Mit dem am Donnerstag den 16.07.2020 ergangen Urteil („Schrems-II“)[1] hat der EuGH das gerademal vier Jahre alte EU-US „Privacy Shield“ Abkommen zwischen der Europäischen Union und den Vereinigten Staaten gekippt. Allerdings stellten die Richter in Luxemburg ebenfalls fest, dass weiterhin die Standardvertragsklauseln (SCC) zur Übermittlung von personenbezogenen Daten in Nicht-EU-Staaten genutzt werden dürfen.
Hintergrund des Verfahrens
Das „Privacy Shield“-Abkommen wurzelt in dem, ebenfalls vom österreichischen Datenschutzaktivisten Max Schrems initiierten Verfahren, „Schrems I“.[2] Das damalige „Safe Harbour“ – Abkommen zwischen der EU und der USA wurde vom EuGH im Oktober 2015 aufgehoben. Schrems rügte in der Safe-Harbour-Entscheidung, dass das Recht der Vereinigten Staaten und die Praxis keinen ausreichenden Schutz vor den Überwachungsmöglichkeiten von US-Behörden biete.[3]
Im Jahr 2016 trat dann das „Privacy Shield“ als Nachfolgemodell in Kraft, wobei dieses auf einem Angemessenheitsbeschluss gem. Art 45 DSGVO der EU-Kommission beruhte. Dies ermöglichte einen Datenaustausch, welcher nach europäischen Datenschutzrecht konform war.[4]
Allerdings stellte Schrems auch die Rechtmäßigkeit des „Privacy Shields“ in Frage.[5] So bezeichnetet der österreichische Datenschutzaktivist das Abkommen als „Schwein mit zehn Lagen Lippenstift“.[6] Infolgedessen erhob Schrems gegen das neue Abkommen Klage vor dem Irish High Court. Dieser legte wiederum am 09.05.2018 dem EuGH die Fragen zur Vorabentscheidung vor, ob Datenübermittlungen im Rahmen der Standardvertragsklauseln und des „Privacy Shields“ gegen die Charta der Grundrechte der Europäischen Union verstoßen.[7]
Die Entscheidung des EuGH
Der Europäische Gerichtshof urteilte nun, dass auch der Beschluss der EU-Kommission zum „Privacy Shield“ unwirksam ist, sogenannte Standardvertragsklauseln (SCC) hingegen weiterhin wirksam sind. An diese müssen jedoch hohe Anforderung gestellt werden.
EU-US-„Privacy Shield“
Der EuGH hatte die Datenschützer in ihrer Kritik bestätigt. Bereits im Safe-Harbour-Urteil prüfte der EuGH, dass bei der Übermittlung von Daten an Drittländer ein Schutz gewährleistet sein muss, welcher dem gleichgesetzt ist, der innerhalb der EU durch die DSGVO im Lichte der Grundrechtecharta (insbesondere in Bezug auf die Achtung des Privat- und Familienlebens, den Schutz von personenbezogenen Daten und das Recht auf effektiven Rechtsschutz) verbürgt wird.[8] In diesem Falle stellten die Richter fest, dass den Erfordernissen der nationalen Sicherheit und des US-amerikanischem Recht Vorrang eingeräumt wird.[9]
Dabei kommt der EuGH bezüglich des „Privacy Shield“ zu dem Ergebnis, dass sich der unzureichende Schutz daraus ergibt, dass amerikanische Behörden auf personenbezogene Daten aus der EU zugreifen dürfen. Die US-Behörden müssen zwar bestimmte Anforderungen beachten, allerdings ist der Zugriff nicht auf das zwingende erforderliche Maß beschränkt.[10]
Darüber hinaus befinden die Richter in Luxemburg, dass das „Privacy Shield“ nicht oder nur unzureichenden gerichtlichen Schutz biete. Sie bezweifeln, dass die angeführte Ombuds-Regelung den Betroffenen einen Rechtsweg eröffnet, welcher den unionsrechtlichen Garantien nach gleichwertig ist, d.h. insbesondere, dass die eingesetzte Ombudsperson unabhängig genug und ermächtigt ist, verbindliche Entscheidungen gegenüber den US-amerikanischen Nachrichtendiensten zu erlassen.[11]
Standardvertragsklauseln
Anders hingegen bewertet der EuGH die Gültigkeit der Standardvertragsklauseln. Es handelt sich hierbei um von der EU-Kommission vordefinierte Verträge, die die jeweiligen Parteien zu einem Mindestschutz von personenbezogenen Daten verpflichten. Diese sind auch nicht deswegen unwirksam, dass aufgrund des Charakters der Standardvertragsklauseln eine Bindung der Behörde des Drittlandes nicht erfolgt. Vielmehr ist danach zu fragen, ob wirksame Mechanismen vorliegen, die gewährleisten, dass ein gleichwertiges Schutzniveau eingehalten wird und im Falle eines Verstoßes die Übermittlung von Daten untersagt werden kann.[12]
Der EuGH kommt zum Schluss, dass die Anforderungen zwar grundsätzlich erfüllt sind. Allerdings hebt er besonders hervor, dass es dem Datenexporteur obliegt, zu prüfen, ob das Recht des Drittlandes einen angemessenen Schutz für die übermittelten personenbezogenen Daten bietet. Sollte sich sodann im Rahmen der Prüfung ergeben, dass das Drittland kein angemessenes Schutzniveau gewährleisten kann, so ist die Übermittlung der Daten auf Basis der Standardvertragsklauseln auszusetzten.[13]
Auch die zuständigen Aufsichtsbehörden in der EU trifft die Pflicht das Schutzniveau des Drittlandes zu prüfen. Diese sind dann befugt den Datentransfer auszusetzen oder zu untersagen.[14]
m Fall der USA ist das „ausreichende Schutzniveau“ aus oben genannten Gründen zu bezweifeln, sodass an sich auch die Standardvertragsklauseln nicht problemlos herangezogen werden können, um Daten in die Vereinigten Staaten zu übertragen.
Fazit
Die Stimmen zum Urteil fallen unterschiedlich aus. Der Geschäftsführer des Verbandes der Internetwirtschaft Alexander Rabe wies auf die möglichen fatalen Folgen für die Internetwirtschaft und alle anderen internationalen Geschäftsmodelle hin.[15]
Max Schrems zeigte sich nach dem Richterspruch glücklich. In einer Mitteilung lässt er verkünden:
„Ich bin sehr glücklich über das Urteil. Unsere Argumente wurden bestätigt. Das ist ein totaler Schlag für die irische DPC und Facebook. Es steht nun fest, dass die USA ihre Überwachungsgesetze grundlegend ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.“[16]
Des Weiteren lies Schrems auf seiner Webseite verlauten, dass durch dieses Urteil kein Rechtsvakuum entstehen wird:
„Der Gerichtshof hat ausdrücklich betont, dass durch die Aufhebung des Privacy Shield kein „Rechtsvakuum“ entsteht, da unbedingt „notwendige“ Datenübermittlungen weiterhin stattfinden können. Die USA werden nun einfach in ein den Status eines Landes ohne besonderen Zugang zu EU-Daten zurückversetzt.“[17]
[1] EuGH v. 16.07.2020 – Az. C-311/18 (zuletzt abgerufen am 21.07.2020).
[2] EuGH v. 06.10.2015 – Az. C‑362/14 (zuletzt abgerufen am 21.07.2020).
[3] Vgl. Fanta/Dachwitz, Datentransfers – EU-Gericht zerschlägt Privacy Shield, Netzpolitik.org, 16.07.2020, (zuletzt abgerufen am 21.07.2020)
[4] Vgl. Hansen/Pflüger/Schuppert/Tinnefeld, „Schrems II“-Urteil: EuGH erklärt EU-U.S. Privacy Shield für unwirksam, Hogan Lovells Blog, 16.07.2020 (zuletzt abgerufen am 21.07.2020).
[5] Vgl. Kartheuser, EuGH hebt den Privacy Shield auf – Und jetzt?, LTO.de, 16.07.2020 (zuletzt abgerufen am 21.07.2020).
[6] Vgl. Kartheuser, EuGH hebt den Privacy Shield auf – Und jetzt?, LTO.de, 16.07.2020.
[7] Vgl. Hansen/Pflüger/Schuppert/Tinnefeld, „Schrems II“-Urteil: EuGH erklärt EU-U.S. Privacy Shield für unwirksam, Hogan Lovells Blog, 16.07.2020.
[8] Vgl. Pressemitteilung d. EuGH v. 16.07.2020 (zuletzt abgerufen am 21.07.2020).
[9] Vgl. Pressemitteilung d. EuGH v. 16.07.2020.
[10] Vgl. Kartheuser, EuGH hebt den Privacy Shield auf – Und jetzt?, LTO.de, 16.07.2020.
[11] Vgl. Pressemitteilung d EuGH v. 16.07.2020.
[12] Vgl. Pressemitteilung d EuGH v. 16.07.2020.
[13] Vgl. Matthiesen/Heinzke, EuGH erklärt Privacy-Shield für unwirksam, Standardverträge nur noch eingeschränkt nutzbar, CMS-Blog, 16.07.2020 (zuletzt abgerufen am 21.07.2020).
[14] Vgl. Matthiesen/Heinzke, EuGH erklärt Privacy-Shield für unwirksam, Standardverträge nur noch eingeschränkt nutzbar, CMS-Blog, 16.07.2020.
[15] Vgl. Budras, Warum ein Teil des Datenverkehrs zwischen Europa und Amerika illegal ist, FAZ.net, 16.07.2020 (zuletzt abgerufen am 21.07.2020).
[16] EuGH-Urteil: Erste Stellungnahmen, noyb.de, 16.07.2020 (zuletzt abgerufen am 21.07.2020).
[17] EuGH-Urteil: Erste Stellungnahmen, noyb.de, 16.07.2020.