EuGH kippt Privacy Shield

Am 16. Juli 2020 hat der Europäische Gerichtshof mit seiner Entscheidung Schrems II das Privacy Shield gekippt.

Was ist das Privacy Shield?

Der EU-US-Datenschutzschild sollte ursprünglich als Grundlage für den transatlantischen Datentransfer zwischen der EU und den Vereinigten Staaten von Amerika dienen. Am 16. Juli 2020 verkündete der Europäische Gerichtshof (EuGH) mit einem Urteil jedoch das Ende des Abkommens.

Wie kam es zu dem Urteil?

Das Urteil des EuGHs ist das Ergebnis eines jahrelangen und länderübergreifenden Rechtsstreits dessen Grundlage die Datenübertragung Facebooks aus Irland in die USA darstellte. Ursprünglich hatte der österreichische Datenschutzaktivist Max Schrems die irische Datenschutzbehörde aufgefordert, die Datentransfers in gewissen Fällen zu unterbinden und begründete den Antrag mit dem weniger restriktiven Datenschutzniveau der USA. So sei Facebook in den USA verpflichtet, die Daten auch Behörden, wie beispielsweise dem FBI oder der NSA, zugänglich zu machen ohne dass die Betroffenen gerichtlich dagegen vorgehen könnten. Die irische Datenschutzbehörde rief den Irischen Hohen Gerichtshof an, der wiederum den Fall dem EuGH vorlegte.

Rechtlicher Rahmen

Grundsätzlich ist die Übermittlung von personenbezogenen Daten an Drittländer in Kapitel V der DSGVO geregelt. Gemäß Art. 45 Abs. 1 S. 1 DSGVO darf ein Datentransfer nur vorgenommen werden, wenn die Europäische Kommission im Rahmen eines sog. „Angemessenheitsbeschlusses“ entschieden hat, dass das Verarbeitungsland ein angemessenes Schutzniveau besitzt.

Zwar stellt der EU-US-Privacy Shield, auf den sich am 12. Juli 2016 die Europäischen Union und die Vereinigten Staaten von Amerika einigten, einen solchen Angemessenheitsbeschluss dar. Grundlage hierfür war jedoch die im Jahr 1995 erlassene Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die in Art. 25 Abs. VI bereits ein Verfahren i.S.d. Art. 45 DSGVO kodifizierte. Danach konnte die Kommission gemäß Art. 25 Abs. VI RL 95/46/EG nach dem Verfahren des Art. 31 Abs. II RL 95/46/EG feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Art. 25 Abs. V RL 95/46/EG eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Art. 25 Abs. II RL 95/46/EG gewährleistet.

Die Richtlinie 95/46/EG wurde durch die Datenschutzgrundverordnung am 25. Mai 2018 aufgehoben und ersetzt. Gemäß Art. 45 Abs. IX DSGVO blieben aber die von der Kommission auf der Grundlage von Art. 25 Abs. VI RL 95/46/EG erlassene Feststellungen in Kraft – die Rechtsgrundlage blieb also RL 95/46EG. Durch die Ersetzung der Richtlinie durch die DSGVO, dient jedoch letzteres als Maßstab, ob ein angemessenes Schutzniveau im Drittland vorliegt. Diese Frage stellte sich nun der EuGH im Rahmen eines Vorabentscheidungsverfahrens auf Grundlage eines Vorabentscheidungsersuchen es Irischen Hohen Gerichtshofs.

Vorgänger: Schrems I

Bereits im Jahr 2015 hob der EuGH im Rahmen des „Schrems I“-Urteils vom 6. Oktober 2015 (C-362/14) den Vorgänger des Privancy Shields, das Safe-Harbor-Abkommen auf und erklärte dieses für unwirksam. Der „Safe-Harbor“ Entscheidung der EU Kommission folgte im Jahre 2016 das informelle Abkommen „EU-US-Datenschutzschild“, das nun ebenfalls für unwirksam erklärt wurde.

Inhalt des Urteils Schrems II

Voraussetzung für den Erlass eines Angemessenheitsbeschlusses war, dass das Drittland, also im vorliegenden Fall die USA, ein angemessenes Schutzniveau aufweist. Der EuGH entwickelte den Begriff der Angemessenheit aber dahingehend weiter, dass das Schutzniveau des Drittlandes im Vergleich zu dem in der EU „gleichwertig“ sein muss. Die Mittel, die das Drittland nutzt, um ein äquivalentes Schutzniveau zu gewährleisten, können allerdings anders ausgestaltet sein.

Kriterien, die für eine Gleichwertigkeit ausschlaggebend sind, werden in Art. 45 Abs. 2 DSGVO konkretisiert:

• 45 Abs. 2 lit. a DSGVO: Wirksame Rechtsordnung und Gerichtsbarkeit
• 45 Abs. 2 lit. b DSGVO: Unabhängige Datenschutzaufsicht
• 45 Abs. 2 lit. c DSGVO: Internationale Verpflichtungen

Die genannten Aspekte sind nicht abschließend zu verstehen und von der EU-Kommission lediglich zu „berücksichtigen“, sodass ein gewisser Spielraum bei der Einschätzung gegeben ist. Begrenzt wird dieser lediglich durch die datenschutzrechtlichen Grundrechte, die in der Charta der Grundrechte der EU verankert sind, und durch die DSGVO.

Art. 7 und 8 GRCh

Während die EU-Kommission das Schutzniveau als angemessen erachtete, erschienen dem EuGH vor allem jene Überwachungsprogramme unannehmbar, die auf Sektion 702 FISA und Executive Order 1233 gestützt werden. Nach Sektion 702 des FISA können der Justizminister und der Direktor der nationalen Nachrichtendienste nach Billigung durch den FISC gemeinsam zur Beschaffung von „Informationen im Bereich der Auslandsaufklärung“ die Überwachung von Personen genehmigen, die keine amerikanische Staatsbürgerschaft haben und sich ebenso wenig auf dem amerikanischen Hoheitsgebiet befinden. So dient diese Vorschrift vor Allem als Grundlage für beispielsweise das Überwachungsprogramm PRISM, nach welchem die Anbieter von Internetdiensten sogar dazu verpflichtet sind, der NSA die gesamte Kommunikation Ihrer Nutzer vorzulegen. Auch würden die Daten der CIA oder dem FBI übermittelt, sodass ein Zugriff auf personenbezogene Daten in die USA stattfinde. So käme es, so der EuGH, zur massenhaften Datenverarbeitung durch die US-Behörden, die den Grundsatz der Verhältnismäßigkeit aus Art.7, 8 GrCh nicht mehr genüge. Somit kann nicht von einem gleichwertigen Schutzniveau bezüglich der EU Grundrechte ausgegangen werden.

Art. 45 Abs. 2 lit. a DSGVO

Fernere gelte der vierte Zusatzartikel zur „Constitution of the United States“, “, der im amerikanischen Recht den wichtigsten Schutz vor illegaler Überwachung darstellt, gilt nicht für Bürger der Europäischen Union. Auch unterstünden Maßnahmen, die auf Executive Order 12333 gestützt sind, keiner gerichtlichen Überwachung und unterlägen keiner Möglichkeit eines statthaften Rechtsbehelfs.

Daraus folgt, dass das amerikanische Recht einem EU-Bürger, dessen persönliche Daten durch amerikanische Behörden verarbeitet werden, kein äquivalentes Schutzniveau gewährleistet.

Wie ist nun bei transatlantischer Datenverarbeitung zu verfahren?

Da das EU-US-Privacy Shield Abkommen keine Rechtsgrundlage mehr für die Verarbeitung von personenbezogenen Daten in einem Drittland darstellt, muss nach Alternativen gesucht werden. Hier besteht vor allem Handlungsbedarf, um die massive Rechtsunsicherheit zu beheben.

Beispielsweise könnte auf die EU- Standarddatenschutzklauseln zurückgegriffen werden, Art. 46 Abs. 2 lit. c) DS-GVO. Jene hat der EuGH bisher nicht für unwirksam erklärt.

Hiernach darf ein Verantwortlicher personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Als solche geeigneten Garantien kommen insbesondere von der Europäischen Kommission genehmigte Standarddatenschutzklauseln (früher: Standardvertragsklauseln) in Betracht. Bei Standarddatenschutzklauseln handelt es sich also um eine vertragliche Basis, die den Transfer von Daten über den Atlantik auch ohne Privacy Shield erlaubt.

Der EuGH urteilte jedoch, dass auch diese per se nicht mehr genügen. Da Standarddatenschutzklauseln aufgrund ihres Vertragscharakters keine drittstaatlichen Behörden binden können, kann es notwendig sein, die in den Klauseln enthaltenen Garantien zu erweitern. Somit obliegt es vor allem dem Verantwortlichen in jedem Einzelfall zu prüfen, ob das Recht des Drittlandes gleichwertigen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.

Es bleibt abzuwarten, ob ein neues standfesteres Abkommen zwischen der EU und den Vereinigten Staaten in naher Zukunft zu erwarten ist. Bis dahin sollten Unternehmen die Daten auf europäischen Server speichern, um einen wirksamen Rechtsschutz und Kontrolle über die eigenen Daten zu behalten.

Unser spezialisiertes Anwaltsteam vertritt Sie bundesweit in allen Belangen des IT-Rechts und Medienrechts.