In derselben Entscheidung erklärte der EuGH die Übertragung personenbezogener Daten auf Grundlage der sogenannten Standardvertragsklauseln, ausdrücklich für gültig. Aber: Damit ist es zwar Verantwortlichen auch weiterhin gestattet, Nutzerdaten von EU-Bürgern auf Basis von Standardvertragsklauseln in die USA und andere Staaten zu übertragen. Voraussetzung ist jedoch, dass der Datenschutz in dem anderen Land gewährleistet ist, was der EuGH mit der heutigen Entscheidung für die USA allgemein angezweifelt hat. Wenn die Standardvertragsklauseln nicht eingehalten werden, ist die jeweilige Datenschutzbehörde grundsätzlich dazu verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu verbieten. Vor allem müssen auch der Verantwortliche und der Empfänger der Daten vorab prüfen, ob in dem betreffenden Drittland ein ähnlich angemessenes Schutzniveau wie in der EU gewährleistet werden kann.
Für die Übermittlung von personenbezogenen Daten an Unternehmen in den USA oder auf Server in den USA, die bislang aufgrund des Privacy Shields vorgenommen wurden, droht nun ein Bußgeld wegen eines Verstoßes gegen die DSGVO. Solche Übermittlungen erfolgen bereits im Falle von mit US-Servern verbundene Plugins- oder Website-Analysetools, die personenbezogene Daten abfragen, übertragen und speichern.
Ob die Aufsichtsbehörden in Deutschland und Europa zumindest kurzfristig Bußgeldverfahren aussetzen werden, wie es beispielsweise die GDD in Deutschland fordert, bleibt abzuwarten. Zumindest nach der Safe-Harbor-Entscheidung hatten die Aufsichtsbehörden z.B. in Nordrhein-Westfalen zwar Anhörungsbögen versendet, Bußgelder wurden aber ad hoc nicht verhängt. Es ist aber durchaus möglich, dass die Nutzung konkreter Dienste von den Behörden für rechtswidrig erklärt werden oder im Einzelfall nach Art. 58 Abs. 2 lit. f DSGVO untersagt wird.
Allerdings ist die EU wie schon im Jahr 2015 bei der Safe-Harbor-Entscheidung des EuGH (Az.: C-362/14) bemüht, schnell Rechtssicherheit zu schaffen. Schon bald dürfte die EU-Kommission mit der US-Regierung über mögliche neue Instrumente verhandeln.
So oder so: Viel Zeit dürfte verantwortlichen Stellen in Europa nicht bleiben, die Datenflüsse insbesondere an US-Dienstleister in Revision zu nehmen und wirksame Rechtsgrundlagen für laufende Daten-Übermittlungen sicherzustellen.
Was sollten Verantwortliche jetzt tun?
- Überprüfung aller Datenverarbeitungen, die eine Übermittlung oder Offenlegung von personenbezogene Daten in Drittstaaten – insbesondere die USA – beinhalten (Verarbeitungsverzeichnisse, Dienstleister- und/oder Software- und System-Übersichten)
- Prüfung und ggf. Vervollständigung von Vertragsunterlagen mit Anbietern, die Daten in die USA und andere Drittländer übermitteln um EU-Standardvertragsklauseln (häufig einseitig vom Anbieter auf der Website zum Download)
- Prüfung, inwieweit Anbieter wirksame Garantien für die Datensicherheit bieten (ggf. werden zu prominenten Dienste-Anbietern Black-/Whitelists der Aufsichtsbehörden veröffentlicht.
- Prüfung, ob ggf. – zumindest temporäre – Abschaltung von Diensten oder Anbieterwechsel in Betracht kommen. Es bleibt abzuwarten, ob gerade die großen Diensteanbieter wie AWS, Apple, Google und Facebook Verarbeitungen auf Europäischen Serverstrukturen verlagern; Skepsis ist wohl angebracht.