Good bye, Pri­va­cy Shield!

Der Gerichts­hof der Euro­päi­schen Uni­on hat das EU-US-Pri­va­cy Shield (genau­er: den Durch­füh­rungs­be­schluss (EU) 2016/​1250 der EU-Kom­mis­si­on vom 12. Juli 2016 gemäß der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates über die Ange­mes­sen­heit des vom EU-US-Pri­va­cy Shield gebo­te­nen Schut­zes [1]) für ungül­tig erklärt.

Good bye, Pri­va­cy Shield!
Inhalts­über­sicht

    Daten­über­mitt­lung in die USA unter Gel­tung der DSGVO

    Die Daten­schutz-Grund­ver­ord­nung (DSGVO) [2] bestimmt, dass per­so­nen­be­zo­ge­ne Daten grund­sätz­lich nur dann in ein Dritt­land über­mit­telt wer­den dür­fen, wenn das betref­fen­de Land für die Daten ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­tet. Nach die­ser Ver­ord­nung kann die Kom­mis­si­on fest­stel­len, dass ein Dritt­land auf­grund sei­ner inner­staat­li­chen Rechts­vor­schrif­ten oder sei­ner inter­na­tio­na­len Ver­pflich­tun­gen ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­tet (Art. 45 DSGVO) . Liegt kein der­ar­ti­ger Ange­mes­sen­heits­be­schluss vor, darf eine sol­che Über­mitt­lung nur erfol­gen, wenn der in der Uni­on ansäs­si­ge Expor­teur der per­so­nen­be­zo­ge­nen Daten geeig­ne­te Garan­tien vor­sieht, die sich u. a. aus von der Kom­mis­si­on erar­bei­te­ten Stan­dard­da­ten­schutz­klau­seln erge­ben kön­nen, und wenn die betrof­fe­nen Per­so­nen über durch­setz­ba­re Rech­te und wirk­sa­me Rechts­be­hel­fe ver­fü­gen (Art. 46 Abs. 1 und Abs. 2 Buchst. c DSGVO) . Fer­ner ist in der DSGVO genau gere­gelt, unter wel­chen Vor­aus­set­zun­gen eine sol­che Über­mitt­lung vor­ge­nom­men wer­den darf, falls weder ein Ange­mes­sen­heits­be­schluss vor­liegt noch geeig­ne­te Garan­tien bestehen (Art. 49 DSGVO).

    Der Aus­gangs­fall: Schrems vs. DPC

    Die aktu­el­le Ent­schei­dung des Gerichts­hofs der Euro­päi­schen Uni­on erging erneut in einem Rechts­streit zwi­schen dem öster­rei­chi­schen Juris­ten Max Schrems und dem iri­schen„Data Pro­tec­tion Com­mis­sio­ner (An Coimi­si­né­ir Cosan­ta Son­raí, DPC), der iri­schen Daten­schutz­auf­sicht. Schrems ist seit 2008 Nut­zer von Face­book. Wie bei allen ande­ren im Uni­ons­ge­biet wohn­haf­ten Nut­zern wer­den sei­ne per­so­nen­be­zo­ge­nen Daten ganz oder teil­wei­se von Face­book Ire­land an Ser­ver der Face­book Inc., die sich in den Ver­ei­nig­ten Staa­ten befin­den, über­mit­telt und dort ver­ar­bei­tet. Schrems leg­te bei der iri­schen Auf­sichts­be­hör­de eine Beschwer­de ein, die im Wesent­li­chen dar­auf abziel­te, die­se Über­mitt­lun­gen ver­bie­ten zu las­sen. Er mach­te gel­tend, das Recht und die Pra­xis der Ver­ei­nig­ten Staa­ten böten kei­nen aus­rei­chen­den Schutz vor dem Zugriff der Behör­den auf die dort­hin über­mit­tel­ten Daten.

    Das „Schrems I“-Urteil des Uni­ons­ge­richts­hofs

    Sei­ne Beschwer­de wur­de vom DPC u. a. mit der Begrün­dung zurück­ge­wie­sen, die EU-Kom­mis­si­on habe bereits in ihrer „Safe-Har­bour-Ent­schei­dung“ [3]. fest­ge­stellt, dass die Ver­ei­nig­ten Staa­ten ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­te­ten. Mit Urteil vom 6. Okto­ber 2015 erklär­te der Uni­ons­ge­richts­hof auf ein Vor­ab­ent­schei­dungs­er­su­chen des iri­schen High Court hin in sei­nem „Schrems I“-Urteil die­se Ent­schei­dung der EU-Kom­mis­si­on für ungül­tig [4].

    Die erneu­te EuGH-Vor­la­ge durch den iri­schen High Court

    Auf­grund die­ses „Schrems I“-Urteil des Uni­ons­ge­richts­hof hob der iri­sche High Court dar­auf­hin die Ent­schei­dung des DPC, mit der die Beschwer­de von Max Schrems zurück­ge­wie­sen wor­den war, auf. Dar­auf­hin for­der­te die iri­sche Auf­sichts­be­hör­de Schrems auf, sei­ne Beschwer­de unter Berück­sich­ti­gung der Ungül­tig­erklä­rung der Safe-Har­bour-Ent­schei­dung durch den Uni­ons­ge­richts­hof umzu­for­mu­lie­ren.

    Mit sei­ner umfor­mu­lier­ten Beschwer­de mach­te Schrems sodann gel­tend, dass die Ver­ei­nig­ten Staa­ten kei­nen aus­rei­chen­den Schutz der dort­hin über­mit­tel­ten Daten gewähr­leis­te­ten, und bean­trag­te, die von Face­book Ire­land nun­mehr auf der Grund­la­ge der Stan­dard­schutz­klau­seln im Anhang des Beschlus­ses 2010/​87 vor­ge­nom­me­ne Über­mitt­lung sei­ner per­so­nen­be­zo­ge­nen Daten aus der Uni­on in die Ver­ei­nig­ten Staa­ten für die Zukunft aus­zu­set­zen oder zu ver­bie­ten.

    Die iri­sche Auf­sichts­be­hör­de war der Auf­fas­sung, dass die Bear­bei­tung der Beschwer­de von Herrn Schrems ins­be­son­de­re von der Gül­tig­keit des Beschlus­ses 2010/​87 über Stan­dard­ver­trags­klau­seln [5] abhän­ge, und streng­te daher ein Ver­fah­ren vor dem High Court an, damit er den Gerichts­hof der Euro­päi­schen Uni­on mit einem Vor­ab­ent­schei­dungs­er­su­chen zur Gül­tig­keit die­ser Stan­dard­ver­trags­klau­seln befas­sen möge. Der iri­sche High Court rich­te­te dar­auf­hin ein erneu­tes Vor­ab­ent­schei­dungs­er­su­chen an den Uni­ons­ge­richts­hof zu der Fra­ge der Anwend­bar­keit der DSGVO auf Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten, die auf die Stan­dard­schutz­klau­seln im Beschluss 2010/​87 gestützt wer­den, sowie nach dem Schutz­ni­veau, das die­se Ver­ord­nung im Rah­men einer sol­chen Über­mitt­lung ver­langt, und den Pflich­ten, die den Auf­sichts­be­hör­den in die­sem Zusam­men­hang oblie­gen. Damit warf der High Court die Fra­ge der Gül­tig­keit des Ange­mes­sen­heits­be­schlus­ses 2010/​87 der EU-Kom­mis­si­on über die Stan­dard­ver­trags­klau­seln auf.

    Vom „Schrems I“-Urteil zum Pri­va­cy Shield

    Nach­dem die­ses Vor­ab­ent­schei­dungs­ver­fah­ren durch den iri­schen High Court ein­ge­lei­tet wor­den war, erließ die EU-Kom­mis­si­on auf der Basis des zwi­schen­zeit­lich von ihr mit derUS-Admi­nis­tra­ti­on ver­han­del­ten, inhalt­lich dem auf­ge­ho­be­nen Safe-Har­bour-Abkom­men weit­ge­hendst ent­spre­chen­den, EU-US-Pri­va­cy Shield“-Abkom­mens,einen Ange­mes­sen­heits­be­schluss bezüg­lich der dem Pri­va­cy Shield unter­fal­len­den per­so­nen­be­zo­ge­nen Daten [6]. Der iri­sche High Court erwei­ter­te dar­auf­hin sei­ne durch den Uni­ons­ge­richts­hof zu beant­wor­ten­den Vor­la­ge­fra­gen auch auf die Gül­tig­keit des Ange­mes­sen­heits­be­schlus­ses 2016/​1250 der EU-Kom­mis­si­on zu den dem Pri­va­cy Shield unter­fal­len­den per­so­nen­be­zo­ge­nen Daten.

    Das neue „Schrems II“-Urteil des Uni­ons­ge­richts­hofs

    Mit sei­nem jetzt ver­kün­de­ten Urteil stellt der Gerichts­hof der Euro­päi­schen Uni­on fest, dass die Prü­fung des Beschlus­ses 2010/​87 über Stan­dard­ver­trags­klau­seln anhand der Char­ta der Grund­rech­te der Euro­päi­schen Uni­on nichts erge­ben hat, was sei­ne Gül­tig­keit berüh­ren könn­te. Der Trans­fer sowie die Spei­che­rung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in die Ver­ei­nig­ten Staa­ten kann also wei­ter­hin auf der Basis der Stan­dard­ver­trags­klau­seln erfol­gen. Dage­gen erklär­ten der Uni­ons­ge­richts­hof den Pri­va­cy Shield-Beschluss 2016/​1250 für ungül­tig:

    Der Uni­ons­ge­richts­hof beton­te zunächst, dass das euro­päi­sche Uni­ons­recht, ins­be­son­de­re die DSGVO, auf eine zu gewerb­li­chen Zwe­cken erfol­gen­de Über­mitt­lung per­so­nen­be­zo­ge­ner Daten durch einen in einem Mit­glied­staat ansäs­si­gen Wirt­schafts­teil­neh­mer an einen ande­ren, in einem Dritt­land ansäs­si­gen Wirt­schafts­teil­neh­mer Anwen­dung fin­det, auch wenn die Daten bei ihrer Über­mitt­lung oder im Anschluss dar­an von den Behör­den des betref­fen­den Dritt­lands für Zwe­cke der öffent­li­chen Sicher­heit, der Lan­des­ver­tei­di­gung und der Sicher­heit des Staa­tes ver­ar­bei­tet wer­den kön­nen. Eine der­ar­ti­ge Daten­ver­ar­bei­tung durch die Behör­den eines Dritt­lands kann nicht dazu füh­ren, dass eine sol­che Über­mitt­lung vom Anwen­dungs­be­reich der DSGVO aus­ge­nom­men wäre.

    Prü­fungs­pflich­ten der Daten­schutz­auf­sichts­be­hör­den

    In Bezug auf das im Rah­men einer sol­chen Über­mitt­lung erfor­der­li­che Schutz­ni­veau ver­langt der Uni­ons­ge­richts­hof in sei­nem jetzt ver­kün­de­ten Urteil aus­drück­lich, dass die inso­weit in der DSGVO vor­ge­se­he­nen Anfor­de­run­gen, die sich auf geeig­ne­te Garan­tien, durch­setz­ba­re Rech­te und wirk­sa­me Rechts­be­hel­fe bezie­hen, dahin aus­zu­le­gen sind, dass die Per­so­nen, deren per­so­nen­be­zo­ge­ne Daten auf der Grund­la­ge von Stan­dard­ver­trags­klau­seln in ein Dritt­land über­mit­telt wer­den, ein Schutz­ni­veau genie­ßen müs­sen, das dem in der Euro­päi­schen Uni­on durch die DSGVO im Licht der Char­ta garan­tier­ten Niveau der Sache nach gleich­wer­tig ist. Bei der Beur­tei­lung die­ses Schutz­ni­veaus sind nach dem Urteil des Uni­ons­ge­richts­hofs sowohl die ver­trag­li­chen Rege­lun­gen zu berück­sich­ti­gen, die zwi­schen dem in der Uni­on ansäs­si­gen Daten­ex­por­teur und dem im betref­fen­den Dritt­land ansäs­si­gen Emp­fän­ger der Über­mitt­lung ver­ein­bart wur­den, als auch, was einen etwai­gen Zugriff der Behör­den die­ses Dritt­lands auf die über­mit­tel­ten Daten betrifft, die maß­geb­li­chen Aspek­te der Rechts­ord­nung die­ses Lan­des.

    Hin­sicht­lich der Pflich­ten, die den Daten­schutz-Auf­sichts­be­hör­den im Zusam­men­hang mit einer sol­chen Über­mitt­lung oblie­gen, beton­te der Uni­ons­ge­richts­hof, dass die­se Behör­den, sofern kein gül­ti­ger Ange­mes­sen­heits­be­schluss der Kom­mis­si­on vor­liegt, ins­be­son­de­re ver­pflich­tet sind, eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein Dritt­land aus­zu­set­zen oder zu ver­bie­ten, wenn sie im Licht der Umstän­de die­ser Über­mitt­lung der Auf­fas­sung sind, dass die Stan­dard­da­ten­schutz­klau­seln in die­sem Land nicht ein­ge­hal­ten wer­den oder nicht ein­ge­hal­ten wer­den kön­nen und dass der nach dem Uni­ons­recht erfor­der­li­che Schutz der über­mit­tel­ten Daten nicht mit ande­ren Mit­teln gewähr­leis­tet wer­den kann, es sei denn, der in der Euro­päi­schen Uni­on ansäs­si­ge Daten­ex­por­teur hat die Über­mitt­lung selbst aus­ge­setzt oder been­det.

    Gül­tig­keit und Gren­zen der Stan­dard­ver­trags­klau­seln

    Sodann prüf­te der Uni­ons­ge­richts­hof ‑ent­spre­chend den erwei­ter­ten Vor­la­ge­fra­gen des iri­schen High Courts- die Gül­tig­keit des Ange­mes­sen­heits­be­schlus­ses 2010/​87 der EU-Kom­mis­si­on über die Stan­dard­ver­trags­klau­seln.

    Der Uni­ons­ge­richts­hof sieht die Gül­tig­keit nicht schon dadurch in Fra­ge gestellt, dass die in die­sem Ange­mes­sen­heits­be­schluss ent­hal­te­nen Stan­dard­da­ten­schutz­klau­seln auf­grund ihres Ver­trags­cha­rak­ters die Behör­den des Dritt­lands, in das mög­li­cher­wei­se Daten über­mit­telt wer­den, nicht bin­den. Viel­mehr hängt die Gül­tig­keit davon ab, ob der Beschluss wirk­sa­me Mecha­nis­men ent­hält, die in der Pra­xis gewähr­leis­ten kön­nen, dass das vom euro­päi­schen Uni­ons­recht ver­lang­te Schutz­ni­veau ein­ge­hal­ten wird und dass auf sol­che Klau­seln gestütz­te Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten aus­ge­setzt oder ver­bo­ten wer­den, wenn gegen die­se Klau­seln ver­sto­ßen wird oder ihre Ein­hal­tung unmög­lich ist.

    Der Uni­ons­ge­richts­hof stellt sodann fest, dass der Ange­mes­sen­heits­be­schluss 2010/​87 der­ar­ti­ge Mecha­nis­men vor­sieht. Inso­weit hebt er ins­be­son­de­re her­vor, dass gemäß die­sem Beschluss der Daten­ex­por­teur und der Emp­fän­ger der Über­mitt­lung vor­ab prü­fen müs­sen, ob das erfor­der­li­che Schutz­ni­veau im betref­fen­den Dritt­land ein­ge­hal­ten wird, und dass der Emp­fän­ger dem Daten­ex­por­teur gege­be­nen­falls mit­tei­len muss, dass er die Stan­dard­schutz­klau­seln nicht ein­hal­ten kann, wor­auf­hin der Expor­teur die Daten­über­mitt­lung aus­set­zen und/​oder vom Ver­trag mit dem Emp­fän­ger zurück­tre­ten muss.

    Ungül­tig­keit des EU-US-Pri­va­cy Shiel­ds

    Schließ­lich prüf­te der Uni­ons­ge­richts­hof die Gül­tig­keit des Pri­va­cy-Shield-Beschlus­ses 2016/​1250 anhand der Anfor­de­run­gen der DSGVO im Licht der Bestim­mun­gen der EU-Grund­rech­te-Char­ta, die die Ach­tung des Pri­vat- und Fami­li­en­le­bens, den Schutz per­so­nen­be­zo­ge­ner Daten und das Recht auf effek­ti­ven gericht­li­chen Rechts­schutz ver­bür­gen.

    Inso­weit stellt er ‑wenig über­ra­schend- fest, dass in die­sem Beschluss, eben­so wie in der Safe-Har­bour-Ent­schei­dung 2000/​520, den Erfor­der­nis­sen der natio­na­len Sicher­heit (der USA), des öffent­li­chen Inter­es­ses (der USA) und der Ein­hal­tung des ame­ri­ka­ni­schen Rechts Vor­rang ein­ge­räumt wird, was Ein­grif­fe in die Grund­rech­te der Per­so­nen ermög­licht, deren Daten in die Ver­ei­nig­ten Staa­ten über­mit­telt wer­den.

    Der Gerichts­hof der Euro­päi­schen Uni­on kommt daher zu dem Ergeb­nis, dass die von der EU-Kom­mis­si­on im Pri­va­cyS­hield-Beschluss 2016/​1250 bewer­te­ten Ein­schrän­kun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten, die sich dar­aus erge­ben, dass die ame­ri­ka­ni­schen Behör­den nach dem Recht der Ver­ei­nig­ten Staa­ten auf sol­che Daten, die aus der Uni­on in die­ses Dritt­land über­mit­telt wer­den, zugrei­fen und sie ver­wen­den dür­fen, nicht der­ge­stalt gere­gelt sind, dass damit Anfor­de­run­gen erfüllt wür­den, die den im eurpäi­schen Uni­ons­recht nach dem Grund­satz der Ver­hält­nis­mä­ßig­keit bestehen­den Anfor­de­run­gen der Sache nach gleich­wer­tig wären, da die auf die ame­ri­ka­ni­schen Rechts­vor­schrif­ten gestütz­ten Über­wa­chungs­pro­gram­me nicht auf das zwin­gend erfor­der­li­che Maß beschränkt sind.

    Gestützt auf die Fest­stel­lun­gen in die­sem Beschluss weist der Uni­ons­ge­richts­hof des­wei­te­ren dar­auf hin, dass die betref­fen­den Vor­schrif­ten hin­sicht­lich bestimm­ter Über­wa­chungs­pro­gram­me in kei­ner Wei­se erken­nen las­sen, dass für die dar­in ent­hal­te­ne Ermäch­ti­gung zur Durch­füh­rung die­ser Pro­gram­me Ein­schrän­kun­gen bestehen; genau­so wenig ist ersicht­lich, dass für die poten­zi­ell von die­sen Pro­gram­men erfass­ten Per­so­nen, die kei­ne ame­ri­ka­ni­schen Staats­bür­ger sind, Garan­tien exis­tie­ren.

    Die­se Vor­schrif­ten sehen zwar Anfor­de­run­gen vor, die von den ame­ri­ka­ni­schen Behör­den bei der Durch­füh­rung der betref­fen­den Über­wa­chungs­pro­gram­me ein­zu­hal­ten sind, die aber, wie der Uni­ons­ge­richts­hof aus­drück­lich moniert, den betrof­fe­nen Per­so­nen kei­ne Rech­te ver­lei­hen, die gegen­über den ame­ri­ka­ni­schen Behör­den gericht­lich durch­ge­setzt wer­den kön­nen.

    In Bezug auf das Erfor­der­nis des gericht­li­chen Rechts­schut­zes der betrof­fe­nen Per­so­nen befin­det der Uni­ons­ge­richts­hof daher, dass der im Pri­va­cy-Shield-Beschluss 2016/​1250 ange­führ­te Ombuds­me­cha­nis­mus ent­ge­gen den dar­in von der EU-Kom­mis­si­on getrof­fe­nen Fest­stel­lun­gen den betrof­fe­nen Per­so­nen kei­nen Rechts­weg zu einem Organ eröff­net, das Garan­tien böte, die den nach dem euro­päi­schen Uni­ons­recht erfor­der­li­chen Garan­tien der Sache nach gleich­wer­tig wären.

    Im Klar­text: Das EU-US-Pri­va­cy Shield und der hier­zu ergan­ge­ne Ange­mes­sen­heits­be­schluss der EU-Kom­mis­si­on ent­hal­ten kei­ne Garan­tien, die sowohl die Unab­hän­gig­keit der durch die­sen Mecha­nis­mus vor­ge­se­he­nen Ombuds­per­son als auch das Bestehen von Nor­men gewähr­leis­ten, die die Ombuds­per­son dazu ermäch­ti­gen, gegen­über den ame­ri­ka­ni­schen Nach­rich­ten­diens­ten ver­bind­li­che Ent­schei­dun­gen zu erlas­sen.

    Aus all die­sen Grün­den erklärt der Gerichts­hof der Euro­päi­schen Uni­on daher den zum Pri­va­cy-Shield erga­ge­nen Ange­mes­sen­heits­be­schluss 2016/​1250 der EU-Kom­mis­si­on für ungül­tig.

    Fazit

    Eine Ver­ar­bei­tung von durch die DSGVO geschütz­ten per­so­nen­be­zo­ge­nen Daten ‑ein­schließ­lich des Trans­fers und der Spei­che­rung- in den USA kann daher nicht mehr auf der Grund­la­ge des Pri­va­cy Shield (sowie des dazu ergan­ge­nen Ange­mes­sen­heits­be­schlus­ses) erge­hen. Eine Daten­ver­ar­bei­tung auf­grund der Stan­dard­ver­trags­klau­seln ist dage­gen wei­ter­hin mög­lich, wenn der Schutz die­ser Daten ‑ein­schließ­lich eines ange­mes­se­nen Rechts­schut­zes- im Emp­fän­ger­land, also in den USA, gewähr­leis­tet ist – was ange­sichts der Fest­stel­lun­gen des Uni­ons­ge­richts­hofs der­zeit aber eben­falls nicht gege­ben sein dürf­te.

    1. ABl. 2016, L 207, S. 1[]
    2. Ver­ord­nung (EU) 2016/​679 des Euro­päi­schen Par­la­ments und des Rates vom 27. April 2016 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum frei­en Daten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/​46/​EG, ABl. 2016, L 119, S. 1[]
    3. Ent­schei­dung der Kom­mis­si­on vom 26. Juli 2000 gemäß der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates über die Ange­mes­sen­heit des von den Grund­sät­zen des „siche­ren Hafens“ und der dies­be­züg­li­chen „Häu­fig gestell­ten Fra­gen“ (FAQ) gewähr­leis­te­ten Schut­zes, vor­ge­legt vom Han­dels­mi­nis­te­ri­um der USA, ABl. 2000, L 215, S. 7[]
    4. EuGH, Urteil vom 06.10.2015 – C‑362/​14, „Schrems I“[]
    5. Beschluss der EU-Kom­mis­si­on vom 5. Febru­ar 2010 über Stan­dard­ver­trags­klau­seln für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter in Dritt­län­dern nach der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates, ABl. 2010, L 39, S. 5, in der Fas­sung des Durch­füh­rungs­be­schlus­ses (EU) 2016/​2297 der EU-Kom­mis­si­on vom 16. Dezem­ber 2016, ABl. 2016, L 334, S. 100[]
    6. Durch­füh­rungs­be­schluss (EU) 2016/​1250 der EU-Kom­mis­si­on vom 12. Juli 2016 gemäß der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates über die Ange­mes­sen­heit des vom EU-US-Daten­schutz­schild gebo­te­nen Schut­zes, ABl. 2016, L 207, S. 1[]