Top-Wirtschaftskanzlei

Mehrfach ausgezeichnet.

Focus Markenrecht
Kontakt aufnehmen
en

Schrems II-Urteil: EuGH erklärt EU-US „Privacy Shield“ für ungültig

21.07.2020
Ihr Ansprechpartner
Photo by Jakob Owens on Unsplash

Der Europäische Gerichtshof hat das EU-US „Privacy Shield“ für ungültig erklärt (EuGH, Urteil vom 16.07.2020, Az. C-311/18). Es ermöglichte den zu kommerziellen Zwecken erfolgenden Transfer von personenbezogenen Daten aus der EU an zertifizierte US-amerikanische Unternehmen.

Zu Grunde lag dem Verfahren ein Rechtsstreit zwischen dem österreichischen Juristen Maximilian Schrems und der irischen Datenschutzbehörde über die Behandlung deutscher Nutzerdaten auf Facebook.

Bereits den Vorgängerbeschluss „Safe-Harbour“ kippte der EuGH auf Initiative Schrems wegen mangelndem Datenschutz (Schrems I – EuGH, Urteil vom 6. Oktober 2015, Az. C‑362/14).

Die Entscheidung führt nicht zwangsläufig dazu, dass personenbezogene Daten aus der EU nicht mehr in die USA gelangen dürfen. Je nach Art der Daten ist ihre Übermittlung weiterhin auf Grundlage so genannter Standardvertragsklauseln denkbar. Diese erachtete der EuGH für wirksam. Auch Art. 49 DSGVO bietet weitere Möglichkeiten zur Übertragung.

Hintergrund

Der österreichische Jurist und Datenschutzaktivist Maximilian Schrems ist seit 2008 Mitglied des sozialen Netzwerkes Facebook. Er beanstandete gegenüber der irischen Datenschutzbehörde, dass Facebook Irland seine personenbezogenen Daten zum Zwecke der Verarbeitung an den Mutterkonzern Facebook Inc. in die USA übermittelt. Seine Daten seien dort nicht ausreichend vor dem Zugriff der amerikanischen Sicherheitsbehörden NSA und FBI geschützt. Zudem stünden Betroffenen kein ausreichender Rechtsschutz zu, um sich gegen die Überwachungsmaßnahmen zu wehren.

Von „Safe-Harbor“ zum „Privacy Shield“

Nach der Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur dann in ein Land außerhalb der EU transferiert werden, wenn dort ein angemessenes Schutzniveau besteht, Art.  44 DSGVO. Ob dies der Fall ist, kann die Europäische Kommission durch einen Angemessenheitsbeschluss feststellen, Art. 45 DSGVO. Mit seiner so genannten „Safe-Harbour-Entscheidung“ (2000/520/EG) erklärte die Europäische Kommission das Datenschutzniveau in den USA für angemessen. Der EuGH erklärte den Angemessenheitsbeschluss auf Initiative Schrems für unwirksam. Die Enthüllungen durch den Whistleblower Edward Snowden spielten eine wichtige Rolle.

Das EU-US „Privacy Shield“ ist das Nachfolgemodell von „Safe-Harbour“. US-amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, können sich in eine Liste des US-Handelsministeriums eintragen lassen. Sie können dadurch selbst zertifizieren, dass Sie sich dazu verpflichten, bestimmte datenschutzrechtliche Vorschriften einzuhalten. Betroffene EU-Bürger erhalten gegenüber diesen eingetragenen Unternehmen gewisse Rechte. Die Europäischen Kommission sah darin eine ausreichende Grundlage für die Übermittlung von personenbezogenen Daten in die USA. Mit Beschluss vom 12. Juli 2016 (2016/1250) stellte sie erneut die Angemessenheit des Datenschutzniveaus in den USA fest.

Weshalb ist das EU-US „Privacy Shield“ unwirksam?

Der EuGH schloss sich der Argumentation des Datenschützers Schrems an. Die Überwachungsprogramme der US-Nachrichtendienste seien nicht auf das nach dem Grundsatz der Verhältnismäßigkeit „zwingend erforderliche Maß“ beschränkt.

Der im Beschluss 2016/1250 vorgesehene Ombudsmechanismus bietet nach Ansicht des EuGH für Betroffene keinen ausreichenden Rechtsschutz. Die Ombudsperson sei nicht unabhängig und könne auch keine verbindlichen Entscheidungen gegen die amerikanischen Nachrichtendienste erlassen. Der Beschluss 2016/1250 sei daher auch wegen Verstoßes gegen Art. 47 EU-Grundrechtecharta ungültig.

Standardvertragsklauseln bleiben gültig

Standardvertragsklauseln bleiben nach Ansicht des EuGH gültig. Dabei handelt es sich um von der Europäischen Kommission kreierte Verträge. In diesen verpflichten sich die unterzeichnenden Unternehmen zur Einhaltung eines bestimmten Datenschutzstandards bei Datenübertragungen. Auch Facebook nutzte im zu Grunde liegenden Verfahren eine Standardvertragsklausel.

Dem EuGH genügte für die Wirksamkeit, dass der Datenexporteur und der Empfänger vor der Übermittlung prüfen müssten, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werde und dass der Transfer gegebenenfalls ausgesetzt werden müsse.

Datenübertragung aber problematisch

Die Anwendung der Standardvertragsklauseln hilft jedoch nicht über das Problem hinweg, dass die US-Regierung in vielen Fällen der Datenverarbeitung weitgehende Eingriffsrechte hat. Die Daten sind also nicht nach unserem europäischen Standard geschützt.

Speicherung der Daten in der EU?

Als Alternative könnte die Speicherung der Daten in der EU sowie eine engere Abstimmung mit den europäischen Behörden in Betracht kommen. Ulrich Kelber, der deutsche Bundesdatenschutzbeauftragte, kündigte an, sich mit seinen europäischen Kollegen zusammenzusetzen, um nach Lösungen zu suchen, die den hohen Anforderungen des EuGH-Urteils gerecht werden.

Auch hier ist jedoch zu hinterfragen, wie die Eingriffsrechte der US-Regierung gehandhabt werden. Beziehen sich diese Rechte nur auf in den USA belegenen Daten oder auch auf Daten die sich in Europa befinden. Hier gibt es weiterhin erhebliche Rechtsunsicherheiten.

Reaktionen

Schrems zeigte sich über das Urteil des EuGH erfreut. Wie die EU-Kommission und USA reagieren werden, bleibt abzuwarten. Dass die USA ihre Überwachungen zurückfahren wird, ist angesichts der bevorstehenden Präsidentschaftswahl im November nicht zu erwarten.

Ähnliche Artikel

OLG Köln: Ein Antrag auf
22.04.2024

OLG Köln: Ein Antrag auf „vollständige Datenauskunft“ ist hinreichend bestimmt

DSGVO-Auskunft per unverschlüsselter Mail ist Datenschutzverstoß
16.04.2024

DSGVO-Auskunft per unverschlüsselter Mail ist Datenschutzverstoß

Kununu muss keine Klarnamen nennen, aber dafür dann Bewertung löschen
15.04.2024

Kununu muss keine Klarnamen nennen, aber dafür dann Bewertung löschen

BVerfG: Kein Erlass einer einstweiligen Anordnung – Gegendarstellungsanspruch hat Vorrang
03.04.2024

BVerfG: Kein Erlass einer einstweiligen Anordnung – Gegendarstellungsanspruch hat Vorrang

Italienische Datenschutzaufsicht: ChatGPT verstößt gegen DSGVO
05.03.2024

Italienische Datenschutzaufsicht: ChatGPT verstößt gegen DSGVO

OLG Dresden: 1.500 Euro DSGVO-Schadenersatz für falschen Schufa-Eintrag
31.01.2024

OLG Dresden: 1.500 Euro DSGVO-Schadenersatz für falschen Schufa-Eintrag

OLG Köln: DSGVO-Schadenersatz für die Namensnennung in Werbeprospekt
30.01.2024

OLG Köln: DSGVO-Schadenersatz für die Namensnennung in Werbeprospekt

EuGH-Urteil zum SCHUFA-Score: Was Schuldner jetzt tun können!
14.12.2023

EuGH-Urteil zum SCHUFA-Score: Was Schuldner jetzt tun können!

EuGH: Recht auf kostenlose Erstkopie der Patientenakte
13.11.2023

EuGH: Recht auf kostenlose Erstkopie der Patientenakte

Ähnliche Themen

Datenschutz-Grundverordnung (DSGVO)

IT-Recht

Aktivlegitimation von Verbänden nach UWG bzw. UKlaG

Künstliche Intelligenz und Datenschutz

Kosten der Rechtsverfolgung

Google Fonts-Abmahnungen abwehren

Datenschutzrecht

Vertragsstrafe

Grundrecht

Alle Themen von A-Z

Ähnliche Themen

Datenschutz-Grundverordnung (DSGVO)

IT-Recht

Aktivlegitimation von Verbänden nach UWG bzw. UKlaG

Künstliche Intelligenz und Datenschutz

Kosten der Rechtsverfolgung

Cannabis Social Club gründen: Welche Anforderungen gelten?

E-Mail-Marketing

Zustimmung

Unterlassungserklärung

Alle Themen von A-Z

Mehrfach ausgezeichnet.

Focus Markenrecht

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht

2., vollständig überarbeitete und aktualisierte Auflage

Chronologisch aufgebaut, differenzierte Gliederung, zahlreiche Querverweise und, ganz neu: Umfangreiche Praxishinweise zu jeder Prozesssituation.

Mehr erfahren

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht

Kontaktieren Sie uns!

Zum Kontaktformular
Per E-Mail oder 0221 / 2716733-0