Die Übermittlung personenbezogener Daten in die USA erfolgt regelmäßig auf Grundlage des EU-US Privacy Shield oder der sogenannten Standardvertragsklauseln. Beide Rechtsgrundlagen wurden vom Europäischen Gerichtshof beurteilt, mit dem Ergebnis, dass die Datenübermittlung in die USA künftig schwer werden dürfte.
Hintergrund war ein vom Österreicher Max Schrems geführter Streit mit Facebook. Herr Schrems wollte eine Übermittlung von Facebook Irland an Facebook Inc. in den USA verhindern und legte dazu eine Beschwerde bei der irischen Aufsichtsbehörde ein.
Dieses Verfahren führte zum Urteil des EUGH aus dem Oktober 2015, mit dem das „Safe-Harbor“ Abkommen für ungültig erklärt wurde.
Als Nachfolger von „Safe-Harbor“ wurde dann der EU-US Privacy Shield aus der Taufe gehoben, der unter anderem die Position der Betroffenen durch einen Ombudsmann verbessern wollte.
Nun musste sich der EUGH abermals mit dem Fall beschäftigen. Diesmal ging es um die Frage der Zulässigkeit der Datenübermittlung aufgrund des Privacy Shields und der Standardvertragsklauseln.
Entscheidung des EUGH zum Privacy Shield
Der EUGH erklärte mit Urteil vom 16.07.2020 – Az. C-311/18 den Privacy Shield für ungültig.
Grund sei, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf personenbezogene Daten, die aus der EU in die USA übermittelt werden, zugreifen und sie verwenden dürfen, ohne das dabei vergleichbare Anforderungen zu erfüllen wären wie in der EU. Auf amerikanische Rechtsvorschriften gestützte Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt. Die betreffenden Vorschriften bestimmter Überwachungsprogramme ließen in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestünden. Auch sei nicht ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, irgendwelche Garantien existieren. Zwar seien Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten seien, aber diese könnten von den Betroffenen gegenüber den amerikanischen Behörden gerichtlich nicht durchgesetzt werden. Der mit dem Privacy-Shield-Beschluss 2016/1250 eingeführte Ombudsmann sei nicht ausreichend um entsprechenden Rechtsschutz zu gewährleisten.
EUGH zu Standardvertragsklauseln
In Bezug auf die Standardvertragsklauseln bestätigt der EUGH deren Gültigkeit, so dass diese grundsätzlich als Grundlage für eine Übermittlung personenbezogener Daten in Drittländer verwendet werden können.
Allerdings seien im Rahmen einer solchen Übermittlung in ein Drittland die Betroffenen ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus seien sowohl die vertraglichen Regelungen zwischen den jeweiligen Parteien zu berücksichtigen als auch die maßgeblichen Aspekte der Rechtsordnung dieses Landes, insbesondere in Bezug auf einen etwaigen Zugriff der Behörden des Drittlands.
Die Aufsichtsbehörden seien, sofern kein gültiger Angemessenheitsbeschluss der EU-Kommission vorliegt, verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie davon ausgehen, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können.
Der Datenexporteur und der Empfänger der übermittelten Daten müssten vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. Der Empfänger der übermittelten Daten müsse ggfs. mitteilen, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten müsse.
Fazit
Eine datenschutzkonforme Übermittlung personenbezogener Daten scheint nach dem heutigen Urteil des EUGH kaum mehr möglich. Der Privacy- Shield fällt wie erwartet als Rechtsgrundlage weg. Aber auch die Standardvertragsklauseln dürften im Hinblick auf die Ausführungen des EUGH zu den USA keine ausreichende Grundlage mehr sein, da der EUGH im Grunde festgestellt hat, dass die Standardvertragsklauseln in den USA nicht eingehalten werden können. Es bleibt zwar abzuwarten, wie sich die Aufsichtsbehörden hierzu positionieren. Das die Aufsichtsbehörden hier möglicherweise streng vorgehen werden, lässt die heutige Pressemitteilung des Hamburgischen Beauftragte für den Datenschutz und Informationsfreiheit erahnen.
Im Übrigen wird auch den Unternehmen mal wieder der schwarze Peter zugespielt, da sie vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. Für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, besteht jedenfalls akuter Handlungsbedarf sich auf die neue Situation einzustellen, insbesondere wenn die aktuelle Übertragung nur auf Grundlage des Privacy Shields erfolgte.
Artikel als PDF speichern