Mit seinem Urteil vom 16.07.2020 (Az. C-311/18) hat der EuGH den Privacy Shield-Beschluss 2016/1250 für ungültig erklärt. Gleichzeitig entschied der EuGH, dass der Beschluss der Kommission 2010/87 über Standardvertragsklauseln (geändert durch Beschluss 2016/2297) für die Übermittlung personenbezogener Daten in Drittländer sowie an Auftragsverarbeiter in Drittländern im Einklang mit dem europäischen Datenschutzniveau stehe und damit gültig ist.
I. Datenschutzrechtliche Ausgangslage
Die Übermittlung personenbezogener Daten innerhalb der Länder der europäischen Union ist unbedenklich. Soweit die Verarbeitung personenbezogener Daten in einem Land der europäischen Union erfolgt, beansprucht nämlich die Datenschutz-Grundverordnung (DSGVO) Geltung (vgl. Art. 3 Abs. 1 DSGVO). Der Schutz personenbezogener Daten ist infolge der territorialen Geltung der DSGVO in der gesamten europäischen Union gleichwertig und eine Übermittlung in ein anderes Land der europäischen Union daher stets rechtmäßig.
Etwas anderes sieht es hingegen aus, wenn ein Datentransfer in ein sogenanntes Drittland – also ein Land, das nicht Mitglied der EU, also nicht Vertragspartner des EU-Vertrags ist (vgl. BeckOK DatenschutzR/Kamp/Beck, 32. Ed. 1.2.2020, DS-GVO Art. 44 Rn. 23) ist – erfolgen soll. Der Grundgedanke der DSGVO ist, dass eine Übermittlung personenbezogener Daten in ein Drittland nur erfolgen darf, wenn das Schutzniveau im Hinblick auf die Verarbeitung personenbezogener Daten sowie des Rechtsschutzes in dem Drittland dem Schutzniveau der DSGVO entspricht.
Entsprechend sieht die DSGVO in den Art. 44 ff. DSGVO auch ein System vor, bei dessen Einhaltung personenbezogene Daten in ein Drittland übermittelt werden dürfen. Art. 44 DSGVO bestimmt, dass jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland verarbeitet werden sollen, nur zulässig ist, wenn die Bestimmungen der DSGVO, insbesondere die der respektiven Voraussetzungen der Art. 45 bis 49 DSGVO, eingehalten werden. Eine Übermittlung darf hiernach erfolgen, wenn ein sog. Angemessenheitsbeschluss vorliegt. Liegt kein Angemessenheitsbeschluss vor, darf eine Übermittlung in ein Drittland nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen. Greift keine der speziellen Vorschriften (Art. 45 bis Art. 48), so lässt sich ein Datentransfer in ein Drittland ggf. auf die Auffangvorschrift des Art. 49 DSGVO stützen.
Nachdem der EuGH bereits im Jahr 2015 die Ungültigkeit der damaligen Safe-Harbour-Entscheidung (2000/520/EG) feststellte (Urteil des Gerichtshofs vom 6. Oktober 2015, Az. C-362/14), wurde das EU-US-Datenschutzschild (EU-US Privacy Shield) erarbeitet. Dieses besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung in Hinblick auf den Umgang mit übermittelten personenbezogenen Daten. Mit der Entscheidung der Europäischen Kommission vom 12. Juli 2016 (2016/1250) wurde unter den Voraussetzungen des Privacy Shield, die Angemessenheit des Datenschutzniveaus in den USA festgestellt. Dieser Angemessenheitsbeschluss ist beschränkt auf Unternehmen, die sich den Privacy Shield Regelungen unterwerfen und entsprechend registriert sind.
Mit einem Vorlagebeschluss des irischen High Courts wurde dieser Angemessenheitsbeschluss sowie der o.g. Beschluss 2010/87 (einschließlich des Nachfolgebeschlusses) dem EuGH zur Prüfung vorgelegt.
II. Entscheidung des EuGHs
1. Unwirksamkeit des EU-US-Datenschutzschild
Sehr deutlich stellt der EuGH fest, dass der Angemessenheitsbeschluss der EU ungültig ist. Da das EU-US-Datenschutzschild durch diesen Angemessenheitsbeschluss legitimiert wurde, folgt aus dem Urteil des EuGHs also, dass das Privacy-Shield-Abkommen von nun an keine Wirksamkeit mehr entfaltet.
Zur Begründung stellt der EuGH in Hinblick auf den Privacy-Shield-Beschluss 2016/1250 fest, dass dieser Angemessenheitsbeschluss den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang einräumt. Dadurch werden Eingriffe in Grundrechte von Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Der EuGH widerspricht dann auch der Kommission und hält fest, dass die im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten nicht so ausgestaltet sind, dass damit ein mit der DSGVO vergleichbares Schutzniveau hergestellt wird. Insbesondere bemängelt der EuGH, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten zugreifen dürfen, die aus der Union in dieses Drittland übermittelt werden und bei der Verwendung nicht den im Unionsrecht geltenden Grundsatz der Verhältnismäßigkeit einhalten müssen. Dabei bezieht sich der EuGH vor allem darauf, dass die Zugriffe durch die auf amerikanischen Rechtsvorschriften basierenden Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.
Auch in Hinblick auf einen geeigneten Rechtschutz stellt der EuGH fest, dass der im Angemessenheitsbeschluss vorgesehene Ombudsmechanismus keinen angemessenen Rechtsweg eröffnet. Es fehlt insoweit an einem Organ, das Garantien bietet, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären.
Im Lichte der Anwendung der Vorschriften der DSGVO kommt der EuGH also zu dem Ergebnis, dass der Privacy-Shield-Beschluss 2016/21250 weder einen geeigneten Schutz personenbezogener Daten noch einen geeigneten Rechtsschutz zur Geltendmachung von Abwehrrechten begründet.
2. Keine Bedenken gegen den Beschluss 2010/87 / 2016/2297
Anders als der Angemessenheitsbeschluss zum Privacy-Shield gewährt aber der Beschluss der Kommission 2010/87 über Standardvertragsklauseln ein angemessenen Schutzniveau. Denn gemäß diesem Beschluss müsse der Datenexporteur und der Empfänger der Übermittlung vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. Ferner muss der Empfänger dem Datenexporteur mitteilen, wenn er die Standardschutzklauseln nicht einhalten kann. Daraufhin muss der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten. Nach Auffassung des EuGHs gewährt dies einen ausreichendes Schutzniveau. Zudem können die Aufsichtsbehörden einen Datentransfer aussetzen oder verbieten, wenn sie feststellen, dass Standardschutzklauseln in einem Land nicht eingehalten werden.
III. Fazit
Die rechtlichen Folgen der Entscheidung können zum jetzigen Zeitpunkt noch nicht in Gänze dargestellt werden.
Allerdings ist klar, dass einer Übertragung von personenbezogenen Daten auf Grundlage des EU-US-Datenschutzschild rechtswidrig ist.
Hingegen hat der EuGH feststellt, dass die Übertragung auf der Grundlage der für rechtmäßig erachteten Standardvertragsklauseln erfolgen darf. Dies bedeutet letztlich, dass Unternehmen, die Daten in die USA übermitteln wollen und sich bis dato das Privacy-Shield-Abkommen berufen haben, nun einen „Wechsel“ auf die Standardvertragsklauseln prüfen müssen. Dieser vermeintliche einfache Weg hat aber wiederum einen Haken. Denn US-Unternehmen aus der IT-Branche unterfallen dem Foreign Intelligence Surveillance Act (FISA). Streng ausgelegt müssten die Aufsichtsbehörden also die Übermittlung in die USA untersagen. Dies würde aber den Stopp des kompletten transatlantischen Datenverkehrs zur Folge haben. Ein Ergebnis, dass in einer vernetzten Welt, eigentlich fernliegend klingt.
Sofern Sie von der Entscheidung betroffen sind und Unterstützung zu diesem Thema oder zum Datenschutz allgemein wünschen, sprechen Sie uns gern an.
