Allgemein

EuGH: Privacy Shield-Beschluss ungültig, aber EU-Standardklauseln gültig: Was das nun bedeutet!

4. August 2020, von Jens Eckhardt

Mit Urteil von 06.10.2015 hatte der Gerichtshofs der Europäischen Union (EuGH) bereits die „Vorgängerregelung“ – die Safe-Harbour-Principles – für unwirksam erklärt und nun mit Urteil vom 16.07.2020 (Rechtssache C-311/18) auch das sogenannte Nachfolgekonzept– den EU-US- Privacy-Shield (EU-Kommission Beschluss 2016/1250).

Der EuGH hat sich aber auch mit dem Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern befasst. Er hat diesen Beschluss zwar nicht für unwirksam erklärt. Aber die Begründung der Ungültig des Privacy Shields wirkt sich – jedenfalls in Bezug auf den Datentransfer in die USA – auch hier aus.

Warum ist das so brisant?

Nach Artt. 13, 14 DS-GVO muss jede betroffene Person pro aktiv auch auf die Datenübermittlung in Drittländer hingewiesen werden. Damit ist – anders als noch zur Rechtslage bei der Safe-Harbor-Entscheidung – das Thema für jeden „auf dem Präsentierteller“. Auch ist die allgemeine Aufmerksamkeit infolge der DS-GVO größer und vor allem die Sanktionen. Hier ist sowohl an Bußgelder als auch Schadensersatzansprüche zu denken.

Warum ist die Reaktion jetzt komplizierter als 2015 bei der Safe-Harbor-Entscheidung des EuGH?

In der Vorgängerentscheidung „Schrems I“ vom 05.10.2020 hat der EuGH sich für die Begründung der Unwirksamkeit darauf beschränkt, dass die EU-Kommission die Angemessenheit des Schutzniveaus – insbesondere mit Blick auf Zugriffsbefugnisse der US-Sicherheitsbehörden nicht ausreichend geprüft habe. Das genügte seinerzeit für die Unwirksamkeit.

Im Urteil vom 16.07.2020 befasst sich der EuGH nunmehr – auf der Grundlage der Feststellungen der EU-Kommission im Beschluss 2016/1250 – mit dem Rechtsrahmen und sieht – vereinfacht gesagt – kein ausreichendes Schutzniveau in den USA gegeben. Dieser Unterschied zwischen den beiden Entscheidungen ist entscheidend und wirkt sich auch auf die Bewertung von Alternativen zur Datentransfer in die USA aus. Denn diese Wertung des EuGH ist dann auch bei der Bewertung anderer Rechtsgrundlagen für den Datentransfer in die USA zu berücksichtigen.

Mit Erklärung der Ungültigkeit des EU-US Privacy Shields stellt der EuGH fest, dass die USA aufgrund der fehlenden gerichtlichen Rechtsschutz-Möglichkeiten für Unionsbürger gerade mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden kein angemessenes Schutzniveau der betroffenen Personen bieten. Für den Datentransfer in die USA müssen daher besondere Schutzmaßnahmen ergriffen werden.

Generelle Wirksamkeit der Standardvertragsklauseln für Drittland-Transfer

Der EuGH stellt klar, dass der Beschluss der EU-Kommission zu den Standardvertragsklauseln nicht unwirksam ist. Die Standardvertragsklauseln kommen damit weiterhin für eine Übermittlung personenbezogener Daten in ein Drittland in Betracht. Zum Hintergrund: Die Standardvertragsklauseln sind als Rechtsgrundlage für jede Datenübermittlung in ein Drittland geht, wohingegen das EU-US-Privacy Shield nur für den Datentransfer in die USA greift.

ABER: Der EuGH in diesem Zusammenhang klar, dass bei dem Einsatz von EU-Standardklauseln im Sinne des Art. 46 Abs. 1 und 2 DS-GVO zu überprüfen ist, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Sollte dies nicht der Fall sein, dürfen – und müssen – die zuständigen Aufsichtsbehörden entsprechende Datenübermittlungen aussetzen oder verbieten.

Konkret: Was bedeutet das nun für eine Datenübermittlung in die USA?

Das EU-US Privacy Shield ist keine Rechtsgrundlage mehr für eine Datenübermittlung in die USA. Die Datenübermittlung muss daher auf eine andere Grundlage im Sinne der Artt. 44 ff. DS-GVO gestützt werden. Hierbei müssen die Ausführungen des EuGH zu Privacy Shield wieder berücksichtigt werden.

Sofern ein Drittland – wie die USA – kein angemessenes Datenschutzniveau aufgrund eines fehlenden Angemessenheitsbeschlusses der EU-Kommission bietet, ist eine Datenübermittlung nach Art. 46 DS-GVO vorbehaltlich geeigneter Garantien zulässig. Art. 46 DS-GVO regelt eine der Möglichkeiten, mit denen sichergestellt werden kann, dass bei der Datenübermittlung an Drittländer und internationale Organisationen das durch die DSGVO vorgegebene Schutzniveau gewährleistet wird.

Der EuGH stellte fest, dass die USA aufgrund der fehlenden gerichtlichen Rechtsschutz-Möglichkeiten für Unionsbürger gerade mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden kein angemessenes Schutzniveau der betroffenen Personen bieten. Das bedeutet: Auch bei den alternativen Rechtsgrundlagen muss nun bewertet werden, ob und wie ein ausreichender Schutz so sichergestellt werden kann, dass bei Datenempfänger in den USA ein angemessenes Datenschutzniveau sichergestellt ist. Dies erscheint – jedenfalls aktuell – nur schwer darstellbar.

Was bleibt noch an Zulässigkeit?

Die scheinbar einzige Möglichkeit der datenschutzkonformen Datenübermittlung in die USA ist derzeit wohl nur über Art. 49 DS-GVO herbeizuführen. Eine Datenübermittlung in die USA kann bei fehlendem Angemessenheitsbeschluss und fehlender geeigneter Garantien daher nur erfolgen, wenn ein Ausnahmefall nach Art. 49 DS-GVO vorliegt. Dies ist insbesondere dann der Fall, wenn

  • die betroffene Person über die vorgeschlagene Datenübermittlung ausdrücklich in die Datenübermittlung eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
  • die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist,
  • die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist oder
  • die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die Einwilligung der betroffenen Person als Lösung?!

Die Einwilligung nach Art. 49 DS-GVO kommt ebenfalls als Grundlage für die Drittlandübermittlung in Betracht. Hierauf weist sowohl der Europäische Datenschutzausschuss in seinen FAQ vom 23.07.2020 als auch die deutschen Datenschutzaufsichtsbehörden in ihrer Pressemitteilung hin. Die deutschen Datenschutzaufsichtsbehörden verweisen hierfür auf die Leitlinien des Europäischen Datenschutzausschusses zu Art. 49 DS-GVO. Der Europäische Datenschutzausschuss stellt in seinen FAQ vom 23.07.2020 (dort Ziffer 8) bestimmte Anforderungen an eine solche Einwilligung heraus. Die Wirksamkeit einer solchen Einwilligung hängt von Ihrer Transparenz und Vollständigkeit ab. Diese will daher gut beraten und sorgfältig gestaltet sein.

Das könnte Sie auch interessieren:

Allgemein

Der risikobasierte Ansatz in der DSGVO

16.09.20, von Dr. Markus Pfeifer

Der risikobasierte Ansatz in der DSGVO

Mit der DSGVO sollten einheitliche Regelungen geschaffen werden. Trotz dieser Ausrichtung ist die DSGVO kein starres „One Size fits all“-Modell. Der Europäische Gesetzgeber sieht mit dem risikobasierten Ansatz die Verhältnismäßigkeit zwischen dem Risiko einer Datenverarbeitung einerseits und den zu ergreifenden Schutzmaßnahmen andererseits als grundlegendes Prinzip in der DSGVO vor. Obwohl sich dieser Grundsatz in der DSGVO an verschiedenen Stellen zeigt, ist es nicht gelungen, dieses Prinzip konsequent umzusetzen. Weiterlesen