16.07.20
EuGH kippt „Privacy Shield“.
In dem Verfahren standen die Kommissionsentscheidungen betreffend die EU-Standardvertragsklauseln sowie der EU-US Privacy Shield auf dem Prüfstand.
Der EuGH hält die Kommissionsentscheidungen zu den EU-Standardvertragsklauseln für gültig, da sie den EU-Datenexporteur verpflichten, Datenübermittlungen zu stoppen, wenn der Empfänger die Klauseln nicht einhalten und den Schutz der Daten in den USA damit nicht gewährleisten kann. Tut der Exporteur dies nicht, müssen die Datenschutzaufsichtsbehörden die Transfers aussetzen oder verbieten. Aus der Entscheidung lässt sich schließen, dass der Datenexporteur bzw. Aufsichtsbehörden dieser Pflicht auch nachkommen und auf Standardvertragsklauseln gestützte Datentransfers stoppen müssen, wenn Zugriffsmöglichkeiten durch US-Behörden die vertragliche Schutzgarantie des Empfängers untergraben.
Den Privacy Shield-Beschluss hat der EuGH dagegen für ungültig erklärt. Der Schutz, den der Privacy Shield böte, sei dem in der EU durch die DSGVO im Lichte der Grundrechtecharta garantierten Schutzniveau der Sache nach nicht gleichwertig. Bei der Beurteilung, ob das Schutzniveau der Sache nach gleichwertig ist, seien neben den vertraglichen Regelungen zwischen dem Datenexporteur und dem Datenempfänger auch die maßgeblichen Aspekte der Rechtsordnung des Drittlandes hinsichtlich eines möglichen behördlichen Zugriffs auf die Daten zu berücksichtigen. EU-Bürgern stünden in den USA jedoch keine Rechte gegenüber US-Behörden und keine wirksamen Rechtsbehelfe zu, um die Überwachung durch die US-Behörden überprüfen zu lassen. Der Ombudsmann-Rechtsbehelf reiche dafür nicht aus.
cep-Bewertung:
Für Datenübermittlungen, die auf den Privacy Shield gestützt wurden, ist durch das Urteil des EuGH erneut die Rechtsgrundlage weggefallen. Solche Datentransfers sind ab sofort rechtswidrig, wenn sie nicht auf eine andere Rechtsgrundlage gestützt werden können.
Das Urteil hat aber auch Auswirkungen auf alle Datenübermittlungen aus der EU auf der Basis von EU-Standardvertragsklauseln an Empfänger, die den US-Überwachungsprogrammen unterliegen. Dies betrifft nicht alle US-Unternehmen, aber den großen Bereich der elektronischen Kommunikationsdienste. Auch Transfers an solche Unternehmen müssen nun gestoppt werden, bis die USA ihre Überwachung auf das „zwingend erforderliche Maß“ beschränken und Europäern einen wirksamen Rechtsbehelf gegen übermäßige Überwachung ermöglichen. Denn Datenexporteure und hilfsweise die Aufsichtsbehörden dürften zu dem Ergebnis kommen, dass die Empfänger den in den Klauseln versprochenen Schutz wegen der Zugriffsmöglichkeit der US-Behörden nicht einhalten können.
Solange der erforderliche Schutz nicht anders gewährleistet werden kann, dürfen Unternehmen die Datenverarbeitung somit nicht mehr ohne weiteres in die USA auslagern, sondern müssen personenbezogene Daten in der EU speichern bzw. entsprechende Provider nutzen.
Das Urteil bezieht sich formell nur auf den Datentransfer an bestimmte Behörden in den USA, hat aber Bedeutung darüber hinaus. Entsprechende Überwachungspflichten, die mit den Schutzpflichten der Standardvertragsklauseln kollidieren, könnten auch in anderen Ländern bestehen.
Notwendige Datentransfers, etwa zur Buchung eines Hotels, werden von der Entscheidung des EuGH nicht berührt.
Hintergrund:
Der Transfer personenbezogener Daten in ein Drittland außerhalb der EU für wirtschaftliche Zwecke ist - sofern keine Einwilligung oder ein sonstiger Ausnahmefall vorliegt - nur dann zulässig, wenn die übermittelten Daten im Drittland im Wesentlichen ebenso gut geschützt sind wie in der EU. Die Kommission kann in sogenannten Angemessenheitsbeschlüssen feststellen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. Mit der Safe-Harbor-Entscheidung und der Privacy-Shield-Beschluss hatte die Kommission für die USA solche Angemessenheitsbeschlüsse gefasst. Daten durften damit unter den Voraussetzungen dieser Entscheidungen in die USA übermittelt werden. Alternativ können Datenexporteure selbst Garantien dafür liefern, dass Privatsphäre, Grundrechte und Grundfreiheiten von EU-Dateninhaber aus der EU hinreichend geschützt werden, indem sie Datenempfänger im Drittland vertraglich entsprechend hierzu verpflichten. Hierfür können sie u.a. sogenannte EU-Standardvertragsklauseln - harmonisierte und von der Kommission beschlossene Musterverträge - nutzen.
Der Österreicher Maximilian Schrems legte Beschwerde beim irischen Datenschutzbeauftragten ein und forderte diesen auf, die Übermittlung seiner personenbezogenen Daten durch die Facebook Ireland Ltd. an die Facebook Inc. in den USA zu verbieten. Da die US-Gesellschaft der Massenüberwachung durch US-Behörden unterliege, seien seine Daten nicht hinreichend geschützt. Facebook und die irische Datenschutzbeauftragte waren hingegen der Meinung, dass die "Safe-Harbour-Entscheidung" den Transfer erlaube. Der Rechtsstreit kam schließlich vor den Europäischen Gerichtshof, der die Safe-Harbour-Entscheidung im Oktober 2015 für ungültig erklärte (Urteil Schrems I). Als Ersatz für die ungültige Safe-Harbor-Entscheidung erließ die Kommission den Privacy-Shield-Beschluss EU 2016/1250. US-Unternehmen, die sich im Wege der Selbstzertifizierung freiwillig an die Grundsätze des "Privacy Shield" banden, durften seither personenbezogene Daten von EU-Bürgern zu kommerziellen Zwecken empfangen, speichern und verarbeiten. Denn die Kommission attestierte mit ihrem Beschluss in rechtlicher Hinsicht, dass diese Daten dann im Wesentlichen in den USA gleichwertig wie in der EU geschützt sind.
Facebook stützte seine Datentransfers in die USA von nun an auf die EU-Standardvertragsklauseln und den Privacy Shield-Beschluss. Schrems änderte seine Beschwerde entsprechend ab, und weil die irische Datenschutzbeauftragte ein Einschreiten weiterhin ablehnte, legte der Irische High Court die Sache erneut dem EuGH zur Vorabentscheidung vor (vgl. cepAktuell vom 17.04.2019 und vom 10.07.2019) Generalanwalt Saugmandsgaard Øe war ebenfalls von der Gültigkeit der Standardvertragsklauseln ausgegangen, eine Entscheidung über den Privacy Shield, an dessen Rechtmäßigkeit Zweifel bestünden, vorliegend aber nicht für entscheidungserheblich gehalten (vgl.cepAktuell vom 19.12.2019).
|