EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Lorem Ipsum
© HANS PUNZ / APA / picture-alliance

Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung "Privacy Shield" gekippt. Im Rechtsstreit des österreichischen Juristen Max Schrems gegen die irische Datenschutzbehörde um den Umgang mit Daten deutscher Nutzer bei Facebook erklärten die Luxemburger Richter allerdings, dass Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden können.

Ausgangspunkt: Schrems gegen Facebook

Der österreichische Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen könnten. Ein irisches Gericht möchte vom EuGH wissen, ob die sogenannten Standardvertragsklauseln und das EU-US-Datenschutzabkommen "Privacy Shield" mit dem europäischen Datenschutzniveau vereinbar sind.

EuGH untersagt "Privacy Shield", nicht aber Standardvertragsklauseln

Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Das "Privacy Shield" ist ein weiterer Kanal, der ausschließlich für den Datentransfer in die USA zur Verfügung steht. Die Luxemburger Richter erklärten das "Privacy Shield" nun für ungültig, gegen die Standardvertragsklauseln haben sie dagegen keine Einwände. 

Beschluss über Standardvertragsklauseln enthält ausreichende Mechanismen

Im ersten Teil der Entscheidung prüfte der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hänge die Gültigkeit davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof ist der Ansicht, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

"Privacy-Shield" gewährt US-Recht Vorrang vor DS-GVO

Dann überprüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DS-GVO. Er stellt fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 sich daraus ergebenden Einschränkungen des Schutzes personenbezogener Daten nicht ausreichend geregelt sind. Die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme würden nicht auf das nach dem Grundsatz der Verhältnismäßigkeit zwingend erforderliche Maß beschränkt sind. 

Umgang der US-Behörden mit Daten nicht begrenzbar

Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen. Genauso wenig sei ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. Der im Beschluss 2016/1250 angeführte Ombudsmechanismus könne dem nicht abhelfen. Aus all diesen Gründen erklärte der EuGH den Beschluss 2016/1250 für ungültig.

Schrems zufrieden, Auswirkungen auf Facebook unklar

Schrems erklärte in einer ersten Reaktion, er sei sehr glücklich über das Urteil. "Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen." Facebook beruft sich allerdings bei der Übertragung der Daten von Europa in die USA nicht auf das "Privacy Shield", sondern auf die Standardvertragsklauseln.

Schrems hatte auch "Safe-Harbour"-Regelung zu Fall gebracht

Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des «Privacy Shield», die Safe-Harbor-Regelung beanstandet, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle.

Redaktion beck-aktuell, 16. Juli 2020 (ergänzt durch Material der dpa).

Weiterführende Links

Aus der Datenbank beck-online

Mense, EU-US-Privacy-Shield – der kleinste gemeinsame Nenner angemessenen Datenschutzes?, ZD 2019, 351

Molnár-Gábor/Kaffenberger, EU-US-Privacy-Shield – Bedeutung des Angemessenheitsbeschlusses der EU-Kommission, ZD 2018, 162

EuGH, Safe Harbor-Abkommen ist ungültig (mit Anm. Bergt), MMR 2015, 753

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.