Good bye, Privacy Shield!

Der Gerichtshof der Europäischen Union hat das EU-US-Privacy Shield (genauer: den Durchführungsbeschluss (EU) 2016/1250 der EU-Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Privacy Shield gebotenen Schutzes [1] ) für ungültig erklärt.

Good bye, Privacy Shield!

Datenübermittlung  in die USA unter Geltung der DSGVO

Die Datenschutz-Grundverordnung  (DSGVO) [2] bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet (Art. 45 DSGVO) . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen (Art. 46 Abs. 1 und Abs. 2 Buchst. c DSGVO) . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen (Art. 49 DSGVO).

Der Ausgangsfall: Schrems vs. DPC

Die aktuelle Entscheidung des Gerichtshofs der Europäischen Union erging  erneut in einem Rechtsstreit zwischen dem österreichischen Juristen  Max Schrems und dem irischen“Data Protection Commissioner (An Coimisinéir Cosanta Sonraí, DPC), der irischen Datenschutzaufsicht. Schrems ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten.

Das „Schrems I“-Urteil des Unionsgerichtshofs

Seine Beschwerde wurde vom DPC u. a. mit der Begründung zurückgewiesen, die EU-Kommission habe bereits in ihrer „Safe-Harbour-Entscheidung“ [3] . festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Unionsgerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin in seinem „Schrems I“-Urteil diese Entscheidung der EU-Kommission für ungültig [4] .

Die erneute EuGH-Vorlage durch  den irischen High Court

Aufgrund dieses „Schrems I“-Urteil des Unionsgerichtshof  hob der irische High Court daraufhin die Entscheidung des DPC, mit der die Beschwerde von Max Schrems zurückgewiesen worden war, auf. Daraufhin forderte die irische Aufsichtsbehörde Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Unionsgerichtshof umzuformulieren.

Mit seiner umformulierten Beschwerde machte Schrems sodann geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten, und beantragte, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/87 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten.

Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln [5] abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof der Europäischen Union mit einem Vorabentscheidungsersuchen zur Gültigkeit dieser Standardvertragsklauseln befassen möge. Der irische High  Court richtete daraufhin ein erneutes Vorabentscheidungsersuchen an den Unionsgerichtshof zu der Frage der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den Aufsichtsbehörden in diesem Zusammenhang obliegen. Damit warf der High Court die Frage der Gültigkeit des Angemessenheitsbeschlusses 2010/87 der EU-Kommission über die Standardvertragsklauseln auf.

Vom „Schrems I“-Urteil zum Privacy Shield

Nachdem dieses Vorabentscheidungsverfahren durch den irischen High Court eingeleitet worden war, erließ die EU-Kommission auf der Basis des zwischenzeitlich von ihr mit derUS-Administration verhandelten, inhaltlich dem aufgehobenen Safe-Harbour-Abkommen weitgehendst entsprechenden, EU-US-Privacy Shield„-Abkommens ,einen  Angemessenheitsbeschluss bezüglich der dem Privacy Shield unterfallenden personenbezogenen Daten [6] . Der irische High Court erweiterte daraufhin seine durch den Unionsgerichtshof zu beantwortenden Vorlagefragen auch auf die Gültigkeit des Angemessenheitsbeschlusses 2016/1250 der EU-Kommission zu den dem Privacy Shield unterfallenden personenbezogenen Daten.

Das neue „Schrems II“-Urteil des Unionsgerichtshofs

Mit seinem jetzt verkündeten Urteil stellt der Gerichtshof der Europäischen Union fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Der Transfer sowie die Speicherung und Verarbeitung personenbezogener Daten in die Vereinigten Staaten kann also weiterhin auf der Basis der Standardvertragsklauseln erfolgen. Dagegen erklärten der Unionsgerichtshof den Privacy Shield-Beschluss 2016/1250 für ungültig:

Der Unionsgerichtshof betonte zunächst, dass das europäische Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können. Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre.

Prüfungspflichten der Datenschutzaufsichtsbehörden

In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau verlangt der Unionsgerichtshof in seinem jetzt verkündeten Urteil ausdrücklich, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standardvertragsklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Europäischen Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind nach dem Urteil des Unionsgerichtshofs sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Datenschutz-Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, betonte der Unionsgerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Europäischen Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.

Gültigkeit und Grenzen der Standardvertragsklauseln

Sodann prüfte der Unionsgerichtshof -entsprechend den erweiterten Vorlagefragen des irischen High Courts- die Gültigkeit des Angemessenheitsbeschlusses 2010/87 der EU-Kommission über die Standardvertragsklauseln.

Der Unionsgerichtshof sieht die Gültigkeit nicht schon dadurch in Frage gestellt, dass die in diesem Angemessenheitsbeschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt die Gültigkeit davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom europäischen Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist.

Der Unionsgerichtshof stellt sodann fest, dass der Angemessenheitsbeschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Ungültigkeit des EU-US-Privacy Shields

Schließlich prüfte der Unionsgerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der EU-Grundrechte-Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen.

Insoweit stellt er -wenig überraschend- fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit (der USA), des öffentlichen Interesses (der  USA) und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden.

Der Gerichtshof der Europäischen Union kommt daher zu dem Ergebnis, dass die von der EU-Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im eurpäischen Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

Gestützt auf die Feststellungen in diesem Beschluss weist der Unionsgerichtshof desweiteren darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren.

Diese Vorschriften sehen zwar Anforderungen vor, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, die aber, wie der  Unionsgerichtshof ausdrücklich moniert, den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes der betroffenen Personen befindet der Unionsgerichtshof daher, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der EU-Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem europäischen Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären.

Im Klartext: Das EU-US-Privacy Shield und der hierzu ergangene Angemessenheitsbeschluss der EU-Kommission enthalten keine Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

Aus all diesen Gründen erklärt der Gerichtshof der Europäischen Union daher den zum Privacy-Shield ergagenen Angemessenheitsbeschluss 2016/1250 der EU-Kommission für ungültig.

Fazit

Eine Verarbeitung von durch die DSGVO geschützten personenbezogenen Daten -einschließlich des Transfers und der Speicherung- in den USA  kann daher nicht mehr auf der Grundlage des Privacy Shield (sowie des dazu ergangenen Angemessenheitsbeschlusses) ergehen. Eine Datenverarbeitung aufgrund der Standardvertragsklauseln ist dagegen weiterhin möglich, wenn der Schutz dieser Daten -einschließlich eines angemessenen Rechtsschutzes- im Empfängerland, also in den USA, gewährleistet ist – was angesichts der Feststellungen des Unionsgerichtshofs derzeit aber ebenfalls nicht gegeben sein dürfte.

Gerichtshof der Europäischen Union, Urteil vom 16. Juli 2020 – C-311/18

  1. ABl. 2016, L 207, S. 1[ ]
  2. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl. 2016, L 119, S. 1[ ]
  3. Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl. 2000, L 215, S. 7[ ]
  4. EuGH, Urteil vom 06.10.2015 – C-362/14, „Schrems I“[ ]
  5. Beschluss der EU-Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, ABl. 2010, L 39, S. 5, in der Fassung des Durchführungsbeschlusses (EU) 2016/2297 der EU-Kommission vom 16. Dezember 2016, ABl. 2016, L 334, S. 100[ ]
  6. Durchführungsbeschluss (EU) 2016/1250 der EU-Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes, ABl. 2016, L 207, S. 1[ ]