„Privacy-Shield“ unwirksam – Nachwirkungen der Snowden-Veröffentlichungen

Der Gerichtshof der Europäischen Union (EuGH) hat am 16.07.2020 (Urt. v. 16.07.2020, Az. C-311/18) einen Beschluss der Europäischen Union aufgehoben, der der Datenschutzvereinbarung „Privacy-Shield“ zwischen der EU und den USA angemessenen Datenschutz für Europäische Bürger attestierte.

 

Hintergrund war die Beschwerde des österreichischen Datenschutzaktivsten Max Schrems gegen Facebook Ireland bei der irischen Datenschutzbehörde, wonach die Weitergabe seiner personenbezogenen Daten an den Mutterkonzern in den USA wegen weitreichender Zugriffsbefugnisse von US-Behörden wie FBI und NSA unzulässig sei. In diesem Zusammenhang stellte sich das höchste irische Gericht die Frage, ob der „Privacy Shield“ und die sogenannten Standardvertragsklauseln dem europäischen Datenschutzniveau entsprechen, und legte diese Frage dem EuGH zur Entscheidung vor. 

 

Der EuGH verneinte diese Frage in Bezug auf "Privacy Shield" und fügte der Argumentation hinzu, dass auch der Rechtsschutz gegen Datenschutzverletzungen in den USA unzureichend sei, wenn Betroffene rechtlich gegen das Auslesen oder die Verwendung ihrer Daten dort vorgehen wollten. So führt der EuGH ist in bestechender Deutlichkeit aus:

 

„Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.“

 

Mit Standartvertragsklauseln hingegen könne in zulässiger Weise vereinbart werden, dass das Europäische Datenschutzniveau bei der Übermittlung personenbezogener Daten ins Ausland einzuhalten ist. Hierzu führt der EuGH aus:

 

„ Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c der Verordnung 2016/679 sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 der Verordnung 2016/679 genannten Elemente.“

 

Allerdings stellte der EuGH auch klar, dass mit der Verwendung entsprechender Standardvertragsklauseln keine Garantie für die Rechtmäßigkeit der Datenübermittlung in das Drittland einhergehe. Vielmehr ist es hier an den Verantwortlichen sowie den Datenschutzbehörden, die Einhaltung des Europäischen Datenschutzniveaus zu überwachen. Der EuGH führt aus:

 

„Art. 58 Abs. 2 Buchst. f und j der Verordnung 2016/679 ist dahin auszulegen, dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 dieser Verordnung sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet.“

 

Sollte also der Verdacht aufkommen, dass der in den Standardvertragsklauseln vereinbarte Datenschutz in dem betreffenden Drittland nicht eingehalten wird, ist die zuständige Aufsichtsbehörde angehalten, die Datenweiterleitung auszusetzen oder sogar ganz zu verbieten, wenn nicht der Verantwortliche selbst dies bereits veranlasst hat.

 

Im Jahre 2015 hatte der EuGH bereits den Vorgänger des „Privacy Shield“, das Save-Harbor-Abkommen, gekippt. Damit ist der „Privacy Shield“ bereits das zweite Datenschutzabkommen zwischen den USA und der EU, dass vor dem Hintergrund der durch Edward Snowden bekannt gemachten Überwachungspraktiken der US-Geheimdienste scheitert. Entsprechend fielen die Reaktionen auf das Urteil aus. 

 

"US-Internetunternehmen sind jetzt gezwungen, die ausufernde Überwachung ihrer europäischen Kunden durch die US-Behörden einzuschränken und Druck auf die dortigen Gesetzgeber zu machen", kommentierte der Netzpolitiker Jan Philipp Albrecht, der eine treibende Kraft hinter der Datenschutzgrundverordnung (DSGVO) der EU war.

 

Und Susanne Dehmel, Mitglied der Geschäftsleitung beim Verband Bitkom, betonte, mit dem Urteil gerate auch die bis dato gültige Praxis der so genannten Standardvertragsklauseln "ins Wanken". Für Unternehmen mit einer Datenverarbeitung in den USA entstehe durch das Urteil "massive Rechtsunsicherheit".

 

 

„Privacy-Shield“ unwirksam – Nachwirkungen der Snowden-Veröffentlichungen"

von Rechtsanwalt Markus Schultz