EU-US-Privacy Shield vom EUGH gekippt

Im lang erwarteten Fall Urteil in der Rechtssache C-362/14 Maximillian Schrems / Data Protection Commissioner hat der EuGH am 16. Juli 2020 darüber entscheiden, ob Standardvertragsklauseln (SCCs) ein legitimer Weg sind, Daten unter Einhaltung des EU-Datenschutzrechts an Rechtssysteme ausserhalb der EU zu übermitteln.

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach Art. 45 DSGVO kann die EU-Kommission feststellen, ob ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet oder nicht. Liegt kein Angemessenheitsbeschluss vor, müssen die hinreichenden Garantien anders gewährleistet werden, wie z.B. durch die EU-Standarddatenschutzklauseln.

Max Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 ein Nutzer von Facebook. Seine personenbezogenen Daten werden von Facebook Ireland ganz oder teilweise an Server der Facebook Inc., in den USA übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen, da kein ausreichender Schutz vor dem Zugriff der Behörden (z.B. die NSA) auf die dorthin übermittelten Daten bestünden. Seine Beschwerde wurde von der irischen Datenschutzbehörde mit der Begründung abgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour-Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten.

Mit Urteil vom 6. Oktober 2015 (Schrems I) erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig. Nach Umformulierung seiner Beschwerde, machte Max Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten und deshalb das EU-US-Privacy Shield als ungütlig zu erklären sei. Nach Eskalation an den irischen High Court, stellte dieser vorfrageweise die Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch die des Privacy Shield-Beschlusses 2016/1250 an den EUGH

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig.

Der Gerichtshof führt zunächst aus, dass eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen (Facebook Ireland and Facebook US), in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands (US) für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der EU durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungenzu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Während der Gerichtshof feststellt, dass der Beschluss 2010/87 über die EU Standardklausend  Mechanismen vorsieht, die zur Aussetzung der Bearbeitung führen kann, wenn das Schutzniveau nicht mehr gewährleistet wird, hält er betreffend dem Priacy Shiel Beschluss 2016/1250 fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der EU in die US übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden. Dies insbesondere, weil die amerikanischen Rechtforschriften nicht zwingend auf das erforderliche Mass beschränkt sind (z.B. Cloud Act)

Was hat dies nun für Auswirkungen auf US-Firmen und auf Schweizer Firmen, die mit US-Firmen Verträge abgeschlossen haben? Mit dem Fall des EU-U.S. Privacy Shield werden etliche Verträge nachbearbeitet werden müssen. Wenn Verträge keine EU-Standardklauseln als Vertragsbestandteil inkludiert haben, müssen solche nachträglich abgeschlossen werden. Wenn Sensitive personenbezogene Daten bearbeitet werden, würden wir sogar empfehlen, zu prüfen die Bearbeitung auszusetzen.

Sollten Sie Unterstützung benötigen in der massenweisen Neuverhandlung Ihrer Verträge, stehen wir Ihnen gerne mit einem erfahrenen Team beiseite. Aufgrund jahrelanger Tätigkeit als Inhouse Counsel ist Nicole Beranek Zanon Expertin im Corporate-Umfeld und kennt sich mit den täglichen Herausforderungen einer internen Rechtsabteilung bestens aus.

Sie möchten gerne eine Übersicht, schauen Sie sich zusätzlich unsere kostenlosen Privacy Talks an:

Privacy Talk #04: What’s next after the Schrems II decision of ECJ“ mit Amanda Witt, Prof. Niko Härting und Nicole Beranek Zanon (Moderatorin)

Privacy Talk #08: „Neue Empfehlungen des EDPB und SCC im Entwurf – Was nun?“ mit Martin Schirmbacher

Quellen:

Pressemitteilung des EUGH vom 16. Juli 2020 zum Urteil in der Rechtssache C-362/14 Maximillian Schrems / Data Protection Commissioner https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf (Stand 16.07.2020)

Urteil Schrems II des Gerichtshofs vom 16.07.2020, Schrems C-362/14 / Data Protection Commissioner abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=10443183 (Stand 16.07.2020).

Urteil Schrems I des Gerichtshofs vom 6. Oktober 2015, Schrems / Data Protection Commissioner, C-362/14 (vgl. auch Pressemitteilung Nr. 117/15) http://curia.europa.eu/juris/documents.jsf?num=C-362/14 (Stand 16.07.2020)