Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Der EuGH, das Privacy Shield und die SCC – Urteil in Sachen Schrems II, C-311/18

Der EuGH hat das Privacy Shield für ungültig erklärt! Gut, das kam nicht überraschend. Interessanter sind daher die Ausführungen zu den Standardvertragsklauseln. Diese sind grundsätzlich abstrakt wirksam, es ist aber im Einzelfall zu prüfen, ob die konkrete Übermittlung von personenbezogenen Daten in ein bestimmtes Drittland damit gerechtfertigt werden kann (Urteil des EuGH vom 16.07.2020, C-311/18, Schrems II).

Aha. Ist das wichtig?

Ja! Die Entscheidung schafft Klarheit im Bezug auf den Transfer von personenbezogen Daten in ein Drittland (alles außerhalb des EWR, also außerhalb von EU, Norwegen, Island und Liechtenstein). Reine Absichtsbekundungen dahingehend, personenbezogene Daten schützen zu wollen, reichen nicht aus, daher wurde das Privacy Shield gekippt. Aber auch ein „Weiter so“ mit den Standarddatenschutzklauseln wird es nicht geben.

Aber warum der Wirbel und worum geht es? Es geht darum, unter welchen Voraussetzungen personenbezogene Daten in ein Drittland, konkret in die USA, übertragen werden dürfen.

Personenbezogene Daten dürfen vom Verantwortlichen zunächst nur dann in ein Drittland wie die USA übertragen werden, wenn es für diese Übertragung eine Rechtsgrundlage ergibt. Dafür sieht die DSGVO mehrere Möglichkeiten vor, die praktisch relevantesten sind Angemessenheitsbeschlüsse der Europäischen Kommission nach Art. 45 DSGVO sowie geeignete Garantien nach Art. 46 DSGVO.

Ein Angemessenheitsbeschluss der Europäischen Kommission ist eine praktische und einfache Möglichkeit, die Übermittlung von personenbezogenen Daten in ein Drittland zu legitimieren (wenn alle anderen Vorgaben zur Weitergabe von Daten erfüllt sind, versteht sich). Die Kommssion kann nach genauer Prüfung, deren Details in Art. 45 Abs. 2 DSGVO niedergelegt sind, beschließen, dass in einem bestimmten Land ein angemessenes Datenschutzniveau besteht. Diesen Beschluss muss sie regelmäßig überprüfen, damit die Entwicklungen in dem Drittland auch berücksichtigt werden und auf Veränderungen reagiert werden kann. Besteht ein solcher Angemessenheitsbeschluss, können personenbezogene Daten in das genannte Land regulär und legal übermittelt werden. Ein Angemessenheitsbeschluss kann auch für eine internationale Organisation oder für bestimmte Wirtschaftssektoren in einem Land erlassen werden, also bspw. für den Bankensektor, aber auch nur für Teile eines Landes, etwa im Falle der USA für bestimmte Bundesstaaten. Der Privacy Shield beruht(e) auch auf einem solchen Angemessenheitsbeschluss, dazu unten mehr.

Die andere Rechtsgrundlage sind „geeignete Garantien“ nach Art. 46 DSGVO. Die Norm ermöglicht es sowohl dem für die personenbezogenen Daten Verantwortlichen als auch dem Auftragsverarbeiter, personenbezogene Daten auf Basis geeigneter Garantien für den Schutz der betroffenen Personen in Drittländer zu übermitteln. Geeignete Garantien können nach Art. 46 Abs. 2 DSGVO bspw. verbindliche interne Datenschutzvorschriften zwischen Konzernteilen in verschiedenen Ländern (sog. Binding Corporate Rules, BCR) sein, von der Europäischen Kommission erlassene Standarddatenschutzklauseln oder besonders geregelte Zertifizierungen (die es in der Praxis aber noch nicht gibt). Damit eine Garantie auch eine geeignete Garantie ist, muss sie einen Ausgleich für den Mangel an Datenschutz in dem Drittland bieten und Regelungen und Mechanismen vorsehen, damit ein Schutzniveau entsteht, das dem in der EU im Wesentlichen entspricht. Dabei kommt es darauf an, dass die allgemeinen Grundsätze für die Verarbeitung, wie sie in Art. 5 DSGVO niedergelegt sind, eingehalten werden, etwa durch technische Maßnahmen und datenschutzfreundliche Voreinstellungen. Bedeutsam ist auch, dass die Betroffenen Datenschutzrechte auch im Drittland durchsetzen können und sie sich gegen Maßnahmen mit Rechtsbehelfen zur Wehr setzen können. Ist all das gegeben, liegt eine geeignete Garantie für das Schutzniveau vor und die personenbezogenen Daten können in das Drittland übermittelt werden. Praktisch am relevantesten sind die genannten Standarddatenschutzklauseln, die die Kommission vorgibt und die als Vertragszusatz zwischen dem Datenübermittler in der EU und dem Empfänger im Drittland abgeschlossen werden. Dabei ist wichtig, dass von den Standarddatenschutzklauseln nur insoweit abgewichen werden darf, als dass das Schutzniveau dadurch erhöht wird. Werden diese standardisierten Klauseln hingegen zum Nachteil der Betroffenen abgeändert, liegt keine geeignete Garantie im Sinne des Art. 46 DSGVO mehr vor.

Für die im Fall vor dem EuGH relvante Datenübermittlung ging es um personenbezogene Daten, die von Facebook in die USA übermittelt werden. Die irische Datenschutzbehörde wollte wissen, ob hierfür das Privacy Shield und/oder die abgeschlossenen Standarddatenschutzklauseln ausreichen und wie diese genau auszulegen sind.

Der EuGH stellte nun klar, dass das Privacy Shield nicht ausreicht. Daneben hat er aber auch festgestellt, dass es nicht genügt, einfach nur Standarddatenschutzklauseln mit dem Vertragspartner im Drittland abzuschließen und dann sei alles erlaubt. Vielmehr muss auch im Drittland ein Datenschutzniveau bestehen, das in der Sache gleichwertig zu dem in der EU garantierten Schutzniveau ist. Auch sonst hat der EuGH noch ein paar bemerkenswerte Ausführungen zur Auslegung und Anwendung von Standarddatenschutzklauseln gemacht, von denen wir uns einiges hier gleich noch ansehen werden.

Das Privacy Shield ist also ungültig?

Ja, Privacy Shield wurde vom EuGH gekippt. Datentransfers in die USA können nicht mehr auf Basis des Privacy Shield erfolgen.

Das Privacy Shield ist eine Absprache zwischen der EU und den USA und besteht im Wesentlichen aus Zusicherungen der US-Regierung einerseits und dem Beschluss der Europäischen Kommission, die Einhaltung der Zusicherungen als angemessen anzuerkennen, andererseits. Nach diesem sog. Angemessenheitsbeschluss gilt die Angemessenheit des Datenschutzniveaus als zugesichert, sofern die jeweiligen US-Unternehmen sich selbst zu den im Privacy-Shield-Abkommen niedergelegten Prinzipien verpflichten. Der Privacy Shield enthält zudem US-seitig die Pflicht, dass die zertifizierten Unternehmen regelmäßig durch das US-Handelsministerium auf die Einhaltung der Verpflichtungen überprüft werden. Es besteht seitens der US-Behörden eine Zusicherung, keine unterschiedslose Massenüberwachung durchzuführen, sondern den Datenzugriff durch die Sicherheitsbehörden nur unter Einhaltung klarer Beschränkungen, Schutzvorkehrungen und Aufsichtsmechanismen zu gestatten.

Das Privacy Shield wurde 2016 eilig gestrickt, um das seinerzeit vom EuGH für unwirksam erklärte Safe Harbour-Abkommen zu ersetzen. Es bestanden schon immer erhebliche Zweifel, ob diese Zusicherungen seitens der US-Regierung hinreichend genau sind und ob die Maßnahmen überhaupt durchgeführt werden.

Der EuGH hat diese Zweifel nun geklärt und das Privacy Shield für unwirksam erklärt – genauer genommen wurde der Beschluss der Kommission, mit der die Angemessenheit der im Privacy Shield festgelegten Maßnahmen als ausreichend erachtet wurde, für ungültig erklärt. Das Gericht ist der Ansicht, dass der Zugriff durch die US-Behörden im Privacy Shield nicht hinreichend so geregelt ist, dass für die Betroffenen und ihre Daten in den USA ein gleichwertiges Schutzniveau gegeben ist – das aber fordert Art. 45 DSGVO. Zwar gibt es Vorgaben, wie die US-Behörden bei ihren Überwachungsprogrammen mit den transferierten personenbezogenen Daten umzugehen haben. Es gibt jedoch nach Ansicht des EuGH  keine hinreichenden Rechtsbehelfe der Betroffenen, die gegenüber den US-amerikanischen Behörden auch gerichtlich durchgesetzt werden können. Die extra für diesen Zweck eingerichtete Ombudsstelle genügt nicht, da auch hier gerade nicht ein Gericht zur Klärung angerufen werden könne, so der EuGH. Dieser fehlende Rechtsbehelf für die Betroffenen ist eine wesentliche Abweichung zum Rechtsschutz in der EU, weshalb der Gerichtshof den Angemessenheitsbeschluss der Kommission zum Privacy Shield für ungültig erklärt hat.

Was ist mit den Standardvertragsklauseln?

Die Standardvertragsklauseln bzw. Standarddatenschutzklauseln an sich wurden vom EuGH nicht beanstandet. Die Standarddatenschutzklauseln können eine geeignete Garantie für die Datenübermittlung darstellen. Nach Art. 46 DSGVO ist eine Übermittlung in Drittstaaten durch einen Verantwortlichen oder Auftragsverarbeiter dann zulässig, wenn geeignete Garantien (das sind hier die Standarddatenschutzklauseln) vorgesehen sind und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Nach dem heutigen Urteil des EuGH muss insgesamt gewährleistet sein, dass der Betroffene ein Datenschutzniveau genießt, das dem in der EU garantierten Niveau der Sache nach gleichwertig ist. Dabei kommt es neben den Vereinbarungen zwischen den Parteien auch auf einen etwaigen Zugriff der Behörden des Drittlands auf die übermittelten Daten sowie die maßgebliche Rechtsordnung des Landes an. Zur Beurteilung des Zugriffs von Behörden sowie zur Berteilung der Rechtsordnung verweist der EuGH auch in den Fällen des Art. 46 DSGVO auf den Prüfungsmaßstab des Art. 45 Abs. 2 DSGVO, das ist neu. Es gelten somit im Kern die gleichen Vorgaben wie beim Privacy Shield.

Der EuGH stellt klar, dass die Standardvertragsklauseln an sich eine geeignete Garantie im Sinne der DSGVO sein können. Allerdings muss – so der EuGH – der verantwortliche Datenexporteur (also Sie) prüfen, ob das Recht des Bestimmungsdrittlands zusammen mit den Standarddatenschutzklauseln nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet. Erforderlichenfalls können die Parteien zusätzlich zu den Standarddatenschutzklauseln weitere Garantien aufnehmen, um einen angemessenen Schutz zu erreichen. Faktisch muss aber auch geprüft werden, ob das Recht des Bestimmungsdrittlands dem Empfänger überhaupt erlaubt, die Standarddatenschutzklauseln einzuhalten.

In erster Linie ist der Verantwortliche für die die Prüfung zuständig, ob im geplanten Empfängerland durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Der EuGH schreibt aber auch den Aufsichtsbehörden ins Heft, dass sie Datentransfers auf Basis von Standarddatenschutzklauseln prüfen müssen und dabei beurteilen, ob eben im konkreten Fall ein Schutzniveau garantiert ist, das dem in der EU gleichwertig ist. Wenn dem nicht so ist und nicht anderweitig ein angemessener Schutz gewährleistet werden kann, dann – so der EuGH –, müssen die Aufsichtsbehörden diese Datentransfers untersagen.

Und nun?

Douglas Adams‘ Tipp gilt auch hier: don’t panic.
Diejenigen, die die Übermittlung von personenbezogenen Daten in die USA ausschließlich auf das Privacy Shield gestützt haben, sollten nach dem tief durchatmen zumindest Standarddatenschutzklauseln mit dem Empfänger abschließen. Denn ohne Privacy Shield ist die Datenübertragung ohne Rechtsgrundlage und das ist auf jeden Fall nicht rechtmäßig.

ABER: Auch die Standarddatenschutzklauseln werden nicht immer helfen und nicht jede Datenübermittlung ins Ausland rechtfertigen können. Der EuGH hat in seinen Urteilsgründen anklingen lassen, dass bei Anwendung der dargelegten Grundsätze in den USA das geforderte Schutzniveau nicht in jedem Fall gewährleistet wird. Derzeit besteht noch eine gewisse Unsicherheit, wie die Ausführungen des EuGH zu verstehen sind und die Aufsichtsbehörden ziehen hier auch unterschiedliche Schlüsse. Während etwa der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LbfDI) Rheinland-Pfalz  davon ausgeht, dass die Standarddatenschutzklauseln für die Datenübermittlung in die USA grundsätzlich verwendet werden können, geht die Berliner BfDI davon aus, dass ein Datentransfer in die USA auf Basis der Standardklauseln gar nicht mehr möglich, ergo rechtswidrig ist.

Nichts wird so heiß gegessen, wie es gekocht wird. Daher wird auch niemand fürchten muss, dass nächste Woche die zuständige Aufsichtsbehörde vor der Türe steht und alle Datenübermittlungen in die USA untersagen wird.

Klar ist aber schon, dass es Datenübermittlungen in die USA geben kann, bei denen das geforderte Schutzniveau, insbesondere das Recht auf wirksamen gerichtlichen Rechtsschutz für Nicht-US-Bürger nicht gegeben ist, etwa bei der Datenübermittlung an US-Telekommunikationsunternehmen. Hier können US-Behörden aufgrund des Foreign Surveillance Act 702 mitunter Zugriff auf personenbezogene Daten ohne richterlichen Beschluss nehmen.

Der EuGH hat klargestellt, dass auch die Verwender der Standarddatenschutzklauseln  – also Sie – prüfen müssen, ob die Standarddatenschutzklauseln ausreichen, um ein angemessenes Schutzniveau zu gewährleisten. Gegebenfalls müssen weitere Garantien vereinbart werden. Ob man hingegen als Unternehmen selbst auf die Suche gehen muss, ob der grundsätzlich auch für Nicht-Bürger des Staats gegebene Rechtsschutz im konkreten Einzelfall ausnahmsweise doch nicht ganz dem entspricht, was die EU an Schutz garantiert, darf bezweifelt werden.

Daher hat der EuGH auch den Aufsichtsbehörden ins Heft geschrieben, hier aktiv zu werden und zu prüfen, ob die auf Standarddatenschutzklauseln gestützten Datenübermittlungen im Einzelfall auch wirklich die Garantien bietet, die Art. 46 DSGVO verlangt. Der Ball liegt daher im Wesentlichen nun bei den Aufsichtsbehörden. Diese müssen sich genau ansehen, wie die Datenströme sind, welche möglichen Einschränkungen hinsichtlich der Rechtsordnung im Empfängerland je nach Daten und/oder Empfänger vorliegen und dann mitteilen, ob und wie die Übermittlung von personenbezogenen Daten in das jeweilige Land möglich ist.

Zumindest für die nächsten Wochen halte ich Abwarten und Teetrinken für ein risikoangemessens Verhalten. Die Entwicklungen werden zeigen, wo die Reise hingeht. Und wer weiß, vielleicht wird sich das ein oder andere Unternehmen überlegen, ein paar der genutzten Services zu europäischen Dienstleistern zu verlegen.

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.