Der EU-US Privacy Shield war eine informelle Absprache auf dem Gebiet des Daten schutzrechts. Ausgehandelt wurde das Abkommen in den Jahren 2015 bis 2016 zwischen der EU und den USA. Die Absprache bestand aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Angemessenheitsbeschluss der EU-Kommission. In diesem Angemessenheitsbeschluss hatte die EU-Kommission am 12. Juli 2016 beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen; seitdem kann das Übereinkommen angewendet werden. Die Absprache regelt den Schutz personenbezogener Daten, welche aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie war notwendig geworden, nachdem der EuGH im Oktober 2015 die bis dahin angewendete, inhaltlich dem Privacy Shield sehr ähnliche, Safe Harbor Entscheidung der EU-Kommission für ungültig erklärt hatte.
 
Gilt mit sofortiger Wirkung
Die neuste Entscheidung des EuGHs betrifft insbesondere amerikanische IT-Konzerne und damit auch Anwendungen, wie zahlreiche bekannte Cloud-Dienste-, Tracking- und Newsletteranbieter, Google Analytics, Microsoft Azure, Office 365 oder Slack. Durch die Entscheidung können nun nicht mehr einfach amerikanische Firmen mit der Bearbeitung von Daten beauftragt oder diese auf US-Servern verarbeitet werden. Die Ungültigkeit des Angemessenheitsbeschlusses gilt mit sofortiger Wirkung, sodass eine Datenübermittlung in die USA ab sofort nicht mehr auf den Privacy Shield gestützt werden kann. Datenschutzbehörden werden durch das Gericht aufgefordert, Datenübermittlungen zu untersagen, wenn es keine gültige Rechtsgrundlage für die Übermittlung gibt. Eine Übergangsfrist ist im Urteil nicht vorgesehen.
 
Handlungsempfehlungen
Die Folgen des Urteils erfordern den Einsatz erheblicher organisatorischer Maßnahmen und damit verbunden auch personelle und finanzielle Ressourcen. Allerdings enthält der Art. 49 DSGVO etliche Ausnahmen von der Vorlage formaler Klauseln oder Angemessenheitsbeschlüssen wie dem Privacy Shield.  Unternehmen sollten daher zunächst prüfen, auf welcher Grundlage sich ihre aktuellen Datenverarbeitungen stützen, ob der Privacy-Shield zurzeit angewendet wird und ob ihre Datenübermittlung unter eine dieser Ausnahmen fallen könnte.
 
Sofern Unternehmen personenbezogene Daten aus der EU in die USA übersenden, sollten sie daher insbesondere folgende Punkte kurzfristig umsetzen:
• Erstellung einer Liste mit Softwareanbietern und Dienstleistern aus den USA. - Prüfung, ob diese Vertragspartner kurzfristig Regelungen für Kunden aus der EU treffen werden oder alternative Lösungen anbieten wie
a) die Nutzung von Einwilligungstools,
b) die Einbeziehung von EU-Standard Vertragsklauseln,
c) die Datenverarbeitung ausschließlich auf EU-Servern und weiteres
• Datenschutzerklärungen sind anzupassen (zum Beispiel in Zusammenhang mit Google Analytics oder einem Hinweis auf das Privacy Shield und anderem). Verträge sind anzupassen.
• Prüfen, ob Auftragsverarbeiter in den USA genutzt oder etwaige Zustimmungen für deren Subunternehmen in den USA zugelassen wurden.
• Sofern Unternehmen auf Verarbeiter in den USA angewiesen sind, sollten sie eine Einzelfallprüfung des Schutzniveaus der übermittelten Daten vornehmen.
 
Mögliche Alternative
Die Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c DSGVO bieten nach der Entscheidung des EuGHs eine mögliche rechtliche Alternative. Allerdings setzt auch die Nutzung von Standardvertragsklauseln eine Angemessenheit des Datenschutzniveaus voraus. Können die Klauseln, die die EU-Kommission verabschiedet hat, dies im Einzelfall nicht garantieren, müssen zusätzliche Vereinbarungen zwischen dem Datenexporteur in der EU und dem Datenimporteur in den USA getroffen werden. Für die Notwendigkeit weiterer Vereinbarungen mit US-amerikanischen Geschäftspartnern spricht nach dem Urteil des EuGHs sehr viel. Wie das angesichts der Rechtslage der extensiven nachrichtendienstlichen Überwachung in den USA funktionieren soll, ist zurzeit unbekannt. Die Aufsichtsbehörden könnten womöglich in Zukunft die Übermittlung aufgrund der Standarddatenschutzklauseln untersagen, wenn sie der Meinung sind, dass die Angemessenheit nicht gewährleistet ist. Das gilt nicht nur für die USA, sondern betrifft alle Drittländer, in welchen auf Basis von Standardvertragsklauseln personenbezogene Daten verarbeitet werden (z. B. China, Russland, Indien).
 
Folgen bei Verstößen
Aktuell sind noch keine Bußgelder aufgrund der Nichtanwendbarkeit des Privacy Shields durch die Landesdatenschutzbeauftragten verhängt worden. Grundsätzlich drohen bei Verstößen gegen die Bestimmungen der DSGVO Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten Jahresumsatzes eines Unternehmens. Die erheblichen Bußgelder, welche seitens der Landesdatenschutzbeauftragten in den letzten Monaten aufgrund anderer Verstöße verhängt wurden, zeigen, dass das Thema ernst genommen werden sollte.
 
Ausblick
Wie und wann ein Ersatz für die Privacy Shield Vereinbarung verhandelt werden wird, ist nicht abzusehen. Wegen der bevorstehenden Wahlen in den USA und der vorhandenen nachrichtendienstlichen Rechtslage muss davon ausgegangen werden, dass die Verhandlung eines Nachfolgeabkommens einen längeren Zeitraum einnehmen werden. Eine mögliche Überbrückungsmöglichkeit könnte darin zu sehen sein, dass eine Vereinbarung über die EU-Standarddatenschutzklauseln getroffen wird. Diese werden von der EU-Kommission vorgegeben und können auf Vertragsbasis ein angemessenes Datenschutzniveau beim Anbieter im Drittland herstellen. Damit könnten Unternehmen Vertragspartner und digitale Dienstleister zunächst weiter nutzen, wenn sie die Standardvertragsklauseln individuell im Verhältnis zum jeweiligen Vertragspartner vereinbaren. Sofern eine Vereinbarung mit dem jeweiligen Vertragspartner nicht zustande kommt, sollte die Zusammenarbeit beendet und ein europäischer Anbieter vorgezogen werden.
 
Quelle: Pressemitteilung zum Urteil in der Rechtssache Date Protection C-311-18
Quelle: Urteil Rechtssache C-311/18, Schrems II