Privacy Shield (Symbolbild)
Login

Der nächste Rückschlag für Facebook: Die Entscheidung des EuGH zum EU-US-Privacy-Shield

Schon seit längerer Zeit steht der Beschluss 2016/1250 der Europäischen Kommission, besser bekannt als EU-US-Privacy-Shield, in der Kritik. Ziel dieses Beschlusses war die Schaffung einer rechtssicheren Grundlage für die Übermittlung personenbezogener Daten von Datenexporteuren in der Union zu Empfängern in den USA. In dem vorliegenden Verfahren selbst ging es um den Rechtsstreit zwischen dem österreichischen Juristen Max Schrems und Facebook. Nachdem bereits der Vorgänger-Beschluss, das Safe-Harbour-Abkommen, im Jahre 2015 vom EuGH für unwirksam erklärt worden war (EuGH, Urteil vom 06.10.2015 - C-362/14), wurde dem daraufhin ergangenen EU-US-Privacy-Shield nun das gleiche Schicksal zuteil (EuGH, Urteil vom 16.07.2020 – C-311/18).

Wir bedanken uns bei Rechtsanwältin Victoria Johnson für den vorliegenden Gastbeitrag. Lesen Sie passend zum Thema auch den früheren Beitrag der Autorin: Das Kartellamt, Facebook und die Datenfrage – Steht die „innere Entflechtung“ des Konzerns kurz bevor?

Rechtlicher Hintergrund

Die erste „Schrems-Entscheidung“ des EuGH folgte einem Verfahren, in dem Schrems als Facebook-Nutzer sich dagegen wandte, dass Facebook Ireland seine personenbezogenen Daten in die USA an Facebook Inc. weiterleitete. Grundlage für diese Übertragung war das seinerzeit noch gültige Safe-Harbour-Abkommen. Nachdem dieses durch den EuGH für ungültig erklärt worden war, besserte die EU-Kommission mit dem EU-US-Privacy-Shield nach. Dieses ist nun Gegenstand der aktuellen EuGH-Entscheidung.

Nach der DSGVO bedarf jede Übermittlung personenbezogener Daten einer rechtlichen Grundlage, so auch Datenübertragungen in sog. Drittländer (Länder außerhalb der EU/des EWR). Für diese internationalen Übermittlungen sieht die DSGVO verschiedene Möglichkeiten vor:

  • Angemessenheitsbeschluss der EU-Kommission (Art. 45 Abs. 1 DSGVO): Hat die Kommission beschlossen, dass ein Drittland ein angemessenes Schutzniveau bietet, kann die Übermittlung personenbezogener Daten auf Grundlage dieses Beschlusses vorgenommen werden. Einer gesonderten Genehmigung bedarf es nicht. (Länder, für die bereits ein solcher Beschluss vorliegt, finden Sie hier.)
  • Geeignete Garantien (Art. 46 Abs. 2, 47 DSGVO): Zu den bekanntesten geeigneten Garantien zählen die Standardvertragsklauseln (Standard Contractual Clauses – SCC) und die verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules – BCR).
  • Ausnahmetatbestände (Art. 49 DSGVO)
  • Ohne Vorliegen einer der aufgeführten Möglichkeiten ist eine Datenübertragung außerhalb der EU/des EWR datenschutzrechtlich unzulässig.

Entscheidung des EuGH

Der Entscheidung lagen im Wesentlichen folgende zwei Prüfgegenstände zugrunde: das EU-US-Privacy-Shield als Angemessenheitsbeschluss (2016/1250) sowie der Beschluss über Standardvertragsklauseln (2010/87) als geeignete Garantien.

Das EU-US-Privacy-Shield wurde vom EuGH für ungültig erklärt. Nach Auffassung des Gerichts räume der Beschluss den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang ein. Dies ermögliche Eingriffe in Grundrechte der betroffenen Personen, deren Daten in die USA übermittelt werden. Nach den Anforderungen des Grundsatzes der Verhältnismäßigkeit sei der Beschluss gerade nicht so ausgestaltet, dass ein dem Niveau innerhalb der EU gleichwertiger Schutz personenbezogener Daten bestehe. Die auf US-amerikanische Rechtsvorschriften gestützten Überwachungsprogramme, die es US-amerikanischen Behörden ermöglichten, auf personenbezogene Daten zuzugreifen und diese verwenden zu dürfen, seien nicht auf das zwingend erforderliche Maß begrenzt. Zwar enthielten die Vorschriften Anforderungen, die von US-amerikanischen Behörden, z.B. Nachrichtendiensten, bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten seien, allerdings verliehen sie den betroffenen Personen keine Rechte, die gegenüber den amerikanischen Behörden durchgesetzt werden könnten. Ferner enthielten die ebenfalls in dem Beschluss angeführten „Ombuds-Mechanismen“ keine Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisteten, die die Ombudsperson dazu ermächtigten, gegenüber den US-amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

Die Standardvertragsklauseln wurden hingegen vom EuGH für gültig erklärt. Diese ermöglichten im Lichte der Charta der Grundrechte ein gleichwertiges Schutzniveau wie die DSGVO. Bei der Beurteilung des Schutzniveaus seien folgende Punkte zu berücksichtigen:

  • die vertraglichen Regelungen, die zwischen dem Datenexporteur und dem im Drittland ansässigen Empfänger der übermittelten personenbezogenen Daten vereinbart wurden sowie
  • die maßgeblichen Aspekte der Rechtsordnung des Drittlandes im Hinblick auf mögliche Auswirkungen und Folgen eines etwaigen Zugriffs der Behörden dieses Drittlandes auf die übermittelten Daten.

Der EuGH stellte allerdings ausdrücklich klar, dass europäische Datenschutz-Aufsichtsbehörden bei Zweifeln am Vorliegen eines gleichwertigen Schutzniveaus nicht nur befugt, sondern sogar verpflichtet seien, Übermittlungen personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten. Dies gelte, sofern die Aufsichtsbehörden der Auffassung seien, die Standardvertragsklauseln würden in diesem Land nicht eingehalten oder könnten nicht eingehalten werden und der nach Unionsrecht erforderliche Schutz der übermittelten personenbezogenen Daten könne nicht mit anderen Mitteln gewährleistet werden. In der vorliegenden Entscheidung ging das Gericht vom Vorliegen geeigneter Schutzmechanismen aus. Allerdings hielt es zugleich auch eine Vorabprüfung, ob das Datenschutzniveau im konkreten Fall eingehalten werde, durch den Exporteur und den Empfänger für stets erforderlich. Der Empfänger sei weiterhin verpflichtet, dem Exporteur gegebenenfalls mitzuteilen, dass er nicht in der Lage sei, die Standardvertragsklauseln einzuhalten. Der Exporteur habe daraufhin die Übermittlung auszusetzen und/oder vom Vertrag zurückzutreten.

Praktische Auswirkungen

Die Entscheidung des EuGH stürzt europäische Unternehmen nicht in gänzlich unbekannte Untiefen. Bereits in der Safe-Harbour-Entscheidung aus dem Jahre 2015 hat das Gericht das ungleiche Datenschutzniveau zwischen der Union und den USA festgestellt und damit einer Übermittlung personenbezogener Daten in die USA die rechtliche Grundlage entzogen. Eine hohe praktische Relevanz kommt der aktuellen Entscheidung aber in jedem Fall zu. Betroffen sind nämlich nicht nur personenbezogene Daten von (Internet-)Nutzern (bspw. im Rahmen von Social-Media-Diensten wie Facebook und Instagram oder beim Einsatz von Microsoft-Produkten), sondern auch solche von Arbeitnehmern und Kunden im Rahmen internationaler Datentransfers im Konzernverbund zwischen europäischen und US-amerikanischen Konzerngesellschaften.

Entsprechend den Vorgaben der DSGVO verbleiben allerdings nach wie vor die Standardvertragsklauseln und die Binding Corporate Rules zur Rechtfertigung von Datenübertragungen in die USA. Für Unternehmen mit internationalem Bezug, die ihren bisherigen Datentransfer auf das EU-US-Privacy-Shield gestützt haben, ist es nun von besonderer Wichtigkeit, auf andere rechtliche Gestaltungsmöglichkeiten auszuweichen. Denkbar ist dabei auch das Ausweichen auf europäische Anbieter und Software-Lösungen.

Weitere denkbare Konsequenzen

Nicht unerwähnt bleiben darf jedoch die Möglichkeit, dass auch die anderen rechtlichen Gestaltungsmöglichkeiten wie Standardvertragsklauseln und Binding Corporate Rules dem Datenschutzniveau innerhalb der Union nicht genügen könnten. Insbesondere die Ausführungen des EuGH zu den Überwachungsprogrammen US-amerikanischer Behörden und den damit verbundenen Zugriffsmöglichkeiten auf personenbezogene Daten von Nicht-US-Bürgern, denen zudem auch keine effektiven Rechtsmittel zur Verfügung stehen, verdeutlichen, dass es nicht ausschließlich auf die Konformität der vertraglichen Grundlage mit dem europäischen Datenschutzniveau ankommt. Datenschutzkonforme Regelungen und Vereinbarungen helfen nicht darüber hinweg, dass US-amerikanische Behörden weitreichende Überwachungsbefugnisse innehaben, gegen die sich US-amerikanische Unternehmen auch nicht verwehren können. Dies könnte zur Folge haben, dass US-amerikanische Unternehmen wiederum gezwungen sind – entsprechend den Vorgaben des EuGH – den europäischen Datenexporteuren mitzuteilen, dass sie nicht in der Lage sind, das europäische Datenschutzniveau einhalten zu können. Den Unternehmen in der Union bliebe sodann kaum eine andere Wahl als die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten.

Auch die EU-Kommission wird mit Hochdruck an einer Lösung arbeiten müssen, gegebenenfalls sogar an einem neuen Angemessenheitsbeschluss für Datenübertragungen in die USA. Doch auch in diesem Fall ist die Gleichwertigkeit des Datenschutzniveaus der Dreh- und Angelpunkt. Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus hat die Kommission gemäß Art. 45 Abs. 2 DSGVO insbesondere rechtsstaatliche Voraussetzungen wie Informations- und Widerspruchsrechte sowie effektive Rechtsmittel (vgl. EuGH, Urteil vom 06.10.2015 - C-362/14), das Bestehen unabhängiger Aufsichtsbehörden im Drittland sowie internationale Verpflichtungen des Drittlands zu berücksichtigen. Somit müssen auch die Überwachungsbefugnisse US-amerikanischer Nachrichtendienste und die fehlenden Rechtsschutzmöglichkeiten betroffener Personen in diese Beurteilung miteinfließen.

Fazit

Es bleibt festzuhalten, dass zwar ein erneuter Wandel im internationalen Datentransfer bevorsteht, dessen Ergebnis aufgrund verschiedenster Faktoren noch nicht absehbar ist, Alternativen zum EU-US-Privacy-Shield aber nach wie vor bestehen. Trotz der Schwierigkeit einer datenschutzkonformen Lösung (wahrscheinlich auch mangels geeigneter europäischer Alternativen) und der enormen Wichtigkeit des Schutzes personenbezogener Daten, sollte die hohe wirtschaftliche Bedeutung des Datenexports aus der Union in die USA nicht vergessen werden. Die zu bewältigende Aufgabe liegt nun in der Schaffung einer datenschutzkonformen Übermittlungsmöglichkeit personenbezogener Daten in die USA, die ein der DSGVO gleichwertiges Schutzniveau bietet.

Lesen Sie zum Thema "Datenschutz" auch:

Lesen Sie weitere interessante Beiträge im juris Magazin:


juris unterstützt Sie in allen Rechts- und Themengebieten.

Finden Sie aus unserer Auswahl das für Sie passende Modul oder Produkt:


			juris PartnerModul IT-Recht
juris PartnerModul IT-Recht
Beantwortet alle Fragen aus dem IT-rechtlichen Alltag (DSGVO, BDSG, TMG, TKG u.v.m.) unter Berücksichtigung von UWG und StGB.
Weitere Produktinformationen

			juris PartnerModul Gewerblicher Rechtsschutz / Urheberrecht
juris PartnerModul Gewerblicher Rechtsschutz / Urheberrecht
Renommierte Kommentare, Fachzeitschriften und Handbücher - für alle Fragen im Urheberrecht.
Weitere Produktinformationen

			juris PartnerModul Datenschutz
juris PartnerModul Datenschutz
Umfassende Fachliteratur zur DSGVO und zum neuen BDSG - in EINEM Modul, sukzessive aktualisiert.
Weitere Produktinformationen

			juris PartnerModul Compliance premium
juris PartnerModul Compliance premium
Erfahren Sie u.a. welche Maßnahmen bei der Prävention und Vermeidung von Haftung und Strafbarkeit zu ergreifen sind.
Weitere Produktinformationen

			juris PartnerModul Compliance
juris PartnerModul Compliance
Lösungsansätze zur Umsetzung von compliance-rechtlichen Vorgaben innerhalb diverser Rechtsgebiete, wie z. B. dem Arbeits- oder Wirtschaftsrecht.
Weitere Produktinformationen

			juris DAV
juris DAV
Nutzen Sie Rechtsprechung, Gesetze, wichtige Basis-Literatur und das Selbststudium-Angebot der DAA AnwaltZertifikatOnline.
Weitere Produktinformationen

Nicht das Passende für Sie dabei?

Wir beraten Sie gerne persönlich und unverbindlich: 0800 – 587 47 33