Der Gerichtshof der Europäischen Union (EuGH) hat am 16. Juli 2020 ein wegweisendes Urteil über Privacy Shield und Standardvertragsklauseln gefällt, das den internationalen Datentransfer, insbesondere zwischen den USA und der Bundesrepublik Deutschland erheblich beeinflussen wird. Konkret führt das Urteil dazu, dass eine Übermittlung personenbezogener Daten in die USA nicht mehr auf Basis einer Zertifizierung nach dem Privacy Shield möglich ist. Bestätigt hat der EuGH hingegen Standardvertragsklauseln, dabei jedoch auf die Garantien und Pflichten der Vertragspartner unter den Standardvertragsklauseln hingewiesen.
Key Facts
- Die Übermittlung personenbezogener Daten in ein Land außerhalb der Europäischen Union ist grundsätzlich nur zulässig, wenn dieses Land ein angemessenes Datenschutzniveau bietet und die Europäische Kommission dies in einem sog. Angemessenheitsbeschluss festgestellt hat.
- Der Angemessenheitsbeschluss der Europäischen Kommission betreffend Datenübertragungen in die USA auf Grundlage von Privacy Shield ist ungültig.
- Datenübermittlungen in das Nicht-EU-Ausland auf Grundlage von Standardvertragsklauseln sind weiterhin zulässig. Die Einhaltung der Garantien und Verpflichtungen unter den Standardvertragsklauseln sind mit dem Vertragspartner, insbesondere bei Datentransfers in die USA, kritisch zu prüfen.
Hintergrund des Privacy Shield
Nachdem die Möglichkeit der Selbstzertifizierung des US-Handelsministeriums und der Europäischen Kommission (sog. Safe Harbor) vom EuGH am 6. Oktober 2015 für ungültig erklärt wurde, arbeitete das US-Handelsministerium in der Folgezeit zusammen mit der Europäischen Kommission einen neuen Prinzipienkatalog aus, dem der Name Privacy Shield gegeben wurde. Mit Beschluss vom 12. Juli 2016 erklärte die Europäische Kommission, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, die im Rahmen des Privacy Shield aus der Europäischen Union an eine Organisation in den USA übermittelt werden.
Urteil des EuGH
Der EuGH hat nun entschieden, dass der Privacy-Shield-Beschluss der Europäischen Kommission vom 12. Juli 2016 ungültig ist.
Er begründete die Ungültigkeit von Privacy Shield u.a. damit, dass in diesem Beschluss den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt werde, womit Eingriffe in die Grundrechte der Personen ermöglicht würden, deren Daten in die USA übermittelt werden. Der Grundsatz der Verhältnismäßigkeit sei nicht gewahrt, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien.
Des Weiteren stehe den Betroffenen mit dem Verfahren vor dem Ombudsmann kein effektiver Rechtsschutz zur Seite. Den betroffenen Personen stünden keine Garantien zur Verfügung, die den nach Art. 47 der Charta der Grundrechte der Europäischen Union erforderlichen Garantien der Sache nach gleichwertig sind.
Die Gültigkeit des Beschlusses der Europäischen Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter im Nicht-EU-Ausland hat der EuGH hingegen bestätigt. Der Beschluss enthalte wirksame Mechanismen, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird.
Die Beteiligten müssen nach Auffassung des EuGH allerdings vorab prüfen, ob die Standardvertragsklauseln und damit das erforderliche Schutzniveau im betreffenden Drittland eingehalten werden können.
Folgen für die M&A-Praxis
Datentransfers in die USA, die bisher auf Privacy Shield gestützt wurden, müssen eingestellt oder auf eine andere Rechtsgrundlage gestützt werden (z.B. Standardvertragsklauseln). Ohne entsprechende Maßnahmen sind Datenübermittlungen in die USA ab sofort rechtswidrig und können mit einem Bußgeld geahndet werden.
Die Beteiligten müssen kritisch prüfen, ob die in den Standardvertragsklauseln enthaltenen Verpflichtungen eingehalten werden können, damit bei Pflichtverletzungen keine Schadensersatzansprüche der betroffenen Person oder Bußgelder drohen.
Auf Verkäuferseite ist bei Abschluss der Vertraulichkeitsvereinbarung (NDA) darauf zu achten, ob Kaufinteressenten aus dem Nicht-EU-Ausland kommen. Sollte es keinen Angemessenheitsbeschluss der Europäischen Kommission geben, müssen Standardvertragsklauseln abgeschlossen werden. Es ist mit den Kaufinteressenten zu besprechen, ob sie die Garantien und Pflichten in den Standardvertragsklauseln einhalten können. Ggf. ist hierzu auch Rücksprache mit dem Datenraumanbieter zu halten.
Auf Käuferseite muss bei der Due Diligence geprüft werden, ob die Zielgesellschaft ggf. personenbezogene Daten ins Nicht-EU-Ausland transferiert, und, ob dies auf der Grundlage von Privacy Shield oder Standardvertragsklauseln erfolgt. Je nach Ergebnis sind entsprechende Garantien oder Freistellungen in den Unternehmenskaufvertrag (SPA) entsprechend der Ausführungen des EuGH aufzunehmen.