestärkt.
- Bei Datenübermittlungen insbesondere in die USA fragt sich, wie die Risiken der Behördenzugriffe, die der EuGH moniert, gemindert werden kann. Allerdings sind die USA bei weitem nicht das einzige Land, dessen Behörden weitgehende Überwachungs- und Zugriffsbefugnisse haben. Die USA stehen aufgrund des Privacy Shield und letztlich der Snowden-Affäre im Fokus, aber das sollte nicht dazu verleiten, alle anderen Staaten als harmlos zu betrachten.
- Die Risikobeurteilung bei der Übermittlung von Personendaten nähert sich jener bei der Übermittlung gesetzlich geschützter Geheimnisse an, etwa Bankkunden- oder Patientendaten. Die Übermittlung von Personendaten wird entsprechend aufwendiger.
- Die Information der betroffenen Personen bei Übermittlungen in Drittländer wird wichtiger.
- Bei der Verwendung der Standardklauseln werden sich Zusatzklauseln einbürgern, die Pflichten aus den Standardklauseln verdeutlichen, verschärfen oder ergänzen. Sie werden wohl bei den Mitwirkungspflichten des Importeurs ansetzen müssen.
- Manche Dienstleister ausserhalb Europas werden versuchen, in Verhandlungen, mit Whitepapern u.dgl. zu zeigen, dass ihr lokales Recht keine Eingriffsbefugnisse enthält, die den Standardklauseln widersprechen, oder dass solchen Befugnissen mit Zusatzklauseln begegnet werden kann.
- Aufsichtsbehörden werden prüfen - nach einer Übergangszeit -, wie Unternehmen bei der Übermittlung in Drittstaaten die Risiken bewerten und ggf. mitigieren.
- Die Bedeutung anonymer Daten nimmt zu, und zwar auch für den länderübergreifenden konzerninternen Datenaustausch.
Jedenfalls darf man gespannt sein, wie die Standardvertragsklauseln in Zukunft angepasst oder ergänzt werden. Dazu sind im Rahmen des EDSA Arbeiten im Gang.