Hintergrund der Entscheidung des EuGH war hauptsächlich, dass sich ein Datenzugriff durch US-Nachrichtendienste nicht ausschließen lässt. Aus diesem Grund sah der EuGH keine Möglichkeit ein dem europäischen Recht angemessenes Datenschutzniveau in den USA anzuerkennen. Auch die von der EU definierten sogenannten Standardvertragsklauseln, mit denen der Datenexporteur in der EU personenbezogene Daten an einen Datenimporteur in den USA übermitteln darf können als alternative Rechtsgrundlage nur bedingt helfen. In Bezug auf die EuGH-Entscheidung vom 16. Juli 2020 gilt es zunächst festzuhalten, dass es keinerlei „Gnadenfrist“ gibt, um die EuGH-Entscheidung entsprechend umzusetzen. Darauf haben sich die Aufsichtsbehörden der EU-Länder geeinigt. Der Bundesdatenschutzbeauftragte, Professor Ulrich Kelber, spricht von einer Umstellung der Praktiken „ohne Verzögerung“. Das Urteil des EuGH verlangt von Verantwortlichen eine umgehende und ausnahmslose Überprüfung sämtlicher Datenübertragungen zu Unternehmen in den USA. Hierbei geht es vor allem um elektronische Dienste, etwa Cloud-Anbieter oder Software-Dienstleister. Im Einzelfall sollte genau geprüft werden, ob der Datenempfänger in den USA für die übermittelten Daten hinreichen- de Garantien für ein angemessenes Schutzniveau bieten kann. Ist dies nicht der Fall, da entweder nationale Rechte dies nicht ermöglichen oder keine zusätzlichen Schutzmaßnahmen getroffen werden können, so ist die Übertragung von personenbezogenen Daten umgehend einzustellen beziehungsweise zu beenden.

Neben dem EU-US Privacy Shield bilden die bereits erwähnten Standardvertragsklauseln weiterhin eine mögliche Grundlage für den Datentransfer. „Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände des Datentransfers von Fall zu Fall betrachtet werden.“, so Professor Ulrich Kelber weiter. Das müsse auch für die Übermittlung in andere Länder gelten.

Man sollte sich aber als Unternehmen nicht nur mit den rechtlichen Rahmenbedingungen für den unmittelbaren Datentransfer mit einem im Drittland niedergelassenen Unternehmen beschäftigten, sondern darüber hinaus, auch die geschlossenen Auftragsverarbeitungsverträge dahingehend überprüfen, ob der Vertragspartner oder gegebenenfalls das mit der Datenverarbeitung beauftragte Subunternehmen in den USA oder in anderen Drittstaaten ansässig sind. Liegt ein solcher Fall konkret vor, so sollte man sich mit dem Vertragspartner in Verbindung setzen, um etwaige Vertragsanpassungen vorzunehmen. Allgemein gilt es zu beachten, dass der Datenexporteur (z. B. ein Unternehmen in Deutschland) und der Datenimporteur (z. B. der Vertragspartner in den USA) gegenüber den Betroffenen gemeinsam in der Haftung stehen. Häufig liegt das grundlegende Problem für den Datentransfer jedoch nicht beim Exporteur der Daten, also nicht beim hiesigen Verantwortlichen.

Die Standardvertragsklauseln haben aber nicht nur das übergeordnete Ziel der Angleichung des Schutzniveaus in Drittländern an jenes des EU-Wirtschaftsraums, wenn es um den Transfer personenbezogener Daten geht, sondern sollen auch sicherstellen, dass wichtige Grundsätze der Datenschutz-Grundverordnung, etwa Zweckbindung, Transparenz, oder Vertraulichkeit der Datenverarbeitung eingehalten werden. Kann trotz Schließung der Standardvertragsklauseln und der Einführung weiterer Schutzmaßnahmen, wie z. B. Vertragsänderungen bzw. -ergänzungen oder zusätzliche Verschlüsselungen im elektronischen Verkehr, kein angemessenes Datenschutzniveau garantiert werden, so besteht die Informationspflicht der zuständigen Aufsichtsbehörde vor der geplanten Datenübermittlung in die USA oder ein anderes Drittland.

Es lässt sich sagen, dass ein Unternehmen all jene Datentransfers, welche eine Übertragung von personenbezogenen Daten in die USA oder ein anderes Drittland betreffen, auf deren datenschutzrechtliche Konformität überprüfen sollte und gegebenenfalls vertragliche Anpassungen, die Einstellung der Datenverarbeitung oder Aktualisierungen von Geschäftsbeziehungen in Betracht ziehen sollte. Gibt es vertragliche Partner, welche Ihren Sitz in einem Drittstaat haben, so sollte mit diesen zeitnah in Kontakt getreten werden, um etwaige Gegenmaßnahmen frühzeitig und effektiv planen und umsetzen zu können.

Die Folgen der EuGH-Entscheidung zeigen große Auswirkungen unter anderem bei der Nutzung von außereuropäischen Tracking-Tools, wie Google Analytics. Die Datenschutzerklärungen von Webseiten, die diese Tool nutzen, verweisen hier häufig noch auf das EU-US Privacy Shield. Jedoch ist deren Einsatz kaum mehr datenschutzkonform möglich. Daher haben die deutschen Aufsichtsbehörden bereits eine bundesweite, flächendeckende Überprüfung von eingesetzten Online-Tracking-Technologien angekündigt. Bei pharmazeutischen und medizinischen Einrichtungen kann eine entsprechende Datenübermittlung auf Grundlage des EU-US Privacy Shield zwar nicht ausgeschlossen werden, jedoch dürfte diese in der Regel nicht bei Datenverarbeitungen vorliegen, die in unmittelbarem Zusammenhang mit der Beratung und Behandlung von Patienten oder der Abgabe von Arznei- oder Hilfsmitteln zusammenhängen. Gleichwohl ist es durchaus denkbar, dass Apotheken oder Arztpraxen eine Webseite mit Google Analytics betreiben. Eine entsprechende Überprüfung sollte in jedem Fall durchgeführt werden.

Vertiefende Informationen zu diesem Thema:

Orientierungshilfe des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg vom 25.08.2020: Was jetzt in Sachen internationaler Datentransfer?

Abrufbar im Internet unter: