Der EuGH (Europäischer Gerichtshof) hat heute, am 16.7.2020, ein weiteres folgenreiches Urteil (C‑311/18) zur Übermittlung personenbezogener Daten in die USA gefällt und die Entscheidung der EU-Kommission vom 12.Juli 2016 zum EU-US-Datenschutzschild (EU-US-Privacy Shield) für nichtig erklärt. Ab sofort lässt sich die Übermittlung von personenbezogenen Daten aus der EU in die USA nicht mehr nach den Regeln des Datenschutzschildes legitimieren.
Auslöser für die Entscheidung des EuGH war ein seit Jahren zwischen der irischen Datenschutzaufsicht und dem Datenschutzaktivisten Max Schrems ausgetragener Streit. Schrems hatte von der irischen Datenschutzaufsicht begehrt, den Abfluss seiner personenbezogenen Daten von Facebook Irland zu Facebook USA zu unterbinden, weil der rechtswidrig sei. Über den irischen High Court, dem die irische Datenschutzaufsicht die Rechtssache vorlegte, gelangte sie zum EuGH, damit dieser über Vorfragen zur Auslegung europäischen Datenschutzrechts entscheide. Wegen des Sachverhalts wird auf eine Pressemitteilung des EuGH und einen Beitrag in diesem Blog verwiesen. Der EuGH nahm den Fall zum Anlass, die Privacy Shield-Entscheidung der EU-Kommission (mit der sie den Vereinigten Staaten ein angemessenes Datenschutzniveau für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds aus der Europäischen Union an Organisationen in den Vereinigten Staaten übermittelt werden, attestierte) aufzuheben. Er prüfte zweitens, ob die Standardvertragsklauseln (SCC) für Datenübermittlungen in Drittländer (Länder außerhalb der EU / des EWR) wie bisher herangezogen werden können und bejahte die Frage – im Grundsatz. Die Entscheidung der EU-Kommission, mit der sie die SCC verabschiedete, sei nicht zu beanstanden.
Damit ist aber nicht gleich entschieden, dass personenbezogene Daten per SCC in die USA übermittelt werden dürfen. Vielmehr nimmt der EuGH den für die Datenverarbeitung Verantwortlichen in der EU, seinen Datenempfänger im jeweiligen Drittland und die nationalen Datenschutzaufsichtsbehörden der EU in die Pflicht: Der Verantwortliche und der Datenempfänger haben für die geeigneten Garantien im Sinne des Art. 46 Abs.1 DSGVO zu sorgen, wenn Daten auf der Grundlage von SCC (Art 46 Abs.2 Buchst. c) DSGVO) in ein Drittland übermittelt werden sollen (Urteil RN 131-134). Gemessen an den Anforderungen von Art 46 Abs.1 DSGVO reicht der Abschluss eines Vertrages über die Datenübermittlung unter Einbeziehung der SCC nicht aus. Wo das nicht möglich ist, sei der Verantwortliche bzw. die Datenschutzaufsicht verpflichtet, die Datenübermittlung zu stoppen (Urteil RN 135).
Der Verantwortliche und der Datenempfänger seien außerdem verpflichtet, die Gesetzeslage im jeweiligen Drittland auf ihre Übereinstimmung mit den Anforderungen des SCC zu überprüfen. Dabei seien auch die Gesetze betreffend die nationale Sicherheit, die Verteidigung und die öffentliche Sicherheit des jeweiligen Drittlands zu bewerten (Urteil RN 141).
Soweit personenbezogene Daten unter Verletzung gegen die Anforderungen aus den SCC übermittelt wurden, seien diese zurückzugeben oder zu vernichten (Urteil RN 143). Und der Verantwortliche habe gegenüber dem betroffenen Datensubjekt eine Informationspflicht, wenn besondere Kategorien von Daten unter solchen Umständen in das Drittland gelangt sind, und gegenüber der Aufsichtsbehörde, wenn sich die Rechtslage im Drittland verschärft (Urteil RN 144, 145).
An einen Angemessenheitsbeschluss im Sinne des Art.45 DSGVO seien die Institutionen der EU gebunden, bis der EuGH eine solche Entscheidung aufhebt (Urteil RN 116, 117, 154-156). Die Angemessenheitsentscheidung der EU-Kommission zum EU-US-Datenschutzschild konnte nach Auffassung des EuGH keinen Bestand haben, weil die US-Rechtslage den europarechtlichen Anforderungen an die Einschränkung von Artikeln 7 (Schutz der Privatsphäre), 8 (Schutz personenbezogener Daten) und das in Art 47 der EU-Charta („Charta“) verankerte Grundrecht auf wirksamen gerichtlichen Schutz nicht standhalte (Urteil RN 173-197). Insbesondere garantiere die Rechtsfigur der Ombudsperson, die vom amerikanischen Secretary of State ernannt wird und an den der Ombudsmann berichtet, nicht die nötige Unabhängigkeit (Urteil RN 195). Der Ombudsmann verfüge auch nicht über die nötige Durchschlagskraft eines Gerichts, weil er Entscheidungen, die für die amerikanischen Sicherheitsdienste bindend sind, nicht anpassen könne (Urteil RN 196).
Auswirkungen des Urteils und eine erste Bewertung
- Ab sofort kann das EU-US-Datenschutzschild für die Übermittlung personenbezogener Daten in Drittländer nicht mehr herangezogen werden.
- Die Anforderungen an die Übermittlung von personenbezogenen Daten auf der Grundlage von Standardvertragsklauseln (SCC) sind hoch; angesichts der Voraussetzungen in Art.46 DSGVO und den SCC selbst sind sie in der Interpretation des EuGH für die Übermittlung in die USA aktuell nicht erfüllbar.
- Der Weg für die Sache Schrems (und die Datenübermittlung in die USA auf Grundlage der SCC) scheint vorgezeichnet: Schrems Beschwerde muss die irische Datenschutzaufsicht unter Beachtung der Interpretation des EuGH und seiner Privacy Shield-Entscheidung prüfen. Die irische Datenschutzaufsicht kann zur Förderung einer einheitlichen EU-weiten Interpretation der Anforderungen für die Datenübermittlung in die USA den Europäischen Datenschutzausschuss anrufen. Die Datenschutzbehörden wiederum haben das Instrumentarium, um einen aus ihrer Sicht rechtswidrigen Datenabfluss in die USA zu unterbinden, Art. 58 Abs.2 Buchst.f) DSGVO. Wegen der Rechtsschutzgarantie in Art. 78 wird Schrems eine abschlägige Entscheidung der Aufsichtsbehörde vor die nationalen irischen Gerichte bringen können. Diese wiederum können (erneut) den EuGH anrufen, um europarechtliche Vorfragen zum Datenschutz klären zu lassen, soweit erforderlich. Allerdings hat der EuGH in seinem Urteil der irischen Aufsichtsbehörde den Entscheidungsweg so deutlich aufgezeigt, dass sie ihn ab hier allein gehen können sollte.
Datenschutz | grenzüberschreitender Datenverkehr