Der Gerichtshof der Europäischen Union kippt das Privacy Shield
EuGH, Urteil vom 16.Juli 2020 – C 311/18
Anlass war die Beschwerde vor dem irischen High Court von Herrn Schrems. Dieser ist seit 2008 Nutzer von Facebook. Seine und auch die personenbezogenen Daten aller anderen im Unionsgebiet wohnhaften Nutzer werden von Facebook Ireland an Server der Facebook Inc. in die Vereinigten Staaten übermittelt und dort auch verarbeitet. Herr Schrems machte geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisten können. Daher beantragte Herr Schrems, diese Übermittlung seiner personenbezogenen Daten, welche auf Grundlage von Standardvertragsklauseln erfolgte, für die Zukunft auszusetzen oder gar zu verbieten. Dieser Antrag konnte von dem irischen High Court jedoch erst bearbeitet werden, nachdem der EuGH zwei Fragen in Bezug auf die Gültigkeit zweier Beschlüsse beantwortete:
Bezüglich des Beschlusses 2010/87 konnte der Europäische Gerichtshof keine Ungültigkeit anhand der Charta der Grundrechte der Europäischen Union im Rahmen von Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern feststellen. Der Beschluss sehe entsprechend wirksame Mechanismen vor, welche in der Praxis gewährleisten können, dass das unionsrechtlich vorgegebene Schutzniveau eingehalten werden könne. Ebenso gelte dies für Standardvertragsklauseln. Es wurde positiv festgestellt, dass Übermittlungen personenbezogener Daten, welche auf solche Klauseln gestützt werden, sodann auszusetzen oder zu verbieten sind, wenn gegen diese Klauseln verstoßen wird bzw. deren Einhaltung nicht möglich ist. Der Datenexporteur hätte die Datenübermittlung zumindest auszusetzen oder müsse von dem Vertrag mit dem Datenempfänger zurückzutreten. An diesem Beschluss sei insoweit keine Beanstandung zu erfolgen. Doch auch hier vermerkt der EuGH, dass im Einzelfall zu prüfen sei, ob das Recht des Drittlandes ein angemessenes Schutzniveau der auf Basis von Standardvertragsklauseln übermittelten personenbezogenen Daten gemessen an jenem des Unionsrechts gewährleistet.
Anders liegt die Entscheidung des EuGH bezüglich des Beschlusses 2016/1250, welche das EU-USA-Datenschutzschild (Privacy Shield) nun für ungültig erklärt.
Anhand der Vorgaben der DSGVO hat der EuGH im Lichte der europäisch-grundrechtlichen Bestimmungen der Charta die Prüfung des Privacy-Shield-Beschlusses vorgenommen. Dabei erfolgte eine positive Feststellung, dass Eingriffe in die Grundrechte der Personen ermöglicht werden, deren Daten in die Vereinigten Staaten übermittelt werden. Dieser Eingriff erfolge aufgrund dessen, dass den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt würden. Die US-amerikanischen Behörden, darunter der amerikanische Geheimdienst, können nach dem eigenen nationalen Recht auf jene aus der europäischen Union in die USA als Drittland übermittelten Daten zugreifen und diese verwenden. Das fehlende Schutzniveau ergebe sich dabei aus der fehlenden Einschränkung der Nutzung. Die Einschränkungen zum Schutz personenbezogener Daten werden in ihrem Regelungsgehalt nicht den sachgemäßen Anforderungen des Unionsrechtes gerecht, welche auf dem Grundsatz der Verhältnismäßigkeit und der Datenminimalität basieren. Denn die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme seien insoweit nicht nur auf das zwingend erforderliche Maß beschränkt, wie es nach der DSGVO gefordert ist. Auch seien zwar Anforderungen erkennbar, die von den amerikanischen Behörden bei der Durchführung der Überwachungsprogramme einzuhalten sind, doch würden diese den betroffenen Personen noch keine Rechte verleihen, welche gerichtlich durchsetzbar wären. Ebenso seien keine Garantien für einen gerichtlichen Rechtsschutz erkennbar, von denen nicht-amerikanische Staatsbürger erfasst würden.
Der zuvor beschriebene Übermittlungsvorgang personenbezogener Daten fällt auch hier noch immer in den Anwendungsbereich der Datenschutzgrundverordnung (DSGVO). Dies gelte auch dann, wenn Behörden des betreffenden Drittlandes die Daten für Zwecke der öffentlichen Sicherheit, der Landesverteidigung oder der Sicherheit des Staates verarbeiten können. Denn nur so könne ein der EU angemessenes Schutzniveau gewährleistet werden.
Es gilt also die unternehmenseigenen datenschutzrechtlichen Verträge zu überprüfen, soweit eine Datenübermittlung in die USA erfolgt. Ist in diesen Verträgen einzig das zwischen der Europäischen Union und den Vereinigten Staaten (nun ungültige) Datenschutzabkommen genannt, so gilt es für dies eine alternative Rechtsgrundlage zu benennen.
