Kein angemessenes Schutzniveau durch „Privacy Shield“
Der Europäische Gerichtshof urteilte am 16.07.2020, dass durch den Privacy Shield-Beschluss kein gleichwertiges Schutzniveau wie nach der DSGVO für die Datenübermittlung in die USA sichergestellt werden könne. Denn der Beschluss ermögliche Grundrechtseingriffe bei den Betroffenen.
Sind die Daten bei Facebook ausreichend geschützt?
Der Kläger war Mitglied bei Facebook. Dafür schloss er einen Vertrag mit Facebook Irland, einer Tochtergesellschaft von Facebook Inc., die in den USA ansässig ist. Die personenbezogenen Daten der europäischen Nutzer wurden von Facebook Irland ganz oder teilweise an Server der Facebook Inc. in die USA übermittelt und dort auch verarbeitet. Der Kläger legte im Jahr 2013 Beschwerde bei der irischen Datenschutzbehörde ein. Er war der Ansicht, dass das amerikanische Recht keinen ausreichenden Schutz vor Zugriffen von beispielsweise FBI und NSA gewährleisten. Seine Beschwerde wurde zurückgewiesen. Dies erfolgte u.a. mit der Begründung, die europäische Kommission habe in der sog. Safe Harbour-Entscheidung festgestellt, dass die USA ein angemessenes Schutzniveau gewährleiste. Der EuGH erklärte jedoch diese Entscheidung später für ungültig (Schrems I). Wegen des ergangenen Schrems I-Urteils musste der Kläger seine Beschwerde bei der irischen Datenschutzbehörde nochmals umformulieren. Mit seiner umformulierten Beschwerde machte er geltend, dass die USA keinen ausreichenden Schutz seiner übermittelten Daten gewährleisteten und beantragte, die Datenübermittlung in die USA zu verbieten. Rechtliche Grundlage war der Beschluss 2010/87 über Standardvertragsklauseln. Die Angelegenheit landete vor dem High Court Irland. Während dessen erließ die europäische Kommission als Ersatz für das Safe Harbour-Abkommen den sog. Privacy Shield-Beschluss. Dieser beinhaltete, dass das Datenschutzniveau in den USA dem in Europa entspricht und damit angemessen sei. Der High Court Irland wollte nun vom Europäischen Gerichtshof wissen, ob dieser Privacy Shield-Beschluss dem europäischen Datenschutzniveau tatsächlich gerecht werde.
Datenübermittlung in die USA unterfällt der DSGVO
Der Europäische Gerichtshof befasste sich zunächst damit, ob die Datenübermittlung in die USA überhaupt in den Anwendungsbereich der DSGVO falle. Denn vorliegend seien personenbezogene Daten zwischen zwei Wirtschaftsteilnehmern zu gewerblichen Zwecken übermittelt worden. Diese hätten bei ihrer Übermittlung auch aus Gründen der öffentlichen Sicherheit, der Landesverteidigung und des Staatsschutzes verarbeitet werden können. Allerdings habe das das nach Ansicht des EuGH keine Rolle gespielt. Zwar sei die nationale Sicherheit eine Angelegenheit, die in die alleinige Verantwortung der einzelnen Staaten falle. Eine derartige Datenverarbeitung durch die Behörden eines Drittlands könne aber nicht dazu führen, dass die Datenübermittlung vom Anwendungsbereich der DSGVO ausgenommen sei. Denn auch die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland stelle eine Datenverarbeitung dar, die im Hoheitsgebiet eines Mitgliedstaats vorgenommen werde.
Geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe sind erforderlich
Sodann befasste sich der EuGH mit dem notwendigen Schutzniveau bei der Datenübermittlung. Die Rechte und Rechtsbehelfe im Drittland müssten ein der DSGVO gleichwertiges Schutzniveau für die Rechte der betroffenen Personen bereitstellen. Dabei seien auch die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Verantwortlichen und dem im Drittland ansässigen Empfänger vereinbart wurden. Auch seien mögliche Zugriff der Behörden auf die übermittelten Daten im Drittland zu berücksichtigen. Denn dieses Drittland müsse geeignete Garantien vorsehen und den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stellen. Nur so könne ein angemessenes Schutzniveau für die Datenübermittlung in ein Drittland sichergestellt sein.
Rechtsschutz muss gewährleistet werden
Die zuständige Aufsichtsbehörde sei verpflichtet, die Datenübermittlung in ein Drittland auszusetzen oder zu verbieten, wenn nicht der erforderliche Rechtsschutz gewährleistet werden könne, so das Gericht weiter. Dies gelte, wenn die zuständige Behörde der Auffassung sei, dass die Standarddatenschutzklauseln im Drittland nicht eingehalten werden. Dies gelte aber auch, wenn kein gültiger Angemessenheitsbeschluss der Kommission vorliege. In dem Fall könne insbesondere nach Art. 45 und 46 der DSGVO sowie nach der Grundrechtecharta kein erforderlicher rechtlicher Schutz gewährleistet werden.
Gültigkeit der Standardvertragsklauseln hängt von wirksamen Schutzmechanismen ab
Sodann entschied der EuGH, dass der Beschluss über die Standardvertragsklauseln wirksame Schutzmechanismen zur Sicherstellung eines vom EU-Recht verlangten Schutzniveaus beinhaltet. Dessen Gültigkeit sei nicht bereits dadurch in Frage gestellt, dass die Klauseln aufgrund ihres Vertragscharakters die Behörden im Drittland nicht binden. Vielmehr hänge die Gültigkeit von praktischen und wirksamen Schutzmechanismen ab, die ein vom EU-Recht verlangtes Schutzniveau sicherstellen. Gemäß diesem Beschluss müsse der Datenexporteur und der Datenempfänger vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werde. Gegebenenfalls müsse der Empfänger dem Datenexporteur mitteilen, dass er die Standardschutzklauseln nicht einhalten könne. In dem Fall müsse der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten.
Privacy-Shild ermöglicht Grundrechtseingriffe bei den Betroffenen
Im Anschluss befasste sich der Gerichtshof mit der Gültigkeit des Privacy-Shield-Beschlusses anhand der Anforderungen der DSGVO im Lichte der EU-Charta. Diese bürge für die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz. Im Rahmen des Privacy Shield-Beschlusses werde den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt. Dadurch werde der Eingriff in die Grundrechte der Personen ermöglicht, deren Daten in die USA übermittelt werden. Damit seien keine gleichwertigen Anforderungen erfüllt, die dem Grundsatz der Verhältnismäßigkeit entsprechen. Denn die auf US-Rechtsvorschriften gestützten Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt. Die Vorschriften in bestimmten Überwachungsprogrammen würden in keiner Weise bestehende Einschränkungen der Ermächtigungen erkennen lassen. Auch sei nicht ersichtlich, dass für die erfassten Personen, die keine amerikanischen Staatsbürger seien, irgendwelche Garantien existieren. Zwar seien Anforderungen vorgesehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten seien. Diese würden aber den betroffenen Personen keinerlei Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden könnten.
Europäischer Gerichtshof, Urteil vom 16.07.2020, Az. C 311/18