EuGH erklärt EU-US Privacy Shield für ungültig
Mit seinem Urteil vom 16.07.2020 in der Rechtsache “Schrems II” (Schrems ./. Facebook Ireland, Az.: C-311/18) hat der Europäische Gerichtshof (EuGH) das EU-US Privacy Shield für ungültig erklärt.
Was ist der EU-US Privacy Shield?
Konkret handelt es sich bei dem „Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes Privacy Shield“ um eine Entscheidung der EU zur Schaffung einer Rechtsgrundlage des Datentransfers. Mit dem sog. Angemessenheitsbeschluss der EU-Kommission sollte der Datentransfer von Europa in die USA auf ein angemessenes Schutzniveau gehoben werden.
Hintergrund ist, dass gemäß der Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten lediglich dann an ein Drittland außerhalb der EU übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Dies kann die EU-Kommission in einem Beschluss feststellen.
Entscheidungsinhalt
Der EuGH kommt in seinem Urteil zu dem Ergebnis, dass der Privacy Shield-Beschluss nicht die Anforderungen erfüllt, um nach dem unionsrechtlichen Grundsatz der Verhältnismäßigkeit gleichwertigen Datenschutz zu gewährleisten. So könnten amerikanische Behörden nach dem Recht der Vereinigten Staaten auf die übermittelten Daten zugreifen, ohne dass diese Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt seien.
Neben der oben erläuterten Möglichkeit des Angemessenheitsbeschlusses sieht die DSGVO als weitere Möglichkeit, ein angemessenes Schutzniveau zu gewährleisten u.a. die Verwendung von Standarddatenschutzklauseln (SCC) vor. Bei SCC handelt es sich um Klauseln, die von der EU-Kommission erarbeitet wurden und in Verträgen zwischen Datenexporteur und Datenimporteur verwendet werden können. Auch diese waren Gegenstand der heute veröffentlichten Entscheidung. Diese sieht der EuGH weiterhin als gültig an, sodass diese auch zukünftig genutzt werden können.
Kontext der Entscheidung
Der Österreicher Maximilian Schrems ist seit 2008 Nutzer von Facebook. Seine personenbezogenen Daten werden, wie die aller Nutzer aus der EU, von Facebook zumindest teilweise von den Facebook Ireland Servern an die Facebook Inc. in den USA übermittelt. Herr Schrems legte bei der irischen Aufsichtsbehörde Beschwerde ein, weil er der Auffassung war, dass die Übermittlungen unzulässig sind.
Die EU-Kommission hatte in einem ersten Anlauf das angemessene Schutzniveau in dem sog. “Safe-Harbour-Abkommen” in Bezug auf die USA angenommen. Auf von Herrn Schrems erhobene Klage erklärte der EuGH am 06.10.2015 das Safe-Harbour-Abkommen jedoch für ungültig.
In der Folge erließ die EU-Kommission einen weiteren Angemessenheitsbeschluss, der Datenübermittlungen in die USA ermöglichen sollte, das EU-US Privacy Shield.
Herr Schrems formulierte seine Beschwerde bei der irischen Aufsichtsbehörde um und machte geltend, dass die USA kein ausreichendes Schutzniveau gewährleisten und eine Übermittlung nicht auf der Grundlage der Standardvertragsklauseln zulässig sei.
Der irische High Court legte diese Frage dem EuGH vor und warf in diesem Zusammenhang auch die Frage auf, ob der Privacy Shield-Beschluss gültig ist.
Praktische Relevanz
Resultierend aus dem heutigen Urteil ist ein Datentransfer in die USA nicht mehr auf Grundlage des Angemessenheitsbeschlusses möglich. Mithin verstößt ein hierauf basierender Transfer gegen europäisches Datenschutzrecht.
Wie bereits dargelegt bestehen aus der Perspektive des EuGH weiterhin keine Bedenken bei der Nutzung etwaiger Standardvertragsklauseln. Die insoweit genutzten Klauseln enthielten wirksame Mechanismen, die in der Praxis gewährleisten könnten, dass das vom Unionsrecht verlangte Schutzniveau eingehalten werde. Auch könnte ein auf diese Klauseln gestützter Transfer personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen werde oder ihre Einhaltung unmöglich sei.
Fazit
Aus aktueller Perspektive können demnach keine personenbezogenen Daten auf Grundlage eines Angemessenheitsbeschlusses in die USA transferiert werden. Wie bereits nach „Schrems I“ ist es jedoch wahrscheinlich, dass ein derartiger Zustand nicht lange existiert.
Nichtsdestotrotz sollten Unternehmen evaluieren, ob Datentransfers sowohl Konzernintern, als auch mit Dienstleistern auf den EU-US Privacy Shield gestützt werden und sollte dies der Fall sein, schnellstmöglich den Abschluss von SCC herbei führen.