Schrems II-Urteil: EuGH erklärt EU-US „Privacy Shield“ für ungültig

Photo by Jakob Owens on Unsplash

Der Europäische Gerichtshof hat das EU-US „Privacy Shield“ für ungültig erklärt (EuGH, Urteil vom 16.07.2020, Az. C-311/18). Es ermöglichte den zu kommerziellen Zwecken erfolgenden Transfer von personenbezogenen Daten aus der EU an zertifizierte US-amerikanische Unternehmen.

Zu Grunde lag dem Verfahren ein Rechtsstreit zwischen dem österreichischen Juristen Maximilian Schrems und der irischen Datenschutzbehörde über die Behandlung deutscher Nutzerdaten auf Facebook.

Bereits den Vorgängerbeschluss „Safe-Harbour“ kippte der EuGH auf Initiative Schrems wegen mangelndem Datenschutz (Schrems I – EuGH, Urteil vom 6. Oktober 2015, Az. C‑362/14).

Die Entscheidung führt nicht zwangsläufig dazu, dass personenbezogene Daten aus der EU nicht mehr in die USA gelangen dürfen. Je nach Art der Daten ist ihre Übermittlung weiterhin auf Grundlage so genannter Standardvertragsklauseln denkbar. Diese erachtete der EuGH für wirksam. Auch Art. 49 DSGVO bietet weitere Möglichkeiten zur Übertragung.

Hintergrund

Der österreichische Jurist und Datenschutzaktivist Maximilian Schrems ist seit 2008 Mitglied des sozialen Netzwerkes Facebook. Er beanstandete gegenüber der irischen Datenschutzbehörde, dass Facebook Irland seine personenbezogenen Daten zum Zwecke der Verarbeitung an den Mutterkonzern Facebook Inc. in die USA übermittelt. Seine Daten seien dort nicht ausreichend vor dem Zugriff der amerikanischen Sicherheitsbehörden NSA und FBI geschützt. Zudem stünden Betroffenen kein ausreichender Rechtsschutz zu, um sich gegen die Überwachungsmaßnahmen zu wehren.

Von „Safe-Harbor“ zum „Privacy Shield“

Nach der Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur dann in ein Land außerhalb der EU transferiert werden, wenn dort ein angemessenes Schutzniveau besteht, Art.  44 DSGVO. Ob dies der Fall ist, kann die Europäische Kommission durch einen Angemessenheitsbeschluss feststellen, Art. 45 DSGVO. Mit seiner so genannten „Safe-Harbour-Entscheidung“ (2000/520/EG) erklärte die Europäische Kommission das Datenschutzniveau in den USA für angemessen. Der EuGH erklärte den Angemessenheitsbeschluss auf Initiative Schrems für unwirksam. Die Enthüllungen durch den Whistleblower Edward Snowden spielten eine wichtige Rolle.

Das EU-US „Privacy Shield“ ist das Nachfolgemodell von „Safe-Harbour“. US-amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, können sich in eine Liste des US-Handelsministeriums eintragen lassen. Sie können dadurch selbst zertifizieren, dass Sie sich dazu verpflichten, bestimmte datenschutzrechtliche Vorschriften einzuhalten. Betroffene EU-Bürger erhalten gegenüber diesen eingetragenen Unternehmen gewisse Rechte. Die Europäischen Kommission sah darin eine ausreichende Grundlage für die Übermittlung von personenbezogenen Daten in die USA. Mit Beschluss vom 12. Juli 2016 (2016/1250) stellte sie erneut die Angemessenheit des Datenschutzniveaus in den USA fest.

Weshalb ist das EU-US „Privacy Shield“ unwirksam?

Der EuGH schloss sich der Argumentation des Datenschützers Schrems an. Die Überwachungsprogramme der US-Nachrichtendienste seien nicht auf das nach dem Grundsatz der Verhältnismäßigkeit „zwingend erforderliche Maß“ beschränkt.

Der im Beschluss 2016/1250 vorgesehene Ombudsmechanismus bietet nach Ansicht des EuGH für Betroffene keinen ausreichenden Rechtsschutz. Die Ombudsperson sei nicht unabhängig und könne auch keine verbindlichen Entscheidungen gegen die amerikanischen Nachrichtendienste erlassen. Der Beschluss 2016/1250 sei daher auch wegen Verstoßes gegen Art. 47 EU-Grundrechtecharta ungültig.

Standardvertragsklauseln bleiben gültig

Standardvertragsklauseln bleiben nach Ansicht des EuGH gültig. Dabei handelt es sich um von der Europäischen Kommission kreierte Verträge. In diesen verpflichten sich die unterzeichnenden Unternehmen zur Einhaltung eines bestimmten Datenschutzstandards bei Datenübertragungen. Auch Facebook nutzte im zu Grunde liegenden Verfahren eine Standardvertragsklausel.

Dem EuGH genügte für die Wirksamkeit, dass der Datenexporteur und der Empfänger vor der Übermittlung prüfen müssten, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werde und dass der Transfer gegebenenfalls ausgesetzt werden müsse.

Datenübertragung aber problematisch

Die Anwendung der Standardvertragsklauseln hilft jedoch nicht über das Problem hinweg, dass die US-Regierung in vielen Fällen der Datenverarbeitung weitgehende Eingriffsrechte hat. Die Daten sind also nicht nach unserem europäischen Standard geschützt.

Speicherung der Daten in der EU?

Als Alternative könnte die Speicherung der Daten in der EU sowie eine engere Abstimmung mit den europäischen Behörden in Betracht kommen. Ulrich Kelber, der deutsche Bundesdatenschutzbeauftragte, kündigte an, sich mit seinen europäischen Kollegen zusammenzusetzen, um nach Lösungen zu suchen, die den hohen Anforderungen des EuGH-Urteils gerecht werden.

Auch hier ist jedoch zu hinterfragen, wie die Eingriffsrechte der US-Regierung gehandhabt werden. Beziehen sich diese Rechte nur auf in den USA belegenen Daten oder auch auf Daten die sich in Europa befinden. Hier gibt es weiterhin erhebliche Rechtsunsicherheiten.

Reaktionen

Schrems zeigte sich über das Urteil des EuGH erfreut. Wie die EU-Kommission und USA reagieren werden, bleibt abzuwarten. Dass die USA ihre Überwachungen zurückfahren wird, ist angesichts der bevorstehenden Präsidentschaftswahl im November nicht zu erwarten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ihr Kommentar erscheint erst nach einer automatischen Spam-Prüfung anhand Ihrer E-Mail-Adresse sowie einer weiteren manuellen Überprüfung durch unseren Administrator. Bitte beachten Sie unsere Datenschutzerklärung.

* Pflichtfelder

2 Replies to “Schrems II-Urteil: EuGH erklärt EU-US „Privacy Shield“ für ungültig”

  1. Danke für den guten Artikel.
    Ich bin mir unsicher, in welchem Rahmen diese Entscheidung für viele Websitebetreiber relevant wird. Wenn es nach der DSGVO sowieso notwendig ist, die IP-Adressen der Nutzer durch anonymizeip zu anonymisieren, dann gelten die gekürzten IP-Adressen doch nicht als personenbezogene Daten, sehe ich das richtig? Und da dann das Datenschutzrecht keine Anwendung findet, sollte das Problem mit der Übertragung von personenbezogenen Daten doch eigentlich vom Tisch sein? Oder übersehe ich hier etwas wesentliches?
    Vielen Dank!

    1. Vielen Dank für den Kommentar!
      Wenn tatsächlich keine personenbezogenen Daten übertragen werden haben wir auch kein Problem. Leider werden jedoch neben der IP-Adresse häufig zahlreiche weiteren personenbeziehbaren Daten übertragen, so dass das Urteil in vielen Bereichen weitereichende Folgen haben wird.

Ansprechpartner
Newsletter

Sie benötigen weitere Informationen oder möchten mehr über unsere Rechtsgebiete erfahren?

Kontaktieren Sie uns