Der Europäische Gerichtshof (EuGH, Rechtssache C-311/18)) hat das Abkommen zwischen der EU und den USA über den sogenannten Privacy Shield für unwirksam erklärt. Dieses Abkommen regelt die Voraussetzungen, damit der Transfer personenbezogener Daten von EU-Bürgern und Ansässigen in die USA den Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) genügt. Dafür müssen sich US-Unternehmen als Empfänger der geschützten Daten entsprechend zertifizieren lassen.Als Folge der EuGH-Entscheidung fehlt der Übertragung personenbezogener Daten in die USA die wesentliche Rechtsgrundlage. Der EuGH begründet seine Ansicht mit den im Privacy Shield enthaltenen unzureichenden Schutzmaßnahmen und Rechtsschutzmöglichkeiten. Das ergebe sich insbesondere aus den nach US-Recht zulässigen im Ausland durchgeführten elektronischen Überwachungsmaßnahmen gegenüber Ausländern. Der Entscheidung zugrunde lag eine Beschwerde des Datenschutzaktivisten Max Schrems, der bei der Datenschutzbehörde in Irland Beschwerde gegen die Übertragung seiner persönlichen Daten durch Facebook Irland an die US-Mutter eingelegt hatte.Es gibt noch eine weitere juristische Basis für den Datentransfer in die USA, nämlich die sogenannten Standardvertragsklauseln. Diese Musterklauseln werden von der Kommission als angemessen für Vereinbarungen im Zusammenhang mit dem Export von Daten angesehen. Die Standardvertragsklauseln werden insbesondere mit Datenimporteuren vereinbart, die in solchen Drittstaaten ansässig sind, welche keinen dem EU-Recht entsprechenden Datenschutz vorsehen. Als sogenannte sichere Drittstaaten, deren Datenschutz also dem EU-Maßstab ohne weitere Maßnahmen genügt, werden derzeit nur 12 Länder angesehen. Die USA waren auch bisher kein sicherer Drittstaat. Safe Harbour und ab 2016 Privacy Shield waren nur Regierungsabkommen, um den Datenschutz in den USA im Verhältnis zwischen Parteien dieses Abkommens dem Status eines sicheren Drittstaats anzugleichen. Ergänzende MaßnahmenDer EuGH äußert sich in der neuen Entscheidung auch zu den Standardvertragsklauseln. Diese waren in die Vereinbarung zwischen Facebook und Max Schrems einbezogen. Sie wirken allerdings nur im Verhältnis zwischen den Vertragsparteien, binden also nicht die betroffenen Behörden. Sie erhalten unter anderem detaillierte Regelungen über Auskünfte, die der Datenimporteur dem Exporteur geben muss, sowie zur Haftung der Parteien. Dem Grundsatz nach müssen die Parteien den Umfang des Datenschutzes im Importstaat prüfen. Aber auch die Aufsichtsbehörden können einschreiten und gegebenenfalls den Datentransfer verbieten.Je nach Ausgestaltung des Datenschutzes im Empfängerland müssen nach Ansicht des EuGH ergänzende Maßnahmen getroffen werden, um den Datenschutz im Importstaat an die EU-Maßstäbe anzupassen. Das Gericht trifft leider keine Aussage dazu, was konkret in Bezug auf die USA zu veranlassen ist. Der EuGH hat in seinem jüngsten Urteil vor allem Überwachungsmaßnahmen der US-Behörden gegenüber Ausländern als problematisch angesehen. Man kann zwar die Standardvertragsklauseln in der Vereinbarung zwischen den Parteien um zusätzliche Auskunftspflichten im Fall von Kontrollmaßnahmen staatlicher Behörden ergänzen, soweit der Importeur der Daten hiervon Kenntnis erlangt.An solche Fälle kann man dann auch die Beendigung oder Kündigung des Datentransfers knüpfen. Aber an der grundsätzlichen Problematik ändert sich dadurch wenig. Diese besteht darin, dass aus EU-Sicht unberechtigte Eingriffe in den Datenschutz zum Beispiel durch Überwachungsmaßnahmen erfolgen können. Diese lassen sich meistens nicht vorhersehenDauerhafte Abhilfe kann nur ein neues Abkommen zwischen der EU und den USA schaffen, das den Vorbehalten des EuGH Rechnung trägt. In Kürze beabsichtigt die Kommission aber auch, eine Überarbeitung der Standardklauseln vorzulegen. Hieraus dürften sich für die Parteien deutlichere Leitlinien für die vom EuGH als kritisch bewerteten Aspekte ergeben. Für grenzüberschreitende Datentransfers, die innerhalb von Unternehmensgruppen erfolgen, kommen als Legitimationsgrundlage verbindliche Unternehmensregeln (Binding Corporate Rules) in Betracht. Diese müssen vorab von der zuständigen Datenschutzbehörde genehmigt werden. Dann sind sie Grundlage für einen rechtmäßigen Datentransfer in ein nicht sicheres Drittland. Das EuGH-Urteil stellt die Gültigkeit solcher Regeln nicht in Frage.Es wird dringend empfohlen, dass als Folge dieses Urteils des EuGH Unternehmen sämtliche Transfers personenbezogener Daten in nicht dem EWR angehörende und nicht sichere Drittstaaten zentral erfassen und überprüfen. Die vom EuGH zur Gültigkeit von Standardvertragsklauseln geäußerten Beschränkungen dürften über den konkreten Bezug zu Datentransfers in die USA hinaus Bedeutung haben. Nach dem EuGH-Urteil sind die Parteien einer grenzüberschreitenden Datenübertragungsvereinbarung (also sowohl Exporteur als auch Importeur) verpflichtet zu prüfen, ob die in den Standardvertragsklauseln geregelten Verpflichtungen und Garantien im konkreten Fall ausreichen, den Datenschutz nach dem Recht des Empfängers der Daten den EU-Standards anzugleichen.In Betracht kommt auch die verschlüsselte Übermittlung von Daten. Diese Form des Transfers ist aber nicht so zuverlässig, wie man zunächst annehmen mag. Auf den Entschlüsselungscode können die Überwachungsorgane zugreifen.Diese Überprüfung der konkreten Auswirkungen des Datenschutzrechts des Empfängerlandes sollten die folgenden Fragen klären:1) In welche relevanten Länder übermittelt das Unternehmen personenbezogene Daten, also in Staaten außerhalb des EWR, die keine sicheren Drittländer sind?2) Aus welchen Gründen können sich die Behörden nach den Gesetzen des datenimportierenden Landes Zugang zu relevanten persönlichen Daten verschaffen? Falls die Behörden formell berechtigt sind, die personenbezogenen Daten aus anderen Gründen als dem Schutz der öffentlichen Sicherheit und der Verhinderung und Verfolgung von Straftaten zu überprüfen, müssen die Parteien zusätzliche Schutzmaßnahmen festlegen, um ein Datenschutzniveau zu erhalten, das mit dem des EU-Standards vergleichbar ist.In diesem Zusammenhang verweist der EuGH auf § 702 FISA (Bundesgesetz zur Überwachung von Nachrichtendiensten, 2008 in Kraft getreten) als eine Bestimmung, die Anlass gibt, das Datenschutzniveau in den USA als unter den EU-Standards liegend zu beurteilen. Sec. 702 erlaubt der US-Bundesregierung die gezielte Überwachung von ausländischen Personen außerhalb der USA. Dabei kann die Unterstützung von Anbietern elektronischer Kommunikationsdienste erzwungen werden, um ausländische nachrichtendienstliche Informationen zu erlangen. Die vorstehende Rechtsgrundlage verstärkt sich noch durch die auf die gleiche Thematik gerichtete Executive Order 1233 aus dem Jahr 1981, die noch eine Vorgängerregelung zu Sec. 702 betraf.Für den Datentransfer mit den USA herrscht also nach der EuGH-Entscheidung bis zum Abschluss eines neuen Abkommens, das den Privacy Shield ersetzt, erhöhte Unsicherheit. Es sollen aber bereits entsprechende Abstimmungen zwischen der EU und den US-amerikanischen Stellen erfolgen. Hermann Knott, Partner der Andersen Rechtsanwaltsgesellschaft/Steuerberatungsgesellschaft