Mit dem Entscheid vom 16.07.2020 hat der EuGH den Beschluss der EU-Kommission zum EU-US-Privacy-Shield gekippt: Dies wird damit begründet, dass der zwischen der EU und den USA abgeschlossene sogenannten Privacy Shield – dem datenschutzrechtlichen Rahmenabkommen zur Einhaltung der europäischen Datenschutzbestimmungen – dem EU Standard gemäss DSGVO und insbesondere der Grundrechte-Charta nicht zu genügen vermagt und für ungültig erklärt wird. Der Europäische Gerichtshof hielt fest, dass bei der Übermittlung von personenbezogenen Daten in die USA kein angemessenes Datenschutzniveau im Sinne der DSGVO mit dem Privacy Shield alleine gewährleistet werden kann. Immerhin wurde durch den Entscheid bestätigt, dass die Standartvertragsklauseln weiterhin gelten.
Wie bereits in unseren vorherigen Artikeln (Fällt das US-Privacy Shield wegen Max Schrems? und EU-US-Privacy Shield vom EUGH gekippt) berichtet, hatte Max Schrems, Privacy Aktivist und Nutzer von Facebook, die Weiterleitung seiner Personendaten von Facebook Ireland Ltd. an die Muttergesellschaft, Facebook Inc., in die USA beanstandet: Seiner Meinung nach verfügt die USA nicht über ein adäquates Datenschutzniveau, welches den Datenaustausch zwischen der EU und den USA erlauben würde, dies trotz EU-US Privacy Shield oder der Tatsache, dass zwischen Facebook Ireland und Facebook Inc. eine vertragliche Vereinbarung über den Datenaustausch vereinbart worden war. Der EuGH hat diese Sichtweise grosso modo geschützt. (Rechtssache C-311/18)
Vereinbarkeit des Privacy-Shield-Beschlusses mit der DSGVO
Konkret prüfte der EuGH die Vereinbarkeit des Privacy-Shield-Beschlusses mit der DSGVO, die im Lichte der EU-Grundrechtecharta auszulegen ist. Im Besonderen ging es um die Unionsgrundrechte auf Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Schutz. In dem Privacy-Shield-Beschluss wird den Erfordernissen der nationalen Sicherheit in den USA Vorrang gegenüber diesen Grundrechten eingeräumt. So dürfen zum Beispiel Überwachungsprogramme der amerikanischen Behörden auf die von EU-Bürgern übermittelten personenbezogenen Daten zugreifen. Die Regelungen im Privacy-Shield-Beschluss zu den Befugnissen der amerikanischen Behörden sind nach Meinung des EuGHs jedoch unzureichend und entsprechen nicht den Anforderungen des Unionsrechts, insbesondere alle Menschen gleich zu behandeln, unabhängig davon, ob sie US-Bürger sind oder nicht. Die Eingriffe der Behörden in die Grundrechte der betroffenen Unionsbürger seien unverhältnismäßig, denn die Überwachungsprogramme der US-Behörden seien nicht „auf das zwingend erforderliche Maß beschränkt“. Diese Beurteilung bezieht sich insbesondere auf die beiden Programme PRISM und UPSTREAM der amerikanischen Sicherheitsbehörden. Aus dem Urteil geht hervor, dass die beiden Programme eine umfassende und anlasslose staatliche Massenüberwachung sowohl von US-Bürgern als auch von EU-Bürgern ermöglicht. Auch ist eine gerichtliche Kontrolle der Überwachnung und Datenverarbeitung ist nicht bzw. nur eingeschränkt möglich. Der Privacy-Shield trifft keine Vorkehrungen, damit die betroffenen EU-Bürger ihre Recht gegenüber den amerikanischen Behörden effektiv gerichtlich durchsetzen können. Diesem Umstand wird gemäss EuGH auch nicht Rechnung getragen durch die Möglichkeit, sich bei möglichen Rechtsverletzungen an den Obudsmann zu wenden, das an der Unabhängigkeit und dessen bindenden Entscheidbefugnis gegenüber US Nachrichtendiensten gezweifelt wird.
Den Beschluss 2010/87 über die EU-Standardvertragsklauseln, auf die Facebook sich bei der Datenübermittlung beruft, hielt der Gerichtshof dagegen für gültig. Facebook Inc. hat Facebook Irland bezüglich der Datenübermittlung vertraglich bescheinigt, dass in den USA ein Datenschutzniveau nach EU-Massstäben eingehalten wird. Dabei wurden die EU-Standardvertragsklauseln vertraglich als verbindlich erklärt. Dieser Vertrag entfaltet allerdings ausschliesslich Wirkung zwischen den beiden Vertragsparteien. Um eine Überprüfung der Standardvertragsklauseln zu gewährleisten hat der EuGH im vorliegenden Urteil die Datenschutzbehörden der Mitgliedstaaten in die Pflicht genommen. Es soll also gewährleistet werden, dass Art. 49 DSGVO eingehalten wird. Gem. EuGH ist „eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn die Standardvertragsklauseln in dem Drittland nicht eingehalten werden“. Entscheidend für die Gültigkeit des Beschlusses 2010/87 ist, dass dieser wirksame Mechanismen vorsieht um das EU Datenschutzniveau zu gewährleisten. Im Einzelfall müssten die Vertragsparteien bei einer Datenübermittlung sowie auch die Datenschutzbehörden also prüfen, ob das betreffende Schutzniveau im Drittland eingehalten wird. Im vorliegenden Fall ist die irische Datenschutzbehörde in der Pflicht, den Datenfluss von Facebook-Nutzerdaten in die USA auszusetzen oder zu verbieten, wenn die Klauseln nicht eingehalten werden.
EDÖB prüft Swiss-EU-Privacy Shield
Wie der Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) mitteilte, hat er das EuGH-Urteil zur Kenntnis genommen. Allerdings ist das EuGH Urteil für die Schweiz nicht direkt anwendbar. Deshalb prüft der EDÖB die Argumentation um später eine Stellungnahme abgeben. Da das Swiss-EU-Privacy Shield Mechanismen vorsieht, die es Schweizer Bürgern erlaubt, sich beim Ombudsman zu beschweren, dürfte es derzeit offen sein, ob die Schweiz das Swiss-U.S. Privacy Shield aufkündigt.
ToDo’s für Unternehmen
Aufgrund des Urteils des EuGHs sind Unternehmen gezwungen, den Austausch von Personendaten mit Drittstaaten und insbesondere den USA zu prüfen. Neu kann ein solcher Austausch nicht gestützt auf das EU-U.S. Privacy Shield erfolgen, sondern hat sich auf die sogenannten EU Standard Contractual Clauses abzustützen.
Zusätzlich ist von den Unternehmen sicherzustellen, dass die technischen und organisatorischen Massnahmen implementiert werden, um das adäquate Datenschutzniveau zwischen den Parteien analog den Vorgaben der DSGVO sicherzustellen.
Greifen Drittstaaten unter Missachtung rechtsstaatliche Grundlagen auf Personendaten von EU Bürgern zu, ohne dass sich letztere dagegen mit rechtsstaatlichen Mitteln wehren können, so ist der Datentransfer untersagt
Die Umsetzung dieser Vorgaben ist schwierig, zumal die rechtsstaatlichen Garantien nur von Gesetzgebern von Drittstaaten gewährt werden können. Es wird sich zeigen und weiter zu präzisieren sein, welchen Verpflichtungen Unternehmen nachkommen müssen, um den Vorgaben des EuGH und der DSGVO nachzukommen. Eine erste Auslegeordnung findet sich im Fragen- und Antwortenkatalog der Europäischen Datenschutzbehörden.[2] Es ist in jedem Fall davon auszugehen, dass Kontrollmechanismen wie Audits, Reviews, Verschlüsselungen etc. eine noch grössere Bedeutung zukommen wird.
Quellen
- Urteil EuGH Rechtssache C-311/18
- European Data Protection Board