Was viele bereits erwartet hatten, ist nun Realität geworden. Mit Urteil vom 16. Juli 2020 (Az. C-311/18) hat der EuGH seinen EU-US Privacy Shield Beschluss (2016/1250) für ungültig erklärt. Was das nun für die Verarbeitung personenbezogener Daten im Ausland bedeutet und welche Konsequenzen die für den Datenschutz Verantwortlichen im Sinne der Datenschutz-Grundverordnung (DSGVO) nun ziehen sollten, wollen wir im folgenden Artikel näher beleuchten.

 

Was bisher geschah.

Das jüngste Urteil des EuGH ist der Schlussstein eines Weges, der bereits im Jahr 2000, lange vor dem Inkrafttreten der DSGVO, seinen Anfang genommen hat.

Damals hatte die EU-Kommission in ihrer wegweisenden „Safe-Harbour-Entscheidung“ (2000/520) festgestellt, dass die USA – im Hinblick auf die Gewährleistung der Sicherheit personenbezogener Daten – ein angemessenes Schutzniveau bieten würden. Damit war die Weiterleitung von Daten aus der EU in die USA, bspw. im Rahmen der Nutzung von Analyse-Tools wie Facebook Analytics, sofern und soweit das hinter dem Tool stehende Unternehmen unter dem Safe-Harbour-Abkommen zertifiziert war. Auf diese Entscheidung folgte ein knapp über ein Jahrzehnt andauernder Burgfrieden.

Der große Paukenschlag sollte im Jahr 2013 kommen. Der Whistleblower Edward Snowden brachte ans Licht, dass US-Sicherheitsbehörden – allen voran die NSA – zu jeder Zeit einen unbeschränkten Zugriff auf die Server von in den USA ansässigen Unternehmen wie bspw. Facebook und Apple hatten und die dort gespeicherten personenbezogenen Daten, unabhängig von der Staatsangehörigkeit des Betroffenen – unter anderem für die ausgedehnte Meta-Suche im Rahmen von PRISM heranziehen konnten. Nachrichten, die die Welt des Datenschutzes nachhaltig prägen sollten.

Schon im Jahr 2011, also lange vor den Enthüllungen Snowdens‘, hatte der österreichische Datenschützer und damalige Student der Rechtswissenschaften Max Schrems wiederholt Beschwerden bei der für Facebook zuständigen irischen Datenschutzbehörde angestrengt. Diese blieben stets unbeantwortet. Im Juli 2013 sah sich die irische Datenschutzbehörde angesichts der damaligen Enthüllungen gezwungen, erstmals Stellung zu beziehen. Die Beschwerden Schrems‘ wurden offiziell unter Verweis auf das Safe-Harbour-Abkommen zurückgewiesen. Schrems blieb jetzt nur noch der Weg über eine Klage beim EuGH. In seinem hierauf folgenden Urteil vom 06. Oktober 2015 („Schrems I“, C-362/14) erklärte der EuGH das Safe-Harbour-Abkommen für ungültig.

Die EU-Kommission sah sich nun in Zugzwang, ging mit der Ungültigkeit des Safe-Harbour-Abkommens doch auch gleichzeitig die Rechtswidrigkeit jeglicher Datenverarbeitungstätigkeit einher, im Rahmen derer Daten aus der EU in die USA übertragen wurden. Bereits im Juli 2016 wurde daher der Nachfolger des Safe-Harbour-Abkommens, das EU-US Privacy Shield beschlossen. Von Beginn an sah sich das neue Abkommen großer Kritik ausgesetzt, war es doch in viel zu kurzer Zeit (nur ein Jahr) ausgehandelt und beschlossen worden, ohne dass es zu einer ernsthaften Auseinandersetzung mit den tatsächlichen Missständen (der Zugriffsmöglichkeiten der US-Behörden auf personenbezogene Daten von Europäern) gekommen wäre. Schrems legte hierauf erfolglos Beschwerde bei der irischen Datenschutzaufsichtbehörde ein und sah sich erneut gezwungen, den EuGH anzurufen. Dieses Verfahren endete nun mit Urteil vom 16. Juli 2020 („Schrems II“, C-311/18), in welchem der EuGH das EU-US Privacy Shield für ungültig erklärte.

 

Das Privacy Shield im Kontext der DSGVO

Um die Tragweite des jüngsten Urteils des EuGH zu verstehen, muss man sich zunächst mit der Rolle des EU-US Privacy Shields im Kontext der Datenschutz-Grundverordnung (DSGVO) auseinandersetzen.

Nach dem Wortlaut von Art. 44 S.1 DSGVO ist eine Übermittlung personenbezogener Daten zu Verarbeitungszwecken in ein Drittland (z.B. die USA) nur dann zulässig, wenn der Verantwortliche (oder sein Auftragsverarbeiter) die Bestimmungen der DSGVO vollumfänglich einhält. Mit anderen Worten – Das Drittland muss ein DSGVO-konformes Datenschutzniveau bieten.

Diesbezüglich hat die Kommission nach Art. 45 Abs.1 S.1 DSGVO die Möglichkeit, einen sog. Angemessenheitsbeschluss zu erlassen. Liegt ein solcher Angemessenheitsbeschluss in Bezug auf ein bestimmtes Drittland vor, so wird die Gewährleistung eines DSGVO-konformen Datenschutzniveaus unterstellt. Der Verantwortliche kann sich insoweit im Hinblick auf die Rechtmäßigkeit der Datenübermittlung in das jeweilige Drittland, auf den Angemessenheitsbeschluss berufen. Weitere Genehmigungen sind dann nach Art. 45 Abs.1 S.2 DSGVO nicht mehr erforderlich.

Das EU-US Privacy Shield ist dadurch gekennzeichnet, dass dem Abkommen ein solcher Angemessenheitsbeschluss zugrunde liegt. Daher durften Verantwortliche – bis zum jüngsten Urteil des EuGH – bei Diensten von Unternehmen, die unter dem EU-US Privacy Shield zertifiziert waren, vom Bestehen eines DSGVO-konformen Datenschutzniveaus ausgehen.

 

Welche Folgen hat das Urteil?

Die Ungültigkeit des EU-US Privacy Shields hat nun zur Folge, dass die Datenübermittlung in Drittländer nicht mehr gemäß Art. 45 Abs.1 S.1 DSGVO über den Angemessenheitsbeschluss der EU-Kommission, welcher im Zusammenhang mit dem Privacy Shield gefasst wurde, gerechtfertigt werden kann.

Nach Art. 46 Abs.1 DSGVO kann die Datenübermittlung in ein Drittland allerdings auch dadurch gerechtfertigt werden, dass der Verantwortliche (bzw. der Auftragsverarbeiter) geeignete Garantien zur Aufrechterhaltung des Datenschutzniveaus im Sinne der DSGVO vorsieht. Eine geeignete Garantie können dabei insbesondere nach Art. 46 Abs.2 lit.c DSGVO die sog. Standardvertragsklauseln (SVK) darstellen, die von der EU-Kommission im Rahmen eines speziellen Prüfverfahrens erlassen werden.

Der EuGH hat in seinem Urteil vom 16. Juli 2020 ausdrücklich bestimmt, dass das EU-US Privacy Shield zwar ungültig, die Gültigkeit der Standardvertragsklauseln, auf die sich mittlerweile auch Facebook stützt, jedoch unberührt bleibt. In diesem Zusammenhang hat der EuGH jedoch auch ausdrücklich betont, dass die Überprüfung, ob die Standardvertragsklauseln im betreffenden Drittland eingehalten werden bzw. eingehalten werden können, allein den zuständigen Datenschutzaufsichtsbehörden obliegt. Mit diesem Hinweis schießt der EuGH hinter vorgehaltener Hand gegen die irische Datenschutzaufsichtsbehörde, die schon lange wegen ihres unkritischen Umgangs mit Facebook in der Kritik steht.

 

Was kommt nach dem Privacy Shield?

Bereits im Vorwege des Urteils hatte die EU-Kommission im Rahmen einer kleinen Anfrage durch den FDP-Europaabgeordneten Moritz Körner (E-001120/2020) vom 19. Mai 2020 durchblicken lassen, dass man sich auf alle möglichen Szenarien vorbereite und mit allen wesentlichen Akteuren in Kontakt stehe.

Insoweit ist davon auszugehen, dass die EU-Kommission bereits an einem Entwurf für ein Nachfolge-Abkommen arbeitet. Es bleibt abzuwarten, ob es sich dabei – genau wie seinerzeit das Privacy Shield – um einen Schnellschuss der EU-Kommission oder um einen großen Wurf handeln wird.

 

Was jetzt getan werden muss!

Verantwortliche sollten nun unbedingt alle Datenverarbeitungstätigkeiten, im Rahmen derer es zu Datenübermittlungen in Drittländer kommt oder kommen kann überprüfen. Relevant ist dies vor allem, aber nicht ausschließlich bei der Verwendung von Analyse-Tools wie Facebook Analytics oder bestimmten Newsletter-Diensten.

Hier muss geprüft werden, ob sich die Datenübermittlung ausschließlich auf das nun ungültige EU-US Privacy Shield oder auf Standardvertragsklauseln stützt, die im jeweiligen Drittland allerdings auch tatsächlich umgesetzt werden müssen.

Gerne unterstützen wir Sie hierbei!

Geposted in Datenschutz abgelegt unter , ,