EuGH erklärt Privacy Shield für unwirksam – wie geht es weiter?

Veröffentlicht am 6. August 2020 von Dr. Maximilian Greger | Datenschutz E-Commerce Onlinerecht | 0 Kommentare
Spread the love

eugh privacy shieldDer EuGH hat mit seinem „Schrems II“-Urteil vom 16.7.2020 (Az.: C-311/18) ein wichtiges Datenschutzabkommen zwischen der EU und den USA für unwirksam erklärt: das „Privacy Shield“-Abkommen. Das Urteil hat schwerwiegende Konsequenzen für die transnationale Datenverarbeitung.

1. Was ist Privacy Shield?

Privacy Shield ist ein informelles Abkommen zwischen der EU und den USA zum Datenschutz. Es regelt den Fall, dass personenbezogene Daten aus einem Mitgliedsstaat der EU in die USA übertragen werden. Nach der DSGVO dürfen personenbezogene Daten allerdings nur dann in ein Drittland – z. B. die USA – übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt ist (Art. 44 DSGVO). Der Datenschutz in den USA gilt nicht als angemessen.

Allerdings kann die Konformität durch einen Angemessenheitsbeschluss der Europäischen Kommission gem. Art. 45 DSGVO hergestellt werden, wenn festgestellt worden ist, dass das Schutzniveau ausreichend ist. Ein solcher Beschluss ist Privacy Shield, welches einen Datentransfer an zertifizierte Unternehmen in den USA im Einklang mit der DSGVO ermöglicht.

Kernpunkte des Privacy Shield sind u. a. Beschränkungen, Garantien und Aufsichtsmechanismen für den Zugriff auf personenbezogene Daten von EU-Bürgern durch US-Behörden aus Gründen der nationalen Sicherheit sowie direkte Ansprüche von EU-Bürgern gegen US-Unternehmen. Privacy Shield diente also dazu, den Datentransfer aus der EU in die USA zu legalisieren.  Zahlreiche internationale Konzerne – so auch Facebook – stützten sich in der Folge unter anderem auf den Privacy Shield, soweit es um Datentransfers in die USA ging.

Schon zuvor gab es ein vergleichbares Abkommen, „Safe Harbor“, das zwischen 2000 und 2015 galt. Dieses Abkommen hatte der EuGH schon 2015 auf die Klage des Österreichers Max Schrems hin („Schrems-I-Urteil“) für ungültig erklärt.

2. Was sind die „Standardvertragsklauseln“?

Neben dem eben erwähnten Angemessenheitsbeschluss (Art. 45 DSGVO) sieht die DSGVO noch eine weitere Möglichkeit vor, wie ein Datentransfer aus der EU in einen Drittstaat legal sein kann: Art. 46 DSGVO erlaubt einen Transfer auch dann, wenn „der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.“ Das ist insbesondere dann der Fall, wenn die Datenübermittlung auf Basis von sog. „Standardvertragsklauseln“ erfolgt, die durch die EU-Komission herausgegeben wurden.

Solche Standardvertragsklauseln (auch Standard Contractual Clauses, „SCC“ genannt) existieren neben Privacy Shield auf Grundlage des Beschlusses (EU) 2010/87 der EU-Kommission.

3. Was hat der EuGH nun entschieden?

Der EuGH hat, wie schon eingangs erwähnt, das Privacy Shield-Abkommen für ungültig erklärt.

Das Urteil geht auf eine Beschwerde des Österreichers Max Schrems zurück, der bereits aus anderen spektakulären Verfahren (insbesondere das „Schrems-I“-Urteil zu Safe Harbor) in das Interesse der Medien gerückt ist. Schrems beschwerte sich bei der irischen Datenschutzbehörde mit dem Anliegen, dass Facebook personenbezogene Daten aus Irland in die USA übertrage, ihn dies jedoch in seinen Rechten verletze, weil seine Daten nach US-Recht nicht ausreichend geschützt seien. Die irische Behörde rief den EuGH an, um diese Frage zu klären.

Der EuGH ist Schrems‘ Argumenten gefolgt. Vor wenigen Tagen haben die obersten EU-Richter entschieden, dass in den USA gerade kein angemessenes Schutzniveau im Sinne von Art. 45 Abs. 1 DSGVO besteht. Die Entscheidung der EU-Kommission zu Privacy Shield, wonach ein Datentransfer aus der EU in die USA den Vorgaben der DSGVO entspricht, ist also nichtig. Insbesondere existieren in den USA Programme wie PRISM und UPSTREAM. Diese erlauben US-amerikanischen Sicherheitsbehörden eine umfassende und anlasslose Massenüberwachung. U. a. können staatliche Behörden den Internetverkehr umfassend mitlesen und Geheimdiensten zugänglich machen. Weil diese Maßnahmen der gerichtlichen Kontrolle weitestgehend entzogen sind, haben Betroffene kaum Rechtsschutzmöglichkeiten gegen das Auslesen oder die Verarbeitung ihrer Daten in den USA.

Zwar stellte der EuGH auch klar, dass nach wie vor die Standardvertragsklauseln als Grundlage für einen Datentransfer in die USA dienen könnten. Diese befand er ausdrücklich nicht für unwirksam. Er gab jedoch zu bedenken, dass diese Klauseln drittstaatliche Behörden nicht binden können, also keinesfalls Behörden in den USA. Daher obliege es dem in der EU ansässigen Verantwortlichen für die Datenverarbeitung, in jedem Einzelfall zu prüfen, ob das Recht des Bestimmungsdrittlands (insbes. USA) nach Maßgabe des Unionsrechts einen angemessenen Schutz der Daten gewährleistet.

4. Die Folgen des EuGH-Urteils für Unternehmen?

Tausende von Unternehmen, die regelmäßig Daten in die USA transferieren, sind von dem Urteil betroffen.

Sie können zwar künftig noch auf der Grundlage von Standardvertragsklauseln Daten in die USA transferieren, müssen aber eine eigene Rechtsprüfung durchführen und sicherstellen, dass das Schutzniveau im Empfängerland für die übermittelten Daten im Wesentlichen den gleichen Standard bietet, wie er nach der DSGVO in der EU gilt. Insbesondere müssen dem Betroffenen auch im Drittland durchsetzbare Rechte und wirksame Rechtsbehelfe zustehen, was beispielsweise in den USA aktuell nicht der Fall ist. Der Schutz der Daten der Betroffenen gegen den Zugriff staatlicher Stellen muss abgesichert sein.

Als Rechtsgrundlage käm zudem eine ausdrückliche Einwilligung in den Datentransfer in die USA im Bewusstsein der damit verbundenen Risiken in Betracht. An eine solche Einwilligung stellt die DSGVO aber strenge Anforderungen.

Eine weitere ausnahmsweise Erlaubnis zu einem solchen Datentransfer greift, wenn die Übermittlung für die Anbahnung oder Durchführung eines Vertrags mit der betroffenen Person zwingend nötig ist. Letztgenannte Ausnahme ist aber ebenfalls streng zu beurteilen. Übermittelt werden dürfen nur solche Daten, die für die Erfüllung von Verträgen bzw. für deren Begründung notwendig sind. Ein „Aufladen“ von Verträgen mit vielerlei Datenverarbeitung ist nicht möglich.

5. Was bedeutet das Urteil für die EU-Bürger?

Die Grundrechte der EU-Bürger werden im Hinblick auf ihre personenbezogenen Daten erheblich gestärkt. Ein Datenaustausch mit den USA ist nunmehr nur noch unter strengen Voraussetzungen möglich. Sofern wieder ein Abkommen zwischen der EU und den USA geschlossen wird, würde dieses die Betroffenenrechte mutmaßlich weitaus ernster nehmen als Privacy Shield.

Meines Erachtens sind all die Unternehmen, die bislang Daten in die USA transferiert haben (sei es nur durch die Verwendung von Diensten wie Google Analytics etc.), dazu verpflichtet, nach Alternativen zu suchen, die einen Datentransfer ausschließlich innerhalb der EU erfordern. Denn die Einzelfallprüfung eines angemessenen Schutzniveaus in den USA oder anderen Drittstaaten dürfte nicht ohne Weiteres zu bewerkstelligen sein, es sei denn, es handelt sich um international tätige Großkonzerne. Zahlreiche Unternehmen beginnen daher bereits jetzt, Daten aus den USA abzuziehen und nach Deutschland zu verlagern.

Der Europäische Datenschutzausschuss (EDSA) hat übrigens mit seinen veröffentlichten FAQ angekündigt, keine Gnadenfrist zu gewähren. Die Unwirksamkeit des Privacy Shield muss alle Unternehmen zu sofortigem Tätigwerden veranlassen. Insbesondere müssen Datentransfers in die USA augenblicklich gestoppt und sich in den USA befindliche Daten in die EU überführt werden, sofern eine Zulässigkeit nicht in jedem Einzelfall gewährleistet werden kann.

6. Fazit

  • Der EuGH hat Privacy Shild als Rechtsgrundlage für den Datentransfer zwischen der EU und den USA für unwirksam erklärt. Zahlreiche Unternehmen sind betroffen und müssen ihre Datentransfers augenblicklich stoppen bzw. auf eine andere Rechtsgrundlage stellen
  • Bei Datentransfers in Drittländer – insbesondere in die USA – können zwar noch Standardvertragsklauseln (SCC) als Rechtsgrundlage dienen. Es genügt aber nicht, diese bloß zu unterschreiben. Der Datenexporteur (also der Verantwortliche) in der EU muss eine Einzelfallbewertung des Schutzniveaus im Empfängerland für die explizit transferierten Daten durchführen. Ein generell ausreichendes Schutzniveau im Empfängerstaat genügt auch nicht; vielmehr muss sich das Schutzniveau auch auf die übermittelten Daten als ausreichend erweisen.
  • Ganz ausnahmsweise könnte noch eine explizite Einwilligung in den Datentransfer oder dessen zwingendes Erfordernis für die Begründung oder Erfüllung eines Vertrags zwischen dem Betroffenen und dem Datenexporteur dienen

Titelfoto: Benedikt Geyer auf Pixabay


Schreiben Sie den ersten Kommentar zu "EuGH erklärt Privacy Shield für unwirksam – wie geht es weiter?"