Das Wichtigste in Kürze
- Der EU-US Privacy Shield ist durch das EuGH-Urteil Schrems II ungültig.
- Standardvertragsklauseln (SCCs) bleiben gültig, erfordern aber eine sorgfältige Prüfung und ggf. zusätzliche Schutzmaßnahmen.
- Unternehmen müssen ihre Datentransfers in Drittländer, insbesondere die USA, umgehend auf Konformität mit der DSGVO überprüfen.
- Die Ungültigkeit des Privacy Shield basiert auf unzureichendem Schutz vor US-Überwachung und fehlenden Rechtsschutzmöglichkeiten für EU-Bürger.
- Aufsichtsbehörden sind verpflichtet, Datentransfers zu untersagen, wenn das Schutzniveau im Drittland nicht dem der EU entspricht.
EuGH-Urteil Schrems II: Ungültigkeit des Privacy Shield und Folgen für den Datentransfer in Drittländer
Die Datenschutz-Grundverordnung (DSGVO) regelt die Übermittlung personenbezogener Daten in sogenannte Drittländer. Grundsätzlich ist eine solche Übermittlung nur erlaubt, wenn das betreffende Land ein angemessenes Schutzniveau für die Daten gewährleisten kann. Die Europäische Kommission kann durch einen Angemessenheitsbeschluss feststellen, ob dieses Niveau aufgrund innerstaatlicher Rechtsvorschriften oder internationaler Verpflichtungen gegeben ist.
Liegt kein solcher Angemessenheitsbeschluss vor, sind alternative Schutzmechanismen erforderlich. Die Übermittlung darf dann nur erfolgen, wenn der Datenexporteur in der Union geeignete Garantien vorsieht. Hierzu zählen beispielsweise die von der Kommission entwickelten Standarddatenschutzklauseln.
Zusätzlich müssen die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen. Die DSGVO legt ferner detailliert fest, unter welchen weiteren Voraussetzungen eine Datenübermittlung ohne Angemessenheitsbeschluss oder geeignete Garantien zulässig ist.
Zum Sachverhalt – Der Fall Max Schrems und Facebook
Max Schrems, ein österreichischer Staatsbürger mit Wohnsitz in Österreich, ist seit 2008 Nutzer der Plattform Facebook. Seine personenbezogenen Daten werden, wie bei allen Nutzern im EU-Gebiet, von Facebook Ireland ganz oder teilweise an Server der Facebook Inc. in den Vereinigten Staaten übermittelt und dort verarbeitet.
Herr Schrems reichte bei der irischen Aufsichtsbehörde eine Beschwerde ein, um diese Übermittlungen verbieten zu lassen. Er argumentierte, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz vor dem staatlichen Zugriff auf die übermittelten Daten böten. Seine Beschwerde wurde zunächst abgewiesen.
Die Begründung der Behörde war, dass die Kommission in ihrer Entscheidung 2000/5205, der sogenannten „Safe-Harbour-Entscheidung“, ein angemessenes Schutzniveau der Vereinigten Staaten festgestellt hatte. Auf ein Vorabentscheidungsersuchen des irischen High Court hin erklärte der Gerichtshof diese Entscheidung jedoch mit Urteil vom 6. Oktober 2015 für ungültig (siehe auch unsere Informationen zu EuGH-Urteilen im Datenschutzrecht).
Nach diesem Urteil, bekannt als „Schrems I“, hob der irische High Court die ursprüngliche Ablehnung von Schrems' Beschwerde auf. Die irische Aufsichtsbehörde forderte Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung neu zu formulieren. In seiner umformulierten Beschwerde machte Herr Schrems erneut geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz für die dorthin übermittelten Daten gewährleisten.
Er beantragte, die Datenübermittlung seiner personenbezogenen Daten von Facebook Ireland in die Vereinigten Staaten, die nun auf Basis der Standarddatenschutzklauseln des Beschlusses 2010/877 erfolgte, künftig auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge. Daher strengte sie ein Verfahren vor dem High Court an, um den Gerichtshof mit einem Vorabentscheidungsersuchen zu befassen.
Während dieses Verfahrens erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes. Der irische High Court fragte den Gerichtshof daraufhin nach der Anwendbarkeit der DSGVO auf Datenübermittlungen mittels Standarddatenschutzklauseln. Zudem wurde das erforderliche Schutzniveau und die Pflichten der Aufsichtsbehörden in diesem Kontext thematisiert.
Des Weiteren stellte der High Court die Frage nach der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250.
Die Entscheidung des EuGH: Ungültigkeit des Privacy Shield und Gültigkeit der Standardvertragsklauseln
Mit seinem Urteil stellte der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union dessen Gültigkeit nicht berührt. Hingegen erklärte er den Privacy Shield-Beschluss 2016/1250 für ungültig. Der Gerichtshof führte aus, dass das Unionsrecht, insbesondere die DSGVO, auf Datenübermittlungen zu gewerblichen Zwecken durch Wirtschaftsteilnehmer in einem Mitgliedstaat an Empfänger in einem Drittland anwendbar ist.
Dies gilt auch dann, wenn die Daten bei oder nach ihrer Übermittlung von den Behörden des Drittlands für Zwecke der öffentlichen Sicherheit, Landesverteidigung und Staatssicherheit verarbeitet werden können. Eine solche Datenverarbeitung durch Drittlandbehörden nimmt die Übermittlung nicht vom Anwendungsbereich der DSGVO aus. Bezüglich des erforderlichen Schutzniveaus entschied der Gerichtshof, dass die Anforderungen der DSGVO an geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe so auszulegen sind, dass das Schutzniveau im Drittland dem in der Union durch die DSGVO und die Charta garantierten Niveau der Sache nach gleichwertig sein muss.
Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zwischen dem Datenexporteur in der Union und dem Datenempfänger im Drittland zu berücksichtigen. Auch maßgebliche Aspekte der Rechtsordnung des Drittlands sind relevant, insbesondere im Hinblick auf einen etwaigen Zugriff von Behörden auf die übermittelten Daten.
Pflichten der Aufsichtsbehörden
- Es liegt kein gültiger Angemessenheitsbeschluss der Kommission vor.
- Die Aufsichtsbehörden sind der Auffassung, dass die Standarddatenschutzklauseln im Drittland nicht eingehalten werden oder werden können.
- Der nach Unionsrecht erforderliche Schutz der übermittelten Daten kann nicht auf andere Weise gewährleistet werden.
- (Ausnahme: Der Datenexporteur hat die Übermittlung bereits selbst ausgesetzt oder beendet.)
Der nach Unionsrecht erforderliche Schutz der übermittelten Daten darf nicht auf andere Weise gewährleistet werden können. Eine Ausnahme besteht, wenn der in der Union ansässige Datenexporteur die Übermittlung bereits selbst ausgesetzt oder beendet hat (mehr zu Bußgeldern bei DSGVO-Verstößen finden Sie hier).
Gültigkeit der Standardvertragsklauseln
Anschließend prüfte der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln. Er sah sie nicht allein dadurch in Frage gestellt, dass die Klauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands nicht binden. Vielmehr hängt ihre Gültigkeit davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis das vom Unionsrecht verlangte Schutzniveau gewährleisten können.
Zudem muss die Aussetzung oder das Verbot von Datenübermittlungen auf solchen Klauseln möglich sein, falls gegen sie verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellte fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Er hob insbesondere hervor, dass Datenexporteur und Empfänger vorab prüfen müssen, ob das erforderliche Schutzniveau im Drittland eingehalten wird.
Der Empfänger muss dem Datenexporteur gegebenenfalls mitteilen, dass er die Standarddatenschutzklauseln nicht einhalten kann. In diesem Fall muss der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten.
Ungültigkeit des Privacy Shield
- Die auf US-Rechtsvorschriften gestützten Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt.
- Die Vorschriften hinsichtlich bestimmter Überwachungsprogramme lassen keinerlei Einschränkungen erkennen.
- Es fehlten Garantien für potenziell von diesen Programmen erfasste Personen, die keine US-Staatsbürger sind.
- Die Vorschriften verleihen den betroffenen Personen keine gerichtlich durchsetzbaren Rechte gegenüber den US-Behörden.
Dies ermöglicht Eingriffe in die Grundrechte von Personen, deren Daten in die Vereinigten Staaten übermittelt werden. Er kam zu dem Ergebnis, dass die im Privacy Shield-Beschluss bewerteten Einschränkungen des Schutzes personenbezogener Daten nicht den Verhältnismäßigkeitsanforderungen des Unionsrechts entsprechen. Dies liegt daran, dass die auf US-Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.
Gestützt auf seine Feststellungen wies der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Überwachungsprogramme keinerlei Einschränkungen erkennen lassen. Auch fehlten Garantien für potenziell von diesen Programmen erfasste Personen, die keine US-Staatsbürger sind. Zudem verleihen diese Vorschriften den betroffenen Personen keine gerichtlich durchsetzbaren Rechte gegenüber den US-Behörden.
Mangelnder gerichtlicher Rechtsschutz
Hinsichtlich des Erfordernisses des gerichtlichen Rechtsschutzes befand der Gerichtshof, dass der im Privacy Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet. Ein solches Organ müsste Garantien bieten, die den nach Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären.
Diese Garantien betreffen sowohl die Unabhängigkeit der Ombudsperson als auch die Existenz von Normen, die die Ombudsperson ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all diesen Gründen erklärte der Gerichtshof den Beschluss 2016/1250 für ungültig.
Fazit und Handlungsempfehlungen
Das EuGH-Urteil Schrems II hat weitreichende Folgen für alle Unternehmen, die personenbezogene Daten in die USA oder andere Drittländer übermitteln. Die Ungültigkeit des Privacy Shield bedeutet, dass sich Unternehmen nicht mehr auf diesen Rahmen berufen können. Die Überprüfung der eigenen Datenschutzerklärungen und Übermittlungsmechanismen ist nun zwingend erforderlich.
Insbesondere müssen Unternehmen prüfen, ob die verwendeten Standardvertragsklauseln durch zusätzliche Maßnahmen ergänzt werden müssen, um ein Schutzniveau zu gewährleisten, das dem in der EU gleichwertig ist. Wir werden hierzu einen ausführlicheren Artikel verfassen, der aufzeigt, wann Anpassungen nötig sind und welche konkreten Schritte unternommen werden sollten.