{"id":54408,"date":"2020-07-21T11:57:14","date_gmt":"2020-07-21T09:57:14","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=54408"},"modified":"2020-07-21T05:48:47","modified_gmt":"2020-07-21T03:48:47","slug":"schrems-ii-urteil-eugh-erklaert-eu-us-privacy-shield-fuer-ungueltig","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/schrems-ii-urteil-eugh-erklaert-eu-us-privacy-shield-fuer-ungueltig\/","title":{"rendered":"Schrems II-Urteil: EuGH erkl\u00e4rt EU-US \u201ePrivacy Shield\u201c f\u00fcr ung\u00fcltig"},"content":{"rendered":"
\"\"
Photo by Jakob Owens on Unsplash<\/figcaption><\/figure>\n

Der Europ\u00e4ische Gerichtshof hat das EU-US \u201ePrivacy Shield\u201c f\u00fcr ung\u00fcltig erkl\u00e4rt (EuGH, Urteil vom 16.07.2020, Az. C-311\/18<\/a>). Es erm\u00f6glichte den zu kommerziellen Zwecken erfolgenden Transfer von personenbezogenen Daten<\/a> aus der EU an zertifizierte US-amerikanische Unternehmen.<\/em><\/p>\n

Zu Grunde lag dem Verfahren ein Rechtsstreit zwischen dem \u00f6sterreichischen Juristen Maximilian Schrems und der irischen Datenschutzbeh\u00f6rde \u00fcber die Behandlung deutscher Nutzerdaten auf Facebook<\/a>.<\/em><\/p>\n

Bereits den Vorg\u00e4ngerbeschluss \u201eSafe-Harbour\u201c<\/a> kippte der EuGH auf Initiative Schrems wegen mangelndem Datenschutz (Schrems I \u2013 EuGH, Urteil vom 6. Oktober 2015, Az. C\u2011362\/14<\/a>).<\/em><\/p>\n

Die Entscheidung f\u00fchrt nicht zwangsl\u00e4ufig dazu, dass personenbezogene Daten aus der EU nicht mehr in die USA gelangen d\u00fcrfen. Je nach Art der Daten ist ihre \u00dcbermittlung weiterhin auf Grundlage so genannter Standardvertragsklauseln denkbar. Diese erachtete der EuGH f\u00fcr wirksam. Auch Art. 49 DSGVO<\/a> bietet weitere M\u00f6glichkeiten zur \u00dcbertragung.
\n<\/em><\/p>\n

Hintergrund<\/h2>\n

Der \u00f6sterreichische Jurist und Datenschutzaktivist Maximilian Schrems ist seit 2008 Mitglied des sozialen Netzwerkes Facebook<\/a>. Er beanstandete gegen\u00fcber der irischen Datenschutzbeh\u00f6rde, dass Facebook Irland seine personenbezogenen Daten zum Zwecke der Verarbeitung an den Mutterkonzern Facebook Inc. in die USA \u00fcbermittelt. Seine Daten seien dort nicht ausreichend vor dem Zugriff der amerikanischen Sicherheitsbeh\u00f6rden NSA und FBI gesch\u00fctzt. Zudem st\u00fcnden Betroffenen kein ausreichender Rechtsschutz zu, um sich gegen die \u00dcberwachungsma\u00dfnahmen zu wehren.<\/p>\n

Von \u201eSafe-Harbor\u201c zum \u201ePrivacy Shield\u201c<\/h2>\n

Nach der Datenschutzgrundverordnung<\/a> (DSGVO) d\u00fcrfen personenbezogene Daten nur dann in ein Land au\u00dferhalb der EU transferiert werden, wenn dort ein angemessenes Schutzniveau besteht, Art.\u00a0 44 DSGVO<\/a>. Ob dies der Fall ist, kann die Europ\u00e4ische Kommission durch einen Angemessenheitsbeschluss feststellen, Art. 45 DSGVO<\/a>. Mit seiner so genannten \u201eSafe-Harbour-Entscheidung\u201c (2000\/520\/EG) erkl\u00e4rte die Europ\u00e4ische Kommission das Datenschutzniveau in den USA f\u00fcr angemessen. Der EuGH erkl\u00e4rte den Angemessenheitsbeschluss auf Initiative Schrems f\u00fcr unwirksam. Die Enth\u00fcllungen durch den Whistleblower<\/a> Edward Snowden spielten eine wichtige Rolle.<\/p>\n

Das EU-US \u201ePrivacy Shield\u201c ist das Nachfolgemodell von \u201eSafe-Harbour\u201c. US-amerikanische Unternehmen, die personenbezogene Daten von EU-B\u00fcrgern verarbeiten, k\u00f6nnen sich in eine Liste des US-Handelsministeriums eintragen lassen. Sie k\u00f6nnen dadurch selbst zertifizieren, dass Sie sich dazu verpflichten, bestimmte datenschutzrechtliche Vorschriften einzuhalten. Betroffene EU-B\u00fcrger erhalten gegen\u00fcber diesen eingetragenen Unternehmen gewisse Rechte. Die Europ\u00e4ischen Kommission sah darin eine ausreichende Grundlage f\u00fcr die \u00dcbermittlung von personenbezogenen Daten in die USA. Mit Beschluss vom 12. Juli 2016 (2016\/1250) stellte sie erneut die Angemessenheit des Datenschutzniveaus in den USA fest.<\/p>\n

Weshalb ist das EU-US \u201ePrivacy Shield\u201c unwirksam?<\/h2>\n

Der EuGH schloss sich der Argumentation des Datensch\u00fctzers Schrems an. Die \u00dcberwachungsprogramme der US-Nachrichtendienste seien nicht auf das nach dem Grundsatz der Verh\u00e4ltnism\u00e4\u00dfigkeit \u201ezwingend erforderliche Ma\u00df\u201c beschr\u00e4nkt.<\/p>\n

Der im Beschluss 2016\/1250 vorgesehene Ombudsmechanismus bietet nach Ansicht des EuGH f\u00fcr Betroffene keinen ausreichenden Rechtsschutz. Die Ombudsperson sei nicht unabh\u00e4ngig und k\u00f6nne auch keine verbindlichen Entscheidungen gegen die amerikanischen Nachrichtendienste erlassen. Der Beschluss 2016\/1250 sei daher auch wegen Versto\u00dfes gegen Art. 47 EU-Grundrechtecharta<\/a> ung\u00fcltig.<\/p>\n

Standardvertragsklauseln bleiben g\u00fcltig<\/h2>\n

Standardvertragsklauseln bleiben nach Ansicht des EuGH g\u00fcltig. Dabei handelt es sich um von der Europ\u00e4ischen Kommission kreierte Vertr\u00e4ge<\/a>. In diesen verpflichten sich die unterzeichnenden Unternehmen zur Einhaltung eines bestimmten Datenschutzstandards bei Daten\u00fcbertragungen. Auch Facebook nutzte im zu Grunde liegenden Verfahren eine Standardvertragsklausel.<\/p>\n

Dem EuGH gen\u00fcgte f\u00fcr die Wirksamkeit, dass der Datenexporteur und der Empf\u00e4nger vor der \u00dcbermittlung pr\u00fcfen m\u00fcssten, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werde und dass der Transfer gegebenenfalls ausgesetzt werden m\u00fcsse.<\/p>\n

Daten\u00fcbertragung aber problematisch<\/h2>\n

Die Anwendung der Standardvertragsklauseln hilft jedoch nicht \u00fcber das Problem hinweg, dass die US-Regierung in vielen F\u00e4llen der Datenverarbeitung weitgehende Eingriffsrechte hat. Die Daten sind also nicht nach unserem europ\u00e4ischen Standard gesch\u00fctzt.<\/p>\n

Speicherung der Daten in der EU?<\/h2>\n

Als Alternative k\u00f6nnte die Speicherung der Daten in der EU sowie eine engere Abstimmung mit den europ\u00e4ischen Beh\u00f6rden in Betracht kommen. Ulrich Kelber, der deutsche Bundesdatenschutzbeauftragte, k\u00fcndigte an, sich mit seinen europ\u00e4ischen Kollegen zusammenzusetzen, um nach L\u00f6sungen zu suchen, die den hohen Anforderungen des EuGH-Urteils gerecht werden.<\/p>\n

Auch hier ist jedoch zu hinterfragen, wie die Eingriffsrechte der US-Regierung gehandhabt werden. Beziehen sich diese Rechte nur auf in den USA belegenen Daten oder auch auf Daten die sich in Europa befinden. Hier gibt es weiterhin erhebliche Rechtsunsicherheiten.<\/p>\n

Reaktionen<\/h2>\n

Schrems zeigte sich \u00fcber das Urteil des EuGH erfreut. Wie die EU-Kommission und USA reagieren werden, bleibt abzuwarten. Dass die USA ihre \u00dcberwachungen zur\u00fcckfahren wird, ist angesichts der bevorstehenden Pr\u00e4sidentschaftswahl im November nicht zu erwarten.<\/p>\n","protected":false},"excerpt":{"rendered":"

Der Europ\u00e4ische Gerichtshof hat das EU-US \u201ePrivacy Shield\u201c f\u00fcr ung\u00fcltig erkl\u00e4rt (EuGH, Urteil vom 16.07.2020, Az. C-311\/18). Es erm\u00f6glichte den zu kommerziellen Zwecken erfolgenden Transfer von personenbezogenen Daten aus der EU an zertifizierte US-amerikanische Unternehmen. Zu Grunde lag dem Verfahren ein Rechtsstreit zwischen dem \u00f6sterreichischen Juristen Maximilian Schrems und der irischen Datenschutzbeh\u00f6rde \u00fcber die Behandlung […]<\/p>\n","protected":false},"author":75,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[1229,8],"tags":[173,18701],"class_list":["post-54408","post","type-post","status-publish","format-standard","hentry","category-social-media-recht","category-datenschutzrecht","tag-eugh","tag-vorabentscheidungsverfahren","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/54408","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/75"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=54408"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/54408\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=54408"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=54408"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=54408"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}