Und noch ein richtungsweisendes Urteil für die Online-Branche: Gestern verkündete der Europäische Gerichtshof sein mit Spannung erwartetes Urteil in Sachen „SRB“, das erstmals seit Jahren wieder Aussagen zu der Frage enthält, wann Daten personenbezogen sind – und wann sie als anonyme Daten gelten. Diese Abgrenzung ist insbesondere bei pseudonymisierten Daten nicht einfach und hat gleichzeitig ganz wesentliche Auswirkungen auf die DSGVO-Compliance von Unternehmen. Die bereits im „Breyer“-Urteil des EuGH aus dem Jahr 2016 angelegte Differenzierung des so genannten relativen Personenbezugs wurde dabei bestätigt: Es kommt also darauf an, ob das jeweilige Unternehmen, das die Daten verarbeitet, für sich genommen einen Personenbezug herstellen kann.

Schon seit einiger Zeit bringen sich vor diesem Hintergrund Anbieter von so genannten Data Clean Rooms ins Gespräch – mit dem Argument, dass die pseudonymisierten Daten zumindest aus ihrer Sicht tatsächlich anonym sind. Das führt aber zu der Frage, ob die DSGVO dann überhaupt noch anwendbar ist. Auch für andere Unternehmen aus der AdTech-Branche stellt sich jetzt also die Frage, ob sie für sich in Anspruch nehmen können, gar nicht an die DSGVO gebunden zu sein, weil sie bei den von ihnen verarbeiteten Daten keinen Personenbezug herstellen können. Gleichzeitig fordern ihre Kunden, die DSGVO-Compliance bei der Datenverarbeitung zu gewährleisten.

Das Gericht der Europäischen Union (EuG) hat im so genannten Latombe-Verfahren die 2022/2023 zwischen den EU und den USA getroffene Datenschutz-Rahmenvereinbarung TADPF in erster Instanz aufrecht erhalten. Der Kläger, ein französischer EU-Abgeordneter, wird sicherlich Berufung zum Europäischen Gerichtshof (EuGH) einlegen, weshalb die Zulässigkeit der Übertragung personenbezogener Daten von EU-Bürgern in die USA nach der DSGVO erst in einiger Zeit abschließend geklärt sein wird.

Die heutige Entscheidung stellt einen Richtungswechsel nach den so genannten „Schrems“-Urteilen von 2015 und 2020 an, wonach die beiden Vorgänger-Regelungen „Safe Harbour“ und „PrivacyShield“ für nichtig erklärt wurden, weil das US-Recht keinen ausreichenden Schutz für die personenbezogenen Daten von EU-Bürgern bot. Nachdem die Biden-Regierung nun mit dem TADPF einen dritten (!) Anlauf unternommen hatte, in den USA ein der DSGVO angemessenes Schutzniveau zu schaffen (insbesondere durch Schaffung eines durch Gerichte überprüfbaren Rahmens für die Zugriffsrechte der Sicherheitsbehörden), war dieses unter Trump zuletzt wieder unterminiert worden. Das heutige Urteil war deshalb mit Spannung erwartet worden.

Bis zur finalen Entscheidung durch den EuGH bleibt das TADPF-Abkommen weiterhin voll anwendbar. Unternehmen sollten dennoch weiterhin nach Wegen suchen, die Daten ihrer europäischen Nutzer besser innerhalb des EWR zu verarbeiten, weil die europäischen Datenschutzbehörden trotz des bestehenden rechtlichen Rahmens bei der Prüfung von Datentransfers in die USA einen äußerst strengen Maßstab anlegen. Manche der großen Online-Plattformen, vom Hosting über Marketing bis hin zu KI-Diensten, bieten dazu so genannte ‚EU Residency‘-Lösungen an. Aus den Prüfungen dieser Angebote für unsere Mandanten wissen wir jedoch, dass nicht alle den Vorgaben der DSGVO entsprechen, deshalb ist hier Vorsicht geboten.

Unangetastet bleiben schließlich die übrigen DSGVO-Angemessenheitsbeschlüsse für ausgewählte Länder mit einem hohen Datenschutzniveau wie das Vereinigte Königreich, Israel, Korea, Japan und Neuseeland.