Jan Henrich

EuGH: Privacy Shield gekippt


Der EuGH hat (MMR 2020, 597 m. Anm. Hoeren – Schrems II) entschieden, dass bei Übertragungen personenbezogener Daten in die USA auf Grundlage des sog. EU-US-Datenschutzschilds (Privacy Shield) kein angemessenes Datenschutzniveau gewährleistet werden kann. Das Gericht hat damit den entsprechenden Angemessenheitsbeschluss der EU-Kommission (Beschluss (EU) 2016/1250) für ungültig erklärt.

Hintergrund ist ein seit 2013 andauerndes Verfahren zwischen dem österreichischen Datenschutzaktivisten Max Schrems und dem sozialen Netzwerk Facebook. Schrems legte bei der irischen Datenschutzbehörde Beschwerde darüber ein, dass Facebook personenbezogene Daten europäischer Nutzer ganz oder teilweise von Facebook Ireland an Server der Facebook Inc. in den USA übermittelt und dort verarbeitet. Insbesondere bemängelte er, dass das Recht und die Praxis in den USA keinen ausreichenden Schutz der Daten vor dem Zugriff durch Sicherheitsbehörden bieten würden. Er stützte sich dabei auf die Snowden-Enthüllungen über amerikanische Überwachungsprogramme. Die irische Datenschutzaufsicht hatte die Beschwerde zurückgewiesen. Im darauffolgenden Verfahren hatte der EuGH bereits 2015 die sog. „Safe-Harbor-Entscheidung“ als Grundlage für den Datenaustausch gekippt. Im Anschluss ließ die irische Datenschutzbehörde weitere mögliche Rechtsgrundlagen für einen Datenaustausch zwischen Europa und den USA beim irischen High Court überprüfen. Dieser legte dem EuGH die Frage vor, ob eine Datenübermittlung auch auf Grundlage sog. „Standardvertragsklauseln“ bzw. dem Privacy Shield erfolgen kann.

 

Die europäische DS-GVO bestimmt, dass personenbezogene Daten grds. nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Die EU-Kommission kann feststellen, dass ein Drittland auf Grund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn i.R.d. Standardvertragsklauseln geeignete Garantien vorgesehen sind und die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen.

 

In Bezug auf das Privacy Shield stellte das Gericht fest, dass die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind und keinen dem Unionsrecht gleichwertigen Schutz gewährleisten. Insbesondere stünde den betroffenen Personen keine Möglichkeit offen, ihre Rechte gegenüber den amerikanischen Behörden gerichtlich durchzusetzen. Hinsichtlich der Standardvertragsklauseln entschied das Gericht, dass diese grds. eine geeignete Garantie zu einem angemessenen Datenschutzniveau darstellen können, allerdings sei eine Datenschutzaufsichtsbehörde dazu verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sich ergibt, dass die Klauseln im jeweiligen Land nicht eingehalten werden oder nicht eingehalten werden können. Auch hierbei sei ein etwaiger Zugriff der Sicherheitsbehörden des Drittlands auf die übermittelten Daten sowie eventuelle Rechtsbehelfsmöglichkeiten zu berücksichtigen.

Jan Henrich ist wissenschaftlicher Mitarbeiter am Institut für Europäisches Medienrecht e.V. (EMR), Saarbrücken/Brüssel.