Der europäische Gerichtshof (EuGH) hat mit aktuellem Urteil vom 16.07.2020 (Rechtssache C‑311/18) den Datentransfer an Unternehmen mit Sitz in den USA auf der Grundlage des sogenannten „Privacy-Shield-Abkommens“ zwischen der EU und den USA für unwirksam erklärt und damit den Transfer von personenbezogenen Daten an US-Unternehmen erheblich erschwert.
Was bemängelt der EuGH am Privacy-Shield-Abkommen?
Der EuGH bemängelte insbesondere, dass US-Behörden ohne Gerichtsbeschluss Zugriff auf Daten europäischer Bürger, welche bei US-Unternehmen gespeichert sind, nehmen können. Darüber hinaus bestehe gegen die staatlichen Eingriffe der US-Behörden kein effektiver gerichtlicher Rechtsschutz, so dass die in der europäischen Charta vorgesehenen Grundrechte durch Unternehmen mit Sitz in den USA nicht gewährleistet seien und damit auch kein angemessenes Datenschutzniveau in den USA vorliege. Nachdem die europäische Kommission gemäß Artikel 45 DSGVO jedoch nur dann einen Angemessenheitsbeschluss für ein Drittland erlassen könne, wenn ein angemessenes Schutzniveau in dem Drittland bestehe und dieses eben für die USA nicht der Fall sei, erklärte der EuGH den Angemessenheitsbeschluss der europäischen Kommission für die USA – das sog. „Privacy-Shield-Abkommen“ – für unwirksam.
Sind „Standardvertragsklauseln“ eine Alternative für einen legalen Datentransfer an Unternehmen mit Sitz in den USA?
Standardvertragsklauseln sind eine weitere Möglichkeit Datentransfers in die USA zu legitimieren. Die Standardvertragsklauseln hielt der EuGH grundsätzlich für wirksam. Allerdings entschied der EuGH auch, dass Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittländer dienen können, sofern ein angemessenes Datenschutzniveau auch tatsächlich im Drittland (z.B. in den USA) gewahrt wird. Da der EuGH das Datenschutzniveau in den USA aufgrund der Zugriffsmöglichkeiten der US-Behörden auf Daten bei US-Unternehmen und die fehlenden gerichtlichen Rechtsschutzmöglichkeiten gegen diese staatlichen Eingriffe grundsätzlich für unzureichend hielt, erteilte der EuGH den Datentransfers an US-Unternehmen auf Grundlage der Standardvertragsklauseln – objektiv betrachtet – ebenfalls mittelbar eine Absage.
Welche Konsequenzen drohen?
Derzeit droht wohl noch keine unmittelbare Gefahr durch die Aufsichtsbehörden, allerdings ist dies nur eine Frage der Zeit und theoretisch kann nun jeder Betroffene (Nutzer, Beschäftigte, Kunden, Patienten, Mandanten, Lieferanten, Dienstleister usw.) eine verantwortliche Stelle verklagen, sofern der Verantwortliche Dienstleister einsetzt, welche personenbezogenen Daten in die USA bzw. an Unternehmen mit Sitz in den USA übermitteln. Das gilt ebenso für jeden Besucher einer Website, wenn auf der Website Dienste eingesetzt werden, welche personenbezogene Daten in die USA bzw. personenbezogene Daten des Websitebesuchers an US-Unternehmen transferiert werden.
Was können bzw. sollten Unternehmen nun tun?
- Werden US-Anbieter eingesetzt, sollte man zumindest auf EU-Server der Anbieter ausweichen. Viele Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden. Auch hier bestehen allerdings erhebliche Rechtsunsicherheiten, da US-Behörden auf alle Daten von US-Unternehmen Zugriff nehmen können, auch wenn die Server nicht in den USA stehen, sondern in einem anderen Land. Hier ist der Sitz des Unternehmens in den USA, nicht aber der Ort, an dem die Daten gespeichert sind, entscheidend.
- Es können Einwilligungen der Betroffenen (z.B. über Cookie-Consent-Banner) eingeholt werden. Allerdings müssen die Betroffenen vollumfänglich und transparent auf den Einsatz von US-Dienstleistern und die Risiken hingewiesen werden, was im Hinblick darauf, dass die US-Dienstleister in aller Regel nicht vollumfänglich preisgeben, zu welchen Zwecken sie Daten verarbeiten und an wen sie die Daten weitergeben, ebenfalls mit Risiken und Rechtsunsicherheiten für den Verantwortlichen verbunden ist.
- Bis auf Weiteres sollten keine Dienstleister mehr eingesetzt werden, deren Subunternehmer Daten in den USA bzw. über US-Unternehmen verarbeiten.
- Verträge und Datenschutzhinweise sollten angepasst werden und Hinweise auf die Rechtsgrundlage des Privacy-Shields für einen Drittstaatentransfer von Daten entfernt werden.
- Sofern möglich, sollte auf Anbieter mit Sitz ausschließlich in der EU umgestellt werden. Zusätzlich sollte darauf geachtet werden, dass diese Anbieter keine Subunternehmen mit Sitz in den USA beauftragen.
Fazit: Der europäische Gesetzgeber hat sich mit den Vorgaben der DSGVO weit aus dem Fenster gelehnt und erntet nun, was er gesät hat. Ein Ende des Chaos von Datentransfers aus der EU in die USA bzw. an Unternehmen mit Sitz in den USA ist nicht abzusehen. Das grundsätzliche Problem des Zugriffs von US-Behörden auf Daten europäischer Bürger ohne Rechtsschutzmöglichkeit wird unserer Einschätzung nach noch eine längere Zeit bestehen bleiben. Will man sich nicht dem Risiko von Datenschutzverstößen, erheblichen Bußgeldern und Klagen Betroffener aussetzen, sind europäische Unternehmen daher gut beraten, sich für ihre Datenverarbeitungsprozesse so weit wie möglich alternative Unternehmen mit Sitz in der EU (und nicht auch in den USA), welche auch keine Subunternehmer in den USA einsetzen, zu suchen.
Die Pressemitteilung des EuGH vom 16.07.2020:
Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig
Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig.
Die Datenschutz-Grundverordnung(1) (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet(2). Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erlassenen Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen(3). Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen(4).
Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/520(5) (sogenannte „Safe-Harbour-Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des High Court (Hoher Gerichtshof, Irland) hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I)(6).
Nachdem das Urteil Schrems I ergangen war und das irische Gericht daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Entscheidung 2000/520 durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/87(7) vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 abhänge, und strengte daher ein Verfahren vor dem High Court (Hoher Gerichtshof) an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes(8).
Mit seinem Vorabentscheidungsersuchen fragt das vorlegende Gericht den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 als auch des Beschlusses 2016/1250 auf.
Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 anhand der Charta der Grundrechte nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Beschluss 2016/1250 erklärt er hingegen für ungültig.
Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können. Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre.
In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes.
Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.
Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.
Schließlich prüft der Gerichtshof die Gültigkeit des Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.
In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.
1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. 2016, L 119, S. 1)
3 Art. 46 Abs. 1 und Abs. 2 Buchst. c der DSGVO
5 Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (ABl. 2000, L 215, S. 7)
6 Urteil des Gerichtshofs vom 6. Oktober 2015, Schrems, C‑362/14 (vgl. auch Pressemitteilung Nr. 117/15)
7 Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. 2010, L 39, S. 5) in der Fassung des Durchführungsbeschlusses (EU) 2016/2297 der Kommission vom 16. Dezember 2016 (ABl. 2016, L 334, S. 100).
8 Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (ABl. 2016, L 207, S. 1)