Es haben sich bereits einige Behörden zum Schrems-II-Urteil des EuGH geäussert. Es zeigt sich ein uneinheitliches Bild. Während eine Behörde sofortige Repatriierung von Daten fordert (Berlin), lassen andere anklingen, dass ausser in besonderen Fällen Aktivismus nicht notwendig ist. Eine Auswahl:
- Der EDÖB, wie berichtet, prüft die Auswirkungen auf die Schweiz;
- der EDSA, das European Data Protection Board, begrüsst das Urteil und unterstreicht die Verantwortung v.a. des Exporteurs, wenn die Standardklauseln eingesetzt werden sollen:
The EDPB welcomes the CJEU’s judgment […]. The CJEU’s decision is one of great importance. […]. With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment. […] While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. […] . If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of. […] The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.
- Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert datenverarbeitende Stellen in Berlin erfreut, aber praxisfern direkt auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern:
Der EuGH hat in seiner Entscheidung „Schrems II“ (C‑311/18) am Donnerstag, dem 16. Juli 2020, festgestellt, dass US-Behörden zu weitreichende Zugriffsmöglichkeiten auf Daten europäischer Bürgerinnen und Bürger haben. Daraus folgt, dass personenbezogene Daten bis zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt werden dürfen. Ausnahmen bestehen vor allem in den gesetzlich vorgesehenen Sonderfällen, etwa bei einer Hotelbuchung in den USA. […] Die sogenannten Standardvertragsklauseln […] erklärt der EuGH […] unter bestimmten Bedingungen für grundsätzlich zulässig. Er betont in diesem Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher verbreitet vertreten, genügt der reine Abschluss von Standardvertragsklauseln nicht, um Datenexporte zu ermöglichen […]. Die Berliner Beauftragte […] fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.
- Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit scheint ebenfalls eine eher strenge Haltung einzunehmen:
[…] Dass es nach Ansicht des höchsten Unionsgerichts kein „weiter so“ beim Privacy Shield geben kann, ist begrüßenswert. Die Umetikettierung des im Jahr 2015 für ungültig erklärten Vorgängerinstruments Safe Harbor mit nur marginalen Verbesserungen hat zu keinem Umdenken in der Regierung der USA geführt. […] Vor diesem Hintergrund ist die Entscheidung des EuGH, die Standardvertragsklauseln (SCC) als angemessenes Instrument beizubehalten, nicht konsequent. Wenn die Ungültigkeit des Privacy Shield primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet wird, muss dasselbe auch für die Standardvertragsklauseln gelten. Vertragliche Vereinbarungen zwischen Datenexporteur und importeur sind gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. […] Die Handlungsmöglichkeiten datenexportierender Unternehmen sind nun dieselben wie schon vor fünf Jahren, als der Safe-Harbor-Mechanismus für ungültig erklärt wurde. Neben Binding Corporate Rules und Einzelvereinbarungen sind es vor allem die SCC, die als Grundlage für Übermittlungen in Drittstaaten genutzt werden können. Gleichzeitig ist jedoch die Unsicherheit dieses Mal gestiegen: Der EuGH spielt den Ball den europäischen Aufsichtsbehörden zu. Er betont ihre jeweilige Aufgabe, Datentransfers auf Grundlage der Standardvertragsklauseln auszusetzen oder zu verbieten. […] Sowohl die Verhältnismäßigkeit behördlicher Zugriffsmöglichkeiten als auch die Garantie eines funktionierenden Rechtsschutzes hat der Exporteur seiner örtlich zuständigen Datenschutzbehörde auf Verlangen nachzuweisen. […]
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) äussert sich nüchtern und lässt erkennen, dass in Regelfällen keine raschen Massnahmen drohen:
[…] Der EuGH macht deutlich, dass internationaler Datenverkehr weiter möglich ist. Dabei müssen aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden. Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden. Unternehmen und Behörden können Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln, das der EuGH für unwirksam erklärt hat. Bei der Umstellung werden wir selbstverständlich intensiv beraten. […] Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen. […]
- Das Bayrische Landesamt für Datenschutz und der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat bislang soweit ersichtlich auf eine Stellungnahme verzichtet.
- Das UK Information Commissioner’s Office (ICO) hat die Entscheidung nur kurz notiert, wirkt aber deutlich praxisnäher:
We stand ready to support UK organisations and will be working with UK Government and international agencies to ensure that global data flows may continue and that people’s personal data is protected.
- Die französische Aufsichtsbehörde, CNIL, hält sich ebenfalls noch zurück:
Beyond the summary shared by the CJEU in its press release, the CNIL is currently conducting a precise analysis of the judgment, together with its European counterparts assembled within the European Data Protection Board. This joint work aims at drawing conclusions as soon as possible on the consequences of the ruling for data transfers from the European Union to the United States.
- Die irische Data Protection Commission lobt sich selbst und begrüsst das Urteil:
The Data Protection Commission (DPC) strongly welcomes today’s judgment from the Court of Justice of the European Union (CJEU). […] So, while in terms of the points of principle in play, the Court has endorsed the DPC’s position, it has also ruled that the SCCs transfer mechanism used to transfer data to countries worldwide is, in principle, valid, although it is clear that, in practice, the application of the SCCs transfer mechanism to transfers of personal data to the United States is now questionable. This is an issue that will require further and careful examination, not least because assessments will need to be made on a case by case basis. […]
- Der italienische Garante und die spanische AEPD haben soweit ersichtlich keine Stellungnahme veröffentlicht.