Der Europäischen Gerichtshof (EuGH) erklärte am 16. Juli 2020 im sogenannten Schrems-II-Urteil (C 311/18) das EU-U.S. Privacy Shield für unwirksam. Wir fassen die wichtigsten Fakten zusammen.
Hinweis: Die EU-Kommission erließ am 10. Juli 2023 einen neuen Angemessenheitsbeschluss für die USA bzgl. des EU-U.S. Data Privacy Frameworks.
Die Ausführungen des EuGH im Schrems II-Urteil behalten für die Übermittlung personenbezogener Daten in andere Drittländer, für die kein Angemessenheitsbeschluss besteht, und für nicht zertifizierte US-Unternehmen weiterhin Bedeutung.
Was war das EU-U.S. Privacy Shield?
Das EU-U.S. Privacy Shield war eine Entscheidung der EU-Kommission vom 12. Juli 2016 und war neben den EU-Standardvertragsklauseln der Kommission und Binding Corporate Rules eine zusätzliche Datenschutzgarantie im Rahmen von Datentransfers in die USA.
Das Privacy Shield enthielt Datenschutzprinzipien und -regeln, die von US-Unternehmen eingehalten werden mussten, wenn sie personenbezogene Daten aus der EU verarbeiteten oder übermittelten. In eine Art Register konnten sich US-Unternehmen selbst eintragen und waren dann rechtlich an die Vorgaben des Privacy Shield (Privacy Shield Principles) gebunden.
Die Selbstzertifizierung eines US-Unternehmens attestierte diesem, dass für Datenübermittlungen aus der EU an dieses US-Unternehmen von einem angemessenen Schutzniveau auszugehen war. Somit waren Datentransfers aus der EU in die USA unter denselben Voraussetzungen zulässig wie zwischen Unternehmen innerhalb der EU.
Was änderte sich durch das Schrems-II-Urteil?
Hintergrund des Richterspruchs ist die Beschwerde des Datenschutzaktivisten Max Schrems gegen Facebook. Schrems hatte beanstandet, dass Facebook Ireland seine personenbezogenen Daten ganz oder teilweise an Server der Facebook Inc., die sich in den USA befinden, übermittelt und dort verarbeitet. Er legte eine Beschwerde bei der für Facebook zuständigen irischen Aufsichtsbehörde ein, mit der Begründung, dass die USA keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisten. Der irische High Court fragte in seinem Vorabentscheidungsersuchen den EuGH nach der Anwendbarkeit der EU-Datenschutz-Grundverordnung (DSGVO) für Datenübermittlungen, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren warf der High Court die Frage nach Gültigkeit sowohl der Standardvertragsklauseln als auch dem EU-U.S. Privacy Shield auf.
EU-U.S. Privacy-Shield ungültig
Der EuGH stellte wie in der Safe-Harbor-Entscheidung von 2015 fest, dass auch beim EU-U.S. Privacy Shield den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, womit durch die Zugriffsmöglichkeiten der US-Behörden die Anforderungen an den Datenschutz nicht gewährleistet sind.
Die Richter kamen zu dem Schluss, dass die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Ferner bezweifelten die Richter, dass die Position der von der EU-Kommission eingesetzten Ombudsperson auf Seiten der USA, an den sich EU-Bürger wenden konnten, wenn sie ihre Privatsphäre durch US-Unternehmen verletzt sehen, unabhängig genug ist. Die Richter stellten grundsätzlich infrage, dass diese Ombudsperson die Macht hat, sich effektiv für EU-Bürger einzusetzen.
Standardvertragsklauseln behalten Gültigkeit
In seinem Schrems-II-Urteil stellte der EuGH jedoch fest, dass personenbezogene Daten weiterhin auf Basis sogenannter Standardvertragsklauseln aus der EU in die USA und andere Drittstaaten übertragen werden können. Standardvertragsklauseln bieten demnach ausreichend Garantien, dass die personenbezogenen Daten in einem Drittland in vergleichbarem Maße wie in der EU geschützt werden.
Allerdings hoben die Richter deutlich hervor, dass Unternehmen beim Einsatz von Standarddatenschutzklauseln grundsätzlich zu prüfen haben, ob der Empfänger der Daten auch tatsächlich das erforderliche Schutzniveau einhalten kann. Bei der Beurteilung des Schutzniveaus dürfen nicht nur die vertraglichen Regelungen berücksichtigt werden. Der Datenexporteur muss auch prüfen, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vorgaben der Klauseln einzuhalten. Ist dies nicht der Fall, muss der Exporteur die Datenübermittlung aussetzen bzw. vom Vertrag mit dem Empfänger zurücktreten. Hilfsweise müssten die Aufsichtsbehörden die Verarbeitung untersagen.
Tipp: Am 7. Juni 2021 veröffentlichte die EU-Kommission die neuen Standardvertragsklauseln für Übermittlungen personenbezogener Daten in ein Drittland.
Die neuen Klauseln tragen den Erwägungen des EuGHs insoweit Rechnung, indem die Anforderungen an die Verwendung von Standardvertragsklauseln in der Praxis ganz erheblich verschärft wurden.
Auswirkungen des Schrems II-Urteils
Trotz des mittlerweile vorliegenden neuen Angemessenheitsbeschlusses für die USA behalten die Ausführungen des EuGH im Schrems II-Urteil für Drittlandtransfers weiterhin Bedeutung. Das Urteil ist weiterhin für europäische Unternehmen relevant, die personenbezogene Daten in Drittländer ohne Angemessenheitsbeschluss oder an US Unternehmen, die nicht unter dem neuen Data Privacy Framework zertifiziert sind, übermitteln.
Aber das Urteil hat auch Auswirkungen für europäische Unternehmen, die personenbezogene Daten in Drittländer auf Grundlage von Standardvertragsklauseln übermitteln. Hier muss nun geprüft werden, ob der Empfänger im Drittland anhand der Rechtsordnung seines Landes überhaupt in der Lage ist, die Anforderungen der Standardvertragsklauseln einzuhalten.
Vor der Übermittlung personenbezogene Daten an Drittländer nach Art. 46 DSGVO (z.B. Standardvertragsklauseln und Binding Corporate Rules (BCR)) müssen Verantwortliche prüfen, ob die Verarbeitung der Daten im jeweiligen Drittland bei Anwendung der geeigneten Garantien „einen im Wesentlichen gleichwertigen Schutz genießen“ wie in der EU.
Verhindert das Recht des Drittlandes die Einhaltung der Garantien, müssen zusätzliche Maßnahmen ergriffen werden, die im konkreten Einzelfall diesen Schutz herstellen. Denkbar sind rechtliche, technische oder organisatorische Maßnahmen. Sofern geeignete Maßnahmen nicht ersichtlich sind oder die Rechtsordnung im Drittland die tatsächliche Wirksamkeit der Maßnahmen beeinträchtigt, ist eine rechtmäßige Übermittlung nicht möglich.
Fazit: Ein Urteil mit enormen Auswirkungen
Der EuGH hat in seinem Urteil zwar grundsätzlich die Gültigkeit der Standardvertragsklauseln bestätigt, jedoch gleichzeitig klargestellt, dass die Bewertung eines gleichwertigen Datenschutzes in Drittländern dem in der Union ansässigen Datenexporteur obliegt. Unternehmen, die den Datentransfer auf Standardvertragsklauseln, Binding Corporate Rules oder anderen Garantien stützen, müssen selbst prüfen, ob die getroffenen Vereinbarungen durch den Empfänger in seinem Rechtskreis eingehalten werden können und ggf. die entsprechenden Konsequenzen ziehen.
Aufsichtsbehörden sind, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass bei Anwendung geeigneter Garantien der nach dem Unionsrecht erforderliche Schutz der übermittelten
Inwieweit das neue Datenschutzabkommen für einen besseren Schutz personenbezogener Daten, die aus der Union in die USA übermittelt werden, sorgt, wird sich zeigen. Ebenso ob das neue Abkommen den betroffenen Personen aus dem Unionsraum einen ausreichenden Rechtsweg eröffnet, wird sicher noch Gegenstand einer Prüfung durch den EuGH sein.