Schrems-II-Entscheidung – EuGH erklärt Privacy Shield Abkommen für ungültig

Mit Urteil vom 16.07.2020 (Az.: C-311/18) hat der EuGH das zwischen der EU-Kommission und den USA verhandelte EU-US-Privacy-Shield Abkommen mit sofortiger Wirkung für ungültig erklärt. Übermittlungen personenbezogener Daten aus der EU in die Vereinigten Staaten von Amerika, die bislang auf der Grundlage des EU-US-Privacy-Shield Abkommens erfolgten, müssen nun auf andere Rechtsgrundlagen aus der DSGVO, wie die EU-Standardvertragsklauseln oder Binding Corporate Rules, gestützt werden. Gleichzeitig verpflichtet der EuGH Datenschutzbehörden aber auch Unternehmen, die Einhaltung der Standardvertragsklauseln zu überwachen.

Anders als noch bei der Aufhebung des Vorgänger-Abkommens „Safe-Harbor“, geben die Aufsichtsbehörden bereits zu erkennen, keine Karenzzeit zu gewähren. Es besteht daher dringender Handlungsbedarf.

Der Weg zum neuen Urteil

Das „Schrems II“-Urteil des EuGH reiht sich ein in die bereits seit 2013 andauernde Auseinandersetzung zwischen dem österreichischen Datenschutzaktivisten Maximilian Schrems und Facebook bezüglich der Übermittlung von Facebook-Nuterdatzen in die USA und markiert ihren vorläufigen Höhepunkt. Schon in seiner „Schrems I“-Entscheidung vom 06.10.2015 hat der EuGH den bis dahin gültigen „Safe-Harbor“ Angemessenheitsbeschluss gekippt. Dem folgt nun die Suspendierung des EU-US-Privacy-Shields nach.

Der EuGH stellte fest, dass die Überwachungspraxis der amerikanischen Behörden nicht mit dem europäischen Datenschutzstandard vereinbar ist. In den USA haben die betroffenen Personen kaum durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten. Daher ist der Angemessenheitsbeschluss für das „Safe Harbor“ Abkommen ungültig.

Als Nachfolger des Safe-Harbor Beschlusses wurde zwischen EU-Kommission und den Vereinigten Staaten von Amerika das „EU-US-Privacy-Shield“-Abkommen ausgehandelt. Parallel schlossen auch Facebook Ireland und Facebook Inc. auf der Grundlage von Standardvertragsklauseln eine Vereinbarung zur Datenübermittlung und Datenverarbeitung in den USA ab.

Inwieweit diese Konstellation den Anforderungen der DSGVO genügt, hatte der EuGH jetzt zu beurteilen.

EU-US-Privacy-Shield ungültig

Hinsichtlich des EU-US-Privacy-Shield hat der EuGH nunmehr auch dieses in seiner „Schrems II“ Entscheidung mit sofortiger Wirkung für ungültig erklärt. Dies hat zur Folge, dass alle Datentransfers von der EU in die USA, welche bisher auf dieses Übereinkommen gestützt wurden, ab sofort unzulässig sind.

Seine Entscheidung begründet der EuGH damit, dass die Einhaltung des US Rechts sowie amerikanisch-nationale Sicherheitsbelange nach dem EU-US-Privacy-Shield für den Datenverarbeiter in den USA vorrangig vor den Grundrechten der EU-Bürger zu beachten sind. Die Überwachung von in die USA übermittelten personenbezogenen Daten der EU-Bürger sei zudem nicht auf ein zur Gefahrabwehr dringend erforderliches Maß beschränkt und die Einschränkungen des Datenschutzes nach Unionsrecht daher unverhältnismäßig. Auch stehe den betroffenen EU-Bürgern kein effektiver Rechtschutz zur Verfügung, sodass sie den Datenzugriffen der US-Behörden schutzlos ausgesetzt sind.

Standardvertragsklauseln weiterhin gültig, jedoch Überprüfung durch übermittelnde Unternehmen und zuständige Behörden erforderlich

Die Standardvertragsklauseln hält der EuGH hingegen grundsätzlich für gültig. Diese treffen geeignete Maßnahmen zum Schutz der personenbezogenen Daten bei Übermittlung aus der EU in einen Drittstaat. Der Umstand, dass die Standardvertragsklauseln nur die vertragsschließenden Parteien binden, da sie sich nicht über das nationale Recht des jeweiligen Drittstaates hinwegsetzen können, ändert hieran nichts. Allerdings ist nach Ansicht des EuGH die jeweils zuständige Datenschutzbehörde dazu verpflichtet, den auf die Standardvertragsklauseln gestützten Datentransfer in Drittländer zu überwachen und gegebenenfalls auszusetzen oder zu verbieten, wenn sie der Auffassung ist, dass die Standardvertragsklausen im jeweiligen Drittland faktisch nicht eingehalten werden können. Primäre Prüfpflichten hinsichtlich der von ihnen veranlassten Transfers treffen jedoch auch die datenübermittelnden Unternehmen.

Auswirkungen auf die Praxis

Auch wenn die Entscheidung ein Paukenschlag ist, kam sie nicht vollkommen überraschend – schon lange kritisieren Datenschützer die Effektivität des EU-US-Privacy-Shield Abkommens.

Die europäischen Datenschutzbehörden betonen, dass auch Unternehmen, die Standardvertragsklauseln verwenden, verantwortlich sind, ihre Einhaltung im Zielland zu überwachen. Insbesondere machen die Datenschutzbehörden klar, dass die Entscheidung nicht nur Auswirkung auf Übermittlungen in die USA, sondern auch in weitere Drittländer haben wird.

Zusammenfassend ist festzuhalten, dass die Datenübermittlung auf Grundlage des EU-US-Privacy-Shields mit sofortiger Wirkung unzulässig ist, anders als beim Vorgänger Abkommen „Safe-Harbor“ keine Karenzzeit für die Unternehmen zur Umsetzung gewährt wird und ein Wechsel zu Alternativen bezüglich der Datenverarbeitung und/oder die Wahl von Dienstleistern für Cloud-Lösungen innerhalb der EU bzw. des EWR für Unternehmen ratsam ist. Unternehmen, die bisher ihre Datentransfers auf das EU-US-Privacy-Shield gestützt haben, müssen sofort handeln und ihre Datentransfers entweder auf Standardvertragsklauseln oder Binding Corporate Rules gem. Art. 47 DSGVO stützen.

Noch nicht absehbar ist, wie weitreichend die Prüfpflichten bezüglich der Einhaltung der Standardvertragsklauseln sein werden. Hier bleibt zu erwarten, dass die Datenschutzbehörden bald Licht ins Dunkel bringen.

Sie zeigt den beständigen Wandel, dem das Datenschutzrecht unterliegt, der auch vor den Grundpfeilern des Datenschutzrechts keinen Halt macht. Unternehmen sind daher gehalten, ihre Datenschutzkonzepte fortlaufend zu überwachen und gegebenenfalls zu überarbeiten. Insbesondere empfiehlt sich eine ständige Auseinandersetzung mit der jeweils aktuellen Gesetzeslage hinsichtlich staatlicher Zugriffsmöglichkeiten auf die übermittelten Daten, um nicht von den Aufsichtsbehörden innerhalb der EU wegen Datenschutzverstößen belangt werden zu können.

Ähnliche Beiträge