Türkei: „Der Nächste bitte“ – EuGH kippt Beschluss zum EU-US Data Privacy Shield

EuGH, Urteil vom 16.07.2020 C-311/18 („Schrems II“)

Die Übertragung personenbezogener Daten von der EU in die USA ist seit jeher aus rechtlicher Sicht ein schwieriger Vorgang. Nunmehr erließ der EuGH ein weiteres Urteil, das ein bisher genutztes Instrumentarium zur Herstellung eines angemessenen Datenschutzniveaus außer Kraft setzt – das EU-US Data Privacy Shield. 

1. Zum Sachverhalt 
Der Beschwerdeführer ist Österreicher und nutzt seit 2008 Facebook. Bei diesem Dienst werden die personenbezogenen Daten von allen in der EU wohnhaften Benutzern zumindest teilweise von dem Betreiber Facebook Ireland an Server der Muttergesellschaft Facebook Inc. in die vereinigten Staaten übermittelt und verarbeitet. Seine Beschwerde zielt darauf ab, diese Übermittlung verbieten zu lassen. Denn in den USA gäbe es kein für die Daten angemessenes Schutzniveau. Dies führte bereits zu einem Urteil des EuGH vom 6. Oktober 2015, in dem die Safe-Habor-Prinzipien für unzureichend erachtet wurden (Urteil „Schrems I“). 

Die irische Aufsichtsbehörde forderte den Beschwerdeführer nach dem Urteil auf, seine Beschwerde umzuformulieren. Insoweit macht der Beschwerdeführer nunmehr geltend, dass die Datenverarbeitung von Facebook Ireland auf Grundlage der Standardschutzklauseln gemäß Anhang des Beschlusses 2010/87 ausgesetzt oder verboten werden. Dies mündete in einem Beschluss der EU-Kommission 2016/1250 über die Angemessenheit des durch das EU-US-Datenschutz Shield hergestellten Schutzes.

2. Anwendbarkeit der DS-GVO
Der EuGH stellt zunächst klar, dass die Datenweitergabe von Facebook Ireland zu der Facebook Inc. dem Anwendungsbereich gemäß Art. 2 Abs. 1 DS-GVO unterfällt. Insbesondere ist keine Ausnahme gegeben, wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von Behörden zum Staatsschutz verarbeitet werden.

3. EU-Standardvertragsklauseln
Im Weiteren hält der EuGH fest, dass die EU-Standardvertragsklauseln zwar nur die jeweiligen Vertragsparteien binden, insoweit aber ein probates Mittel zur Herstellung eines angemessenen Schutzniveaus darstellen. Gleichzeitig aber muss der Empfänger der Daten in dem betroffenen Drittland berücksichtigen und prüfen, inwieweit Behörden des Drittlands Zugang zu den Daten haben, wie es in Art. 45 Abs. 2 DS GVO dargelegt ist. Insoweit ist der Beschluss bezüglich der EU-Standardvertragsklauseln und ihrer Herstellung eines angemessenen Datenschutzniveaus weiterhin gültig.

4. Rechte der Datenschutzbehörden
Die zuständigen Datenschutzbehörden sind demgegenüber berechtigt, eine Übertragung von Daten in Drittländer, die unter Einsatz der Standardvertragsklauseln erfolgt, auszusetzen oder zu verbieten, soweit die Behörde unter Berücksichtigung aller Umstände des Einzelfalls der Auffassung ist, dass die Bestimmungen nicht eingehalten werden oder nicht eingehalten werden können und auch nicht durch Einsatz anderer Mittel sichergestellt werden können, wie es Art. 45 und 46 DS-GVO vorsehen.

5. EU-US Data Privacy Shield keine Gewähr für ausreichendes Datenschutzniveau
Demgegenüber wird durch die Zertifizierung eines Unternehmens gemäß dem EU-US Data Privacy Shield kein angemessenes Datenschutzniveau hergestellt. Denn diese Zertifizierung verhindert insbesondere nicht den Einsatz von Überwachungsprogramm und den Zugriff von Behörden auf Daten, die aus der EU in die USA übermittelt werden.

Auch fehlt es an effektivem Rechtsschutz, wonach Personen ihre Rechte gegenüber den amerikanischen Behörden gerichtlich durchsetzen könnten. Der in dem Data Privacy Shield vorgesehene Ombudsmann-Mechanismus stellt kein einem Rechtsweg gleichwertiges Verfahren dar, der zu einer effektiven Rechtsverfolgung führt. Entsprechend ist der Beschluss 2016/1250 der EU-Kommission für ungültig zu erklären.

6. Was ist zu tun? Wie können Unternehmen einen Datentransfer in die USA sicher gestalten?
Die Entscheidung des EuGH ist eine kleine, wenn auch vorhersehbare Sensation. Denn das EU-US Data Privacy Shield enthält ähnliche Vorschriften und Verfahren wie das Safe Habour-Verfahren, das bereits 2015 für nicht geeignet zur Herstellung eines ausreichenden Datenschutzniveaus angesehen wurde.

Das stellt die Datenübermittlung mit dem wichtigen Wirtschaftspartner USA fundamental infrage. Offensichtlich ist auch, dass die EU-Standardvertragsklauseln nicht das alleinige Mittel sein können, der Problematik des Zugriffs von US-Behörden auf Daten von EU-Bürgern Herr zu werden. Darüber hängt jetzt stets das Damoklesschwert der Datenschutzbehörden, eine Übermittlung jederzeit aussetzen oder verbieten zu können.

Es bleibt abzuwarten, ob die EU und die USA zügig ein neues Abkommen treffen können. Auch werden die Datenschutzbehörden umfassend zu der Entscheidung des EuGH Stellung nehmen und Handlungsempfehlungen aussprechen. Ferner ist zu erwarten, dass Anbieter, wie Google und Facebook, ihre Datenprozesse anpassen und ggf. auf eine Weiterleitung von Daten in die USA verzichten.   

Bis auf weiteres empfehlen sich aber die folgenden Maßnahmen:

  • Analyse, welche Datenprozesse eine Übertragung von Daten in die USA beinhalten. Diese sollten keine für das Unternehmen existentiell wichtigen Daten beinhalten. 
  • Schaffung alternativer Lösungen durch eine Datenübertragung in andere Länder mit angemessenem Datenschutzniveau, die gegebenenfalls ad hoc bei der Anweisung einer Behörde umgesetzt werden können. Hier sollte auch geprüft werden, ob durch Anonymisierung oder Verschlüsselung Ausnahmetatbestände geschaffen werden können.
  • Sicherstellung, dass bei Datenschutzübertragungen in Drittländer die EU-Standardvertragsklauseln zum Einsatz kommen. 
  • Überprüfung der Datenschutzdokumente im Hinblick auf Referenzen zum EU-US Data Privacy Shield, insbesondere der Datenschutzerklärung auf Ihrer Webseite. Hier besteht ein Abmahnungsrisiko.

Dr. Karolin Nelles LL.M., Schindhelm Rechtsanwaltsgesellschaft mbH, Frankfurt am Main