Urteil des Europäischen Gerichtshofes (EuGH) zu Privacy Shield und Standard-vertragsklauseln vom 16.07.2020
Der EuGH hatte sich kürzlich binnen fünf Jahren bereits das zweite Mal mit der Problematik einer Datenübermittlung aus der Europäischen Union in sog. Drittstaaten zu befassen.
Bereits mit Urteil vom 06.10.2015 (Rechtssache „Schrems“, C-362/14) erklärte der EuGH die sog. „Safe-Harbor“-Entscheidung der EU-Kommission für unwirksam. Hiermit hatte die EU-Kommission unter Bezugnahme auf die innereuropäisch zur Anwendung gelangende Datenschutzrichtlinie (Richtlinie 95/46/EG) die USA als „Drittstaat“ mit einem dem europäischen Standard vergleichbaren, angemessenen Datenschutzniveau erklärt. Nach der vorbenannten europäischen Datenschutzrichtlinie dürfen personenbezogene Daten nur dann in andere Staaten übermittelt werden, wenn die Informationen dort ausreichend geschützt werden. Der österreichische Datenschutzaktivist Max Schrems hatte im Wege der Beschwerde zum EuGH eine derartige Übermittlung von personenbezogenen Daten durch Facebook in die USA gerügt und hierzu angeführt, dass die übermittelten Daten keinen ausreichenden Schutz vor Überwachungstätigkeiten der US-amerikanischen Behörden, insbesondere der amerikanischen Geheimdienste, genießen würden.
Auf der Grundlage der „Safe-Harbor“-Entscheidung der europäischen Kommission transferierte nicht nur Facebook, sondern eine Vielzahl von Unternehmungen, die gerade Konzernverbundstrukturen in die USA mit dort ansässigen Muttergesellschaften nutzten, personenbezogene Daten in das außereuropäische Ausland. Der EuGH verwarf jedoch mit dem bezeichneten Urteil aus dem Jahr 2015 die „Safe-Harbor“-Entscheidung der EU-Kommission, jedoch nicht unter Klärung materiell-rechtlicher Fragestellungen, wie der Angemessenheit des amerikanischen Datenschutzniveaus. Diese Frage konnte der EuGH in der sog. „Schrems I-Entscheidung“ mit einem juristischen Kniff dahinstehen lassen. Die „Safe-Harbor“-Entscheidung litt nämlich bereits an dem formellen Mangel, dass Feststellungen zur Gleichwertigkeit des Schutzniveaus in den USA überhaupt nicht in der Entscheidung der Kommission enthalten waren. Hierdurch entfiel „Safe-Harbor“ als Rechtfertigungsgrundlage für die Übermittlung personenbezogener Daten in die USA bzw. in „Drittstaaten“.
Aus datenschutzrechtlicher Sicht war hiermit jedoch nur ein erstes Zwischenziel erreicht. Mit der jüngsten Entscheidung vom 16.07.2020 hatte der EuGH nunmehr Gelegenheit, auch inhaltliche Ausführungen zu den Voraussetzungen einer Datenübermittlung in „Drittstaaten“ vorzunehmen. Dieser Entscheidung vorausgegangen war das EU-US-Nachfolgeabkommen „Privacy Shield“, das wiederum auf einer Entscheidung der EU-Kommission, einem sog. Angemessenheitsbeschluss nach Art. 45 DSGVO, beruhte. Mit dem „Privacy Shield“ versuchte die EU-Kommission ein angemessenes Schutzniveau in den USA, welches im Wesentlichen den datenschutzrechtlichen Anforderungen innerhalb der EU, die durch die eingangs genannte Datenschutzrichtlinie normiert wurden, zu bekräftigen – wiederum erfolglos, wie nun der EuGH auf eine weitere Beschwerde des Österreichers, Max Schrems, konstatierte. Dabei hatte der EuGH nunmehr Gelegenheit, sowohl zu der „Privacy Shield“-Entscheidung der EU-Kommission als auch zu den sog. Standardvertragsklauseln (SCC) Stellung zu beziehen, da der Datenexporteur Facebook bei Datentransfers in die USA versuchte, beide Rechtsgrundlagen für sich nutzbar zu machen.
In der sog. „Schrems II“-Rechtssache (C-311/18) führte der EuGH mit Urteil vom 16.07.2020 aus, dass in den USA kein (Unterstreichung durch den Verfasser) angemessenes Schutzniveau im Sinne des Art. 45 Abs. 1 DSGVO besteht. Der EuGH zog für die weitere Begründung nicht nur Art. 45 Abs. 1 DSGVO, sondern insbesondere auch die Grundrechtecharta heran und hieraus vorrangig die Rechte nach Art. 7, 8 der Grundrechtecharta (Wahrung der Privatsphäre und Datenschutz). Hiernach könnten derartige Grundrechte nur unter Beachtung des Grundsatzes der Verhältnismäßigkeit, nach Maßgabe einer Rechtsgrundlage, die den Umfang der Einschränkung hinreichend konkret festlegt und unter der Möglichkeit für Betroffene, die Verarbeitung ihrer Daten im „Drittstaat“ gerichtlich überprüfen zu lassen, in ihrem Schutzbereich eingeschränkt werden. Da die Erfüllung dieser Anforderungen nach Auffassung des EuGHs in den USA nicht gegeben sei, wurde die „Privacy-Shield“-Entscheidung der EU-Kommission für nichtig erklärt.
Damit aber nicht genug: Der EuGH konstatierte ferner, dass demjenigen, der sich für die Übermittlung personenbezogener Daten in „Drittstaaten“ auf individuelle Standardvertragsklauseln beziehe, als Verantwortlicher in jedem Einzelfall eine Rechtsprüfungspflicht obliege, ob das Recht des Bestimmungsdrittlandes nach Maßgabe des Unionsrechts einen angemessenen Schutz der übermittelten personenbezogenen Daten gewährleiste.
Die Rechtsprechung des EuGHs betrifft danach nicht lediglich den Datentransfer in die USA, sondern in jegliche „Drittstaaten“.
Die Auswirkungen dieser Entscheidung sind aufgrund der auch in Deutschland vielfach ansässigen, amerikanisch geführten Unternehmungen, bei denen von tagtäglichen Datenübermittlungen zu den Mutterkonzernen mit Sitz vor allem in den USA auszugehen ist, bei weitem noch nicht absehbar. Eines steht jedoch bereits jetzt fest: die Möglichkeiten einer einfachen Datenübermittlung in das außereuropäische Ausland sind beendet!