EuGH erklärt EU-US-Privacy-Shield für unwirksam

Anzeige von kallan Rechtsanwaltsgesellschaft mbH

Mit Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) den EU-US-Privacy Shield für ungültig erklärt (C-311/18 – Schrems II). Damit ereilte den Privacy Shield das gleiche Schicksal wie seinen Vorgänger, das Safe Harbor-Abkommen, den der EuGH 2015 für ungültig erklärte (C-362/14 – Schrems I). Die Unternehmen sind nun aufgefordert, unverzüglich Maßnahmen bezüglich der Übermittlung personenbezogener Daten in die USA zu ergreifen, um zu vermeiden, dass sie von den Aufsichtsbehörden ins Visier genommen werden, da der EuGH keine Übergangs- oder Schonfrist gewährt hat. Dies bedeutet, dass ab sofort viele Unternehmen ihre personenbezogenen Daten nicht mehr an ihre amerikanischen Schwester-, Tochter- oder Muttergesellschaften, Geschäftspartner oder Cloud-Dienste übermitteln können, wenn die Verarbeitung auf dem EU-US-Privacy Shield basiert.

Hintergrund

Nach der Datenschutz-Grundverordnung (DS-GVO) dürfen personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden, wenn dieses für die Daten ein angemessenes Schutzniveau gewährleistet. Allerdings ermöglicht die DS-GVO es der Kommission festzustellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Der EU-US Privacy Shield ist eine Absprache zwischen der EU und den USA, auf deren Grundlage die Kommission die Angemessenheit letztlich festgestellt hat.

Liegt kein solcher Angemessenheitsbeschluss vor, darf eine Übermittlung nur erfolgen, wenn der in der EU ansässige Datenexporteur geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standardvertragsklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen.

Sachverhalt

Das Urteil geht auf die Datenschutzbeschwerde des österreichischen Facebook Nutzers und Datenschutzaktivisten, Max Schrems, zurück. Wie bei jedem im Unionsgebiet wohnhaften Nutzer wurden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc. in den USA übermittelt und dort verarbeitet. Er machte geltend, dass die USA keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten und beantragt, die von Facebook Ireland auf der Grundlage der Standardvertragsklauseln im Beschluss 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der EU in die USA für die Zukunft auszusetzen oder zu verbieten. Nach Auffassung der irischen Aufsichtsbehörde hing die Bearbeitung der Beschwerde maßgeblich von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln ab. Daher strengte sie ein Verfahren vor dem irischen High Court an, damit er den EuGH mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragte der irische High Court den EuGH unter anderem nach der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250.

Die Entscheidung des EuGH

Der EuGH stellte in seinem Urteil vom 16. Juli 2020, C-311/18 fest, dass der Beschluss 2010/87 über Standardvertragsklauseln nicht gegen die EU-Grundrechtecharta verstoße und daher wirksam sei. Den Privacy Shield-Beschluss 2016/1250 erklärte er hingegen für ungültig.

Der Beschluss 2010/87 sehe Mechanismen vor, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten bei Verstößen oder Unmöglichkeit der Einhaltung ausgesetzt oder verboten werden. Gemäß diesem Beschluss müssen der Datenexporteur und der Empfänger der Übermittlung vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und der Empfänger muss dem Datenexporteur gegebenenfalls mitteilen, dass er die Standardvertragsklauseln nicht einhalten kann. Daraufhin müsse der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten. Daher sei der Beschluss 2010/87 gültig.

Der Beschluss 2016/1250 sei ungültig, da die in ihm vorgesehenen Einschränkungen des Schutzes personenbezogener Daten, in Gestalt einer Zugriffs- und Verwendungsbefugnis amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der EU in dieses Drittland übermittelt werden, nicht gleichwertig seien zu den Anforderungen des Unionsrechts, die dem Grundsatz der Verhältnismäßigkeit entsprechen müssen. Die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt und ließen in keiner Weise Einschränkungen für ihre Durchführung erkennen. Auch sei nicht ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Zwar sähen diese Vorschriften Anforderungen vor, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, verleihen aber den betroffenen Personen keine Rechte, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

Auch der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus eröffne den betroffenen Personen keinen Rechtsweg zu einem Organ, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären. Weder sei die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson gewährleistet noch das Bestehen von Normen, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

Konsequenzen für Unternehmen

Unternehmen müssen nun prüfen, ob sie selbst oder ihre Auftragsverarbeiter personenbezogene Daten (z.B. von Kunden oder Mitarbeitern) an Unternehmen in den USA auf der Grundlage des Privacy Shield oder von Standardvertragsklauseln weitergeben. Die Verarbeitung personenbezogener Daten auf der Grundlage des Privacy Shield sollte gestoppt werden, um Sanktionen durch die Aufsichtsbehörden zu vermeiden. Gleichzeitig sollte der Kontakt zu den Partnern in den USA hergestellt werden, um zu beurteilen, ob der Datentransfer auf Standardvertragsklauseln umgestellt werden kann und ob diese die Einhaltung eines angemessenen Datenschutzniveaus gewährleisten.

Grundsätzlich sollten Unternehmen das EuGH-Urteil zum Anlass nehmen, die Notwendigkeit von Datentransfers in die USA und die Möglichkeiten der Datenverarbeitung in der EU zu prüfen. Darüber hinaus können einige große US-Cloud-Anbieter durch die Wahl der geeigneten Optionen auch Daten auf Servern in der EU ansiedeln, wo der Zugang für US-Geheimdienste zumindest erschwert ist. Doch nicht nur die Verarbeitung und Speicherung personenbezogener Daten sollte in der EU erfolgen, sondern muss z.B. auch der entsprechende Support aus einem europäischen Mitgliedsstaat erfolgen, da bereits der temporäre Zugriff auf EU-Daten aus den USA eine Verarbeitungsmaßnahme darstellt.


Wenn Sie Fragen im Zusammenhang mit Corona-Finanzierungshilfen haben, wenden Sie sich gern an Ihre Ansprechpartner des kallan Datenschutzteams oder an info@kallan-legal.de.