EuGH-Urteil: Privacy-Shield gekippt

EuGh Urteil Privacy Shield

Mit seinem Urteil vom 16.07.2020 (Pressemitteilung) bleibt der EuGH seiner datenschutzfreundlichen Linie treu und kippt den EU-U.S.-Privacy-Shield-Beschluss. Damit werden Datenübertragungen in die USA deutlich erschwert. Die Reaktion der Datenschutzbehörden bleibt abzuwarten.

Datenübertragung in Drittstaaten


Während Datenübertragungen innerhalb der Europäischen Union unproblematisch möglich sind, müssen bei Übermittlungen in Staaten außerhalb der EU, so genannte Drittstaaten, besondere Voraussetzungen erfüllt werden. Neben einer Rechtsgrundlage für die Datenverarbeitung bedarf es des Weiteren einer Sicherstellung eines angemessenen Datenschutzniveaus. Hintergrund ist, dass innerhalb der EU grundsätzlich ein angemessenes Schutzniveau angenommen wird. Für Drittstaaten muss dieses Schutzniveau erst durch weitere Maßnahmen hergestellt werden.

Um ein solches angemessenes Datenschutzniveau bei der Übertragung von personenbezogenen Daten in Drittstaaten zu gewährleisten, kommen insbesondere folgende Varianten in Betracht:

  • Standarddatenschutzklauseln (SCC)
    Hierbei handelt es sich um spezielle Vertragsklauseln zwischen den übertragenden Unternehmen, die von der EU-Kommission zur Verfügung gestellt werden und bei unveränderter Anwendung ein entsprechendes Datenschutzniveau gewährleisten sollen.
  • Binding Corporate Rules (BCR)
    Dies sind Regelungen, die unternehmensintern den Umgang mit personenbezogenen Daten festlegen und die Einhaltung des Datenschutzniveaus sichern sollen. Die BCR sind jedoch vorab von der zuständigen Aufsichtsbehörde zu genehmigen. Viele Unternehmen scheuen in der Praxis diesen Schritt, da er mit erheblichen Aufwänden verbunden ist und regelmäßig hohe Kosten verursacht.
  • Angemessenheitsbeschlüsse
    Eine weitere Möglichkeit personenbezogene Daten in Drittstaaten zu übertragen sind Angemessenheitsbeschlüsse der Europäischen Kommission. Ein solcher Beschluss mit der Bezeichnung EU-U.S.-Privacy-Shield existiert auch für die USA. Auf dieser Grundlage konnten sich amerikanische Unternehmen bestimmten datenschutzrechtlichen Anforderungen unterwerfen und sich zur Einhaltung eines angemessenen Datenschutzniveaus verpflichten.

EuGH bestätigt seine Rechtsauffassung


Die aktuelle Entscheidung zum Privacy Shield und Datenübertragungen in die USA ist nicht die erste ihrer Art. Bereits im Jahr 2015 hat der EuGH in einem Verfahren zwischen der irischen Datenschutzbehörde und dem österreichischen Datenschutz-Aktivisten Max Schrems die vorherige Fassung des Angemessenheitsbeschlusses („Safe Harbor“) für ungültig erklärt. Schon im damaligen Verfahren stand die Nutzung von Facebook und die damit einhergehenden Datenübertragungen in die USA im Fokus.

Um gleichwohl eine Datenübertragung in die Vereinigten Staaten zu ermöglichen hatte die Europäische Kommission kurzerhand den EU-U.S.-Privacy-Shield mit den USA ausgehandelt. Dieser aktualisierte Angemessenheitsbeschluss war nunmehr Gegenstand der aktuellen Entscheidung des Europäischen Gerichtshofs.


Gegenstand des aktuellen Verfahrens


Ausgangspunkt des Verfahrens waren die Standardvertragsklauseln, auf welche u.a. Facebook seine Datenübertragungen in die USA stützte, nachdem der Safe-Harbor-Beschluss vom EuGH gekippt worden war. Es ging also eben nicht direkt um das EU-U.S.-Privacy-Shield, sondern vielmehr um die Frage, ob die Verwendung der Standardvertragsklauseln die Einhaltung eines angemessenen Sicherheitsniveaus in den USA sicherstellen könnten. Denn Max Schrems war der Ansicht, dass aufgrund der umfassenden staatlichen Überwachungspraxis in den USA weiterhin kein angemessenes Datenschutzniveau erreicht werden könne. Denn selbst wenn die Unternehmen Standardvertragsklauseln verwenden würden, seien die Unternehmen weiterhin den Zugriffen durch die amerikanischen Behörden ausgeliefert.

In seinem Urteil stellte der EuGH sodann fest, dass die Standardvertragsklauseln dem Grunde nach nicht zu beanstanden seien. Allerdings beließ es der EuGH nicht bei dieser Feststellung. Vielmehr stellte das Gericht fest, sowohl die europäischen Datenschutzbehörden als auch die verantwortlichen Unternehmen auf bei der Verwendung der Standardvertragsklauseln detailliert zu prüfen hätten, ob ein angemessenes Datenschutzniveau in dem Zielland gewährleistet werden könne.

Im Zuge dessen erklärte der EuGH das EU-U.S.-Privacy-Shield für ungültig. Begründet wurde dies insbesondere mit den über das zwingende Maß hinaus gehenden Überwachungsprogrammen der amerikanischen Sicherheitsbehörden sowie den ungenügenden Rechtsschutzmitteln der Betroffenen.

Aus juristischer Perspektive stellt sich damit insbesondere die Frage, inwieweit die Verwendung der Standardvertragsklauseln ein angemessenes Schutzniveau sicherstellen können, wenn jedenfalls die der Privacy-Shield kein angemessenes Schutzniveau bietet.


Auswirkungen für die Praxis


Theoretisch können die Auswirkungen dieses Urteiles auf Datenübertragungen in die USA nicht überschätzt werden. Denn bei konsequenter Lesart des Urteils dürfte eine Übermittlung personenbezogener Daten datenschutzrechtlich äußerst fraglich sein.

Demgegenüber besteht aus praktischer Perspektive keine Notwendigkeit für übereiltes Handeln. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat bisher lediglich angekündigt, dass die Aufsichtsbehörden nach Prüfung des Urteils weitere Stellungnahmen abgeben werden.

Nach der Erfahrung mit dem Safe-Habor-Urteil ist anzunehmen, dass auch aktuell mit einer Übergangsfrist von Seiten der Behörden zur Umsetzung der neuen Gegebenheiten gerechnet werden kann. Jedenfalls ist kurzfristig nicht von der Verhängung von Bußgeldern auszugehen.

Darüber hinaus sind auch unter Beachtung der aktuellen Rechtsprechung des EuGH weiterhin Maßnahmen denkbar, welche die Verhängung eines Bußgeldes äußerst unwahrscheinlich machen und gleichzeitig die Nutzung einiger Services im amerikanischen Ausland ermöglichen.

Bei allen Fragen rund um das Urteil und zur richtigen Umsetzung der neuen Vorgaben, steht Ihnen die ITB Rechtsanwaltsgesellschaft gern zur Verfügung.

Kontakt

Erstellt: 21. Juli 2020