Skip to content

Nächste Runde im Duell von Datenschutzaktivist und Jurist Max Schrems gegen Facebook aufgrund der Datenübermittlung aus der EU in die USA.

EuGH: Transatlantisches EU-US Privacy Shield ist nichtig

Einleitung

Seit einigen Jahren kritisiert der österreichische Datenschutzaktivist und Jurist Max Schrems die Datenübermittlung von Facebook aus der EU in die USA. Nach seiner Ansicht werde bei den Datentransfers den europäischen Datenschutzvorschriften der Datenschutz-Grundverordnung (DS-GVO) nicht gerecht. Schrems hatte zuletzt bei der irischen Datenschutzbehörde Beschwerde gegen Facebook eingelegt. Die Beschwerde richtet sich gegen die Weiterleitung der Daten von Facebook in Irland an ihren Mutterkonzern in den Vereinigten Staaten. Schrems begründet seine Beschwerde damit, dass kein angemessenes Datenschutzniveau in den USA gewährleistet sei, da Facebook dort dazu verpflichtet sei, seinen Behörden wie NSA oder FBI Zugang zu den aus der EU übermittelten Daten zu gewähren, ohne dass die Betroffenen dagegen vorgehen könnten. Nach Ansicht des österreichischen Datenschutzaktivisten sei ein angemessener Datenschutz auch nicht durch den EU-US Privacy Shield (im Folgenden: Privacy Shield) oder die Standardvertragsklauseln gewahrt. Schrems möchte mit seiner Beschwerde erreichen, dass seine personenbezogenen Daten von Facebook nicht mehr in die Vereinigten Staaten übermittelt werden. Facebook ist hingegen der Ansicht, dass die Datenübermittlung rechtmäßig erfolge und das europäische Datenschutzrecht ferner nicht anzuwenden sei, wenn die personenbezogenen Daten zum Zwecke der nationalen Sicherheit verarbeitet werden.

Der irische High Court hat nun den Europäischen Gerichtshof (EuGH) angerufen, um zu klären, ob der Privacy Shield und die Standardvertragsklauseln mit dem europäischen Datenschutzrecht vereinbar sind.

Datentransfer in ein Drittland nach DS-GVO 

Eine Datenübermittlung aus der EU in Drittländer erfolgt gem. Art. 44 ff. DS-GVO. Ein Datentransfer in ein Drittland ist stets zulässig, wenn die Europäische Kommission einen Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO erlässt, welcher besagt, dass das jeweilige Drittland über ein angemessenes, mit dem Unionsrecht vergleichbares Datenschutzniveau verfügt. Bisher wurden transatlantische Datenübermittlungen häufig mit dem Privacy Shield gerechtfertigt. Der Privacy Shield ist eine Absprache zwischen der US-Regierung und der EU-Kommission, welches die Gewährleistung eines angemessenes Schutzniveaus für personenbezogene Daten, welche aus der EU übermittelt wurden, vorsieht.

Zudem können Standardvertragsklauseln der EU-Kommission eine Rechtsgrundlage für den Datentransfer in die Vereinigten Staaten darstellen. Bisher bedienten sich etliche US-Konzerne den Standardvertragsklauseln, sofern Daten aus der EU in die USA weitergeleitet wurden. 

Entscheidung des EuGH

In seinem neusten Urteil (16.07.2020, Az.: C-311/18) stellt der EuGH auf Anfrage eines irischen Gerichts zunächst klar, dass das EU-Recht, vor allem die DS-GVO generell dann Anwendung finde, wenn eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken erfolge. Dies gelte auch in Fällen, in denen die jeweiligen Daten direkt oder im Anschluss von Behörden des Drittlandes verarbeitet werden könnten. Eine Datenverarbeitung durch Behörden in einem Drittland könne nicht dazu führen, dass die Datenübermittlung nicht den Anforderungen der DS-GVO unterliegen müsse.

Des Weiteren entschied der EuGH, dass der Privacy Shield den europäischen Datenschutzvorschriften nicht gerecht werde. Dies sei darauf zurückzuführen, dass die Überwachungsgesetze in den Vereinigten Staaten zu umfangreich seien, sodass ein angemessener Schutz der personenbezogenen Daten von EU-Bürgern auch durch den Privacy Shield nicht gewährleistet sei. Darüber hinaus kritisierte der EuGH, dass keine ausreichenden Betroffenenrechte zur Verfügung stünden, um gegen den Datentransfer bzw. den Zugriff der US-amerikanischen Behörden auf die europäischen Daten, gerichtlich vorzugehen. Der EuGH erklärte den Privacy Shield mithin für nichtig.

Die Verwendung von Standardvertragsklauseln beanstandeten die Luxemburger Richter dagegen nicht. Es sei keine Kollision mit der europäischen Grundrechts-Charta (GRCh) ersichtlich. Der Beschluss der EU-Kommission zu Standardvertragsklauseln (Beschluss 2010/87) sehe die benötigten Maßnahmen vor, um in der Praxis gewährleisten zu können, dass das von der EU verlangte Datenschutzniveau eingehalten werde und dass bei einem Verstoß gegen die Klauseln eine Verarbeitung und Übermittlung ausgesetzt oder verboten werde. 

Fazit

Nachdem der EuGH bereits den Vorgänger des Privacy Shields, das Safe Harbor Abkommen, welches Schrems ebenfalls beanstandet hatte, im Jahr 2015 für ungültig erklärt hatte (Urt. v. 06.10.2015, Az.: C-362/14), teilt der Privacy Shield nun dasselbe Schicksal. Grund seien die ausgiebigen US-amerikanischen Überwachungsgesetze, welche die US-Behörden zur Überwachung „ausländischer Kommunikation“ weitläufig befugen. Zudem seien die Betroffenenrechte der EU-Bürger unzureichend. Alles in allem sei kein angemessenes Datenschutzniveau in den USA gegeben, so die Luxemburger Richter. Die Standardvertragsklauseln seien nicht zu beanstanden, sofern sie in dem jeweiligen Drittland auch eingehalten würden.

Folge des Urteils ist, dass viele Datenübermittlungen, welche sich auf den Privacy Shield als Rechtsgrundlage gestützt hatten, nun nicht mehr rechtmäßig sind. Dies könnte starke Auswirkungen auf Unternehmen haben, die auf den Bestand des Privacy Shields vertraut haben.

Darüber hinaus wird empfohlen, dass in der EU ansässige Unternehmen ihre Datenübermittlungen und Datenverarbeitungsabkommen betreffend Datenübermittlungen in die USA gründlich überprüfen sollten. Wenn die transatlantischen Datentransfers durch den “Privacy Shield” gerechtfertigt sind, ist unverzüglich zu Standardvertragsklauseln überzugehen, um einen angemessenen Datenschutz zu gewährleisten. Findet diese Umstellung nicht statt, drohen hohe Geldstrafen (Art. 83 GDPR). 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!