Der Europäische Gerichtshof hat am 16. Juli 2020 in einem lang erwarteten Urteil in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield für unwirksam erklärt.
Mit dem Urteil zum EU-US-Privacy-Shield verschärft der EuGH die Anforderungen an die Standardvertragsklauseln (SCC). Sie können Datentransfers nicht mehr ohne Weiteres rechtfertigen.
Die Tragweite des Urteils ist enorm, weil es Unternehmen bei Verwendung der Standardvertragsklauseln neue Prüfpflichten auferlegt. Unternehmen müssen bei Verwendung der Standardvertragsklauseln zukünftig feststellen, ob im Drittland ein angemessenes Datenschutzniveau besteht.
„Schrems I“-Urteil: Schon Safe-Harbor für unwirksam erklärt
Das durch Max Schrems initiierte Verfahren beschäftigt den EuGH bereits seit dem Jahr 2013. Mit einer Beschwerde rügte Schrems die Übermittlung von personenbezogenen Daten durch Facebook in die USA. Nach Auffassung des Beschwerdeführers biete das Recht und die Praxis der Vereinigten Staaten – insbesondere vor dem Hintergrund der Enthüllungen durch Edward Snowden zur Massenüberwachung – keinen ausreichenden Schutz der übermittelten Daten vor den Überwachungstätigkeiten der US-Behörden.
Der EuGH hatte seinerzeit infolge eines Vorabentscheidungsersuchens des irischen High Court in seinem ersten „Schrems“-Urteil vom 6. Oktober 2015 (C-362/14) die sog. „Safe-Harbor“-Entscheidung der EU-Kommission für unwirksam erklärt. Die EU-Kommission hatte es in dem Beschluss versäumt, Feststellungen zur Gleichwertigkeit des Schutzniveaus in den USA zu treffen. Wegen dieses Fehlers konnte der EuGH „Safe-Harbor″ verwerfen, ohne selbst Feststellungen zum Schutzniveau in den USA treffen zu müssen. Die politisch heikle Frage, ob in den USA trotz der umfassenden Geheimdienstaktivitäten eine ausreichende Achtung der Grundrechte erfolgt, blieb außen vor.
EU-US-Privacy-Shield kam – Doch US-Datentransfers erneut auf dem Prüfstand
Mit dem EU-US-Privacy-Shield wurde im Jahr 2016 ein Nachfolgeabkommen vereinbart, das auf einem Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO beruht und einen DSGVO-konformen Datentransfer an entsprechend zertifizierte US-Unternehmen aus der EU ermöglicht. Diesmal stellte die Kommission ausdrücklich und unter Berücksichtigung der im EU-US-Privacy-Shield getroffenen Vereinbarungen fest, dass das Schutzniveau in den USA im Wesentlichen demjenigen in Europa entspreche.
Facebook stützte sich in der Folge bei Datentransfers in die USA sowohl auf die Standardvertragsklauseln als auch (teilweise) auf den EU-US-Privacy-Shield. Nach einer erneuten Beschwerde von Max Schrems hatte der EuGH nun die Gelegenheit zu beiden Instrumenten zu entscheiden.
Standardvertragsklauseln alleine nicht mehr ausreichend
Die Standardvertragsklauseln können zwischen einem „Datenexporteur″ in der EU und einem „Datenimporteur″ im außereuropäischen Ausland geschlossen werden. Sie enthalten von der EU-Kommission vordefinierte Regelungen, die einen Mindestschutz personenbezogener Daten im EU-Ausland sicherstellen sollen. Die SCC binden – da als bloße Verträge ausgestaltet – nur die Parteien. Auf das allgemeine Datenschutzniveau in einem Drittstaat, insbesondere auf Zugriffsbefugnisse von Sicherheitsbehörden haben sie naturgemäß keine Auswirkung.
Hier setzt der EuGH an: Die Standardvertragsklauseln sind weiter wirksam, der EuGH lässt den bloßen Vertragsschluss aber zukünftig nicht mehr genügen (Rn. 132, 134, Hervorhebungen nur hier):
Da Standarddatenschutzklauseln (…) aufgrund ihres Vertragscharakters naturgemäß keine drittstaatlichen Behörden binden können (…) kann es sich als notwendig erweisen, die in den Standarddatenschutzklauseln enthaltenen Garantien zu ergänzen. (…) Folglich obliegt es vor allem diesem Verantwortlichen (…), in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.
Mit anderen Worten hat derjenige, der sich auf die Standardvertragsklauseln beruft, zukünftig eine eigene Rechtsprüfung durzuführen. Er hat festzustellen, ob das Schutzniveau im Drittland für die übermittelten Daten (!) im Wesentlichen dem der EU entspricht. Hierzu müssen den betroffenen Personen im Drittland insbesondere durchsetzbare Rechte und wirksame Rechtsbehelfe zustehen, die den Schutz ihrer Daten gegen den Zugriff von staatlichen Stellen absichern. Die Standardvertragsklauseln können einen Datentransfer in ein Drittland rechtfertigen, sie müssen dies aber nicht. Vielmehr kommt es auf die Rechtslage im Drittland an, die bei Verwendung der Standardvertragsklauseln zukünftig durch den Verwender zu prüfen ist (Rn. 126):
Demnach gibt es zwar Situationen, in denen der Empfänger [Anm: der Datenimporteur im Drittland] einer solchen Übermittlung in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland den erforderlichen Datenschutz allein auf der Grundlage der Standarddatenschutzklauseln garantieren kann, aber auch Situationen, in denen die in diesen Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. So verhält es sich etwa, wenn das Recht dieses Drittlands dessen Behörden bezüglicher dieser Daten Eingriffe in die Rechte der betroffenen Personen erlaubt.
Sollte sich aus der Rechtsprüfung ergeben, dass es im Drittland keine ausreichende Gewähr für den Schutz der übermittelten Daten gibt (was gerade bei staatlichen Zugriffsbefugnissen auf diese Daten gelten soll), hat der Datentransfer auf Basis der Standardvertragsklauseln zukünftig zu unterbleiben.
Auch die Aufsichtsbehörden sind nach der Entscheidung des EuGH verpflichtet, eine eigene Kontrolle der Datentransfers vorzunehmen. Sie müssen bei einem fehlenden angemessen Schutzniveau Datentransfers in ein Drittland auf Basis der Standardvertragsklauseln künftig untersagen (Rn. 135). Um eine EU-weit einheitliche Handhabung zu gewährleisten verweist der EuGH ausdrücklich auf das Kohärenzverfahren, insb. auf Art. 62 (2) DSGVO (Rn. 147).
EU-US-Privacy-Shield unwirksam
Nach Auffassung des EuGHs besteht in den USA kein angemessenes Schutzniveau im Sinne des Art. 45 Abs. 1 DSGVO.
Daher ist die Entscheidung der EU Kommission zum EU-US-Privacy-Shield insgesamt nichtig. Der EuGH orientiert sich bei seiner Prüfung neben Art. 45 DSGVO auch stark an der Grundrechtecharta (GRCh), insb. an den Art. 7, 8, 47 und 52. Daraus leitet der EuGH drei wesentliche Anforderungen für ein „angemessenes″ Datenschutzniveau ab (Rn. 168). Die Rechte nach Art. 7 und 8 GRCh (Wahrung Privatsphäre und Datenschutz) können zwar eingeschränkt werden, allerdings nur:
- unter Beachtung des Grundsatzes der Verhältnismäßigkeit;
- nach Maßgabe einer Rechtsgrundlage, die den Umfang der Einschränkung hinreichend konkret festlegt; und
- sofern Betroffene (also EU-Bürger) die Möglichkeit haben die Verarbeitung ihrer Daten im Drittstaat gerichtlich überprüfen zu lassen, Art. 47 (1) GRCh.
Die vom EuGH überprüften PRISM und UPSTREAM Programme der amerikanischen Sicherheitsbehörden ermöglichen nach seiner Interpretation eine umfassende und anlasslose staatliche Massenüberwachung (Rn. 184). Der Internetverkehr wird weitreichend mitgelesen und basierend auf bestimmten Selektoren für Geheimdienste erschließbar gemacht.
Eine gerichtliche Kontrolle ist zudem nicht bzw. nur eingeschränkt möglich (Rn. 191 f.). Das wird laut EuGH auch nicht durch den Ombudsmann behoben, an den sich Betroffene bei möglichen Rechtsverletzungen wenden können: Der EuGH zweifelt, ob dieser „unabhängig″ ist und für die Geheimdienste bindende Entscheidungen treffen kann (Rn. 195 f.).
Ohne EU-US-Privacy-Shield: Bewertung und Dokumentation des Schutzniveaus im Empfängerland für die transferierten Daten notwendig – oder ausdrückliche Einwilligung des Betroffenen einholen
Die Tragweite des Urteils ist enorm. Das Urteil betrifft nicht nur Datentransfers in die USA, sondern Datenübertragungen in alle Drittländer, die keinem Angemessenheitsbeschluss nach Art. 45 DSGVO unterliegen.
- Bei Datentransfers in Drittländern reicht es zukünftig nicht mehr aus, die SCC zu unterschreiben. Stattdessen liegt es am Datenexporteur eine eigene Bewertung des Schutzniveaus im Empfängerland für die transferierten Daten anzustellen. Es ist also nicht schon „ausreichend″, dass im Drittstaat nach Maßstäben des EuGH generell unverhältnismäßige staatliche Zugriffsrechte bestehen; diese müssen sich auch auf die übermittelten Daten erstrecken, damit der Transfer nicht nach den SCC gerechtfertigt werden kann. Das Ergebnis dieser Prüfung ist zu dokumentieren (Art. 5 (2) DSGVO).
- Was das Urteil für alternative Transfermechanismen – wie etwa Binding Corporate Rules (BCR) – bedeutet, ist offen. BCR binden ebenfalls nur die Parteien, nicht aber staatliche Stellen. Sie leiden damit an derselben Schwachstelle wie die Standardverträge. Auch Unternehmen mit BCR sollten daher prüfen, ob in umfassten Drittstaaten ein angemessenes Schutzniveau besteht.
- Ein Ausweg bleibt: Datentransfers können – so betont es der EuGH – weiterhin nach Art. 49 DSGVO stattfinden. Möglich bleibt der Transfer von personenbezogenen Daten bspw. aufgrund einer ausdrücklichen Einwilligung oder zur Durchführung eines Vertrages mit der betroffenen Person. Beide Ausnahmen bieten Datenexporteuren aber zumindest nach bisheriger Lesart des EDSA (s. hier) nur wenig Spielraum. Verträge können insbesondere nicht mit Datenverarbeitungen „aufgeladen″ werden; die Einwilligung kann nicht beliebig mit Verträgen gekoppelt werden.
- Zu wünschen ist, dass der EDSA (zügig) eine Abstimmung unter den Aufsichtsbehörden herbeiführt und eine Liste vorliegt, für welche Länder er unter welchen Bedingungen ein angemessenes Schutzniveau als gegeben ansieht. Dass ein koordiniertes Vorgehen der Aufsichtsbehörden notwendig ist, zeigen die ersten Reaktionen auf das Urteil: Während der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz klarstellt, dass Datentransfer in die USA auch aufgrund der Standardvertragsklauseln möglich bleiben (können), forderte der Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Pressemitteilung bereits dazu auf, umgehend von US-Anbietern zu Dienstleistern in der Europäischen Union zu wechseln.
