News

EUGH kippt Privacy Shield – Was tun?

Privacy-Shield ungültig - Entscheidung EuGH Urteil DSGVO
DSGVO Datenschutz Datenschutzgrundverordnung EuGH Privacy Shield Datenübermittlung USA

Der Europäische Gerichtshof hat den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig (C-311/18). Was müssen Unternehmer nun bedenken?

Datenübermittlung in ein Drittland nach der DSGVO

Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn das betreffende Land für die Daten ein angemessenesSchutzniveau gewährleistet. Die Kommission kann feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u.a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen. Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Beschwerde gegen Facebook bei der Aufsichtsbehörde

Max Schrems ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook  Ireland an Server der Facebook Inc.(Vereinigte  Staaten) übermittelt und dort verarbeitet. Schrems legte bei der irischen Aufsichtsbehörde Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Über Vorabentscheidungsersuchen des irischen High Court wurde die Sache an den EuGH herangetragen (C-311/18, 16.07.2020, Data Protection Commissioner / Maximillian Schrems und Facebook Ireland).

Beschluss 2010/87 über Standardvertragsklauseln gültig

Die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln sieht der EuGH nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der  Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er  hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Privacy-Shield-Beschluss 2016/1250 ungültig

Im Privacy-Shield-Beschluss 2016/1250 wird ebenso wie in der Safe-Harbour-Entscheidung  2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt. Dies ermöglicht Eingriffe in die Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt werden. Die von der Kommission im Privacy-Shield-Beschluss bewerteten Einschränkungen des Schutzes personenbezogener Daten sind mit den im Unionsrecht bestehenden Anforderungen der Sache nach nicht gleichwertig, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen. Genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden  bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes eröffnet der Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d.h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all diesen Gründen erklärt der Gerichtshof den Privacy-Shield-Beschluss 2016/1250 für ungültig.

 Was bedeutet das Urteil für Unternehmer

Unternehmer müssen bedenken, dass Datenübertragungen in die USA (zB via Google, Facebook, Instagram, Amazon-Cloud-Services, & Co) mit dem Urteil rechtswidrig geworden sind. Unternehmen, die sich bei der Übermittlung von personenbezogenen Daten in die USA nur auf den Privacy-Shield berufen haben, haben damit Handlungsbedarf. Datenschutzerklärungen und Datenschutzhinweise – die vom Urteil betroffen sind – müssen daher überarbeitet werden.

Dürfen personenbezogene Daten nach dem Urteil in die USA übermittelt werden?

Zunächst ist zwischen privater und nicht privater Übermittlung zu unterscheiden, da die DSGVO nach Art 2 Abs 2 lit c keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten findet. Was aber ist bei nicht privater Übermittlung? In diesem Fall wäre eine Übermittlung in folgenden Ausnahmefällen zulässig (Art 49):

  • ausdrückliche Einwilligung
  • Erforderlichkeit zur Vertragserfüllung oder für vorvertragliche Maßnahmen
  • wichtige Gründe des öffentlichen Interesses
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
  • Schutz lebenswichtiger Interessen einer betroffenen Person
  • Datenübermittlung aus einem Register, das zur Information der Öffentlichkeit bestimmt ist

Rechtsanwalt

Rechtsanwalt Dr. Johannes Öhlböck LL.M. berät und vertritt bei Fragen rund um Datenschutz und Datenschutzgrundverordnung.