X
Digital
Datenschutzrecht Digital Monitor EuGH News Rechtsprechung Top Stories

EuGH erklärt Privacy Shield für ungültig

(Bild: © Santje09) (Bild: © Santje09)

In seiner heute veröffentlichten Entscheidung C‑311/18 erklärt der EuGH den Beschluss 2016/1250 der Kommission über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig. Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer ist hingegen (theoretisch) weiterhin gültig. Die Entscheidung wird jedoch fatale Folgen nach sich ziehen.

Grundsätzlich dürfen nach der DSGVO personenbezogene Daten nur in ein Drittland übermittelt werden, wenn dort ein angemessen Schutzniveau herrscht. Gemäß Art 45 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland wie die USA daher primär ohne gesonderte Genehmigung vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland ein angemessenes Schutzniveau bietet, die Daten daher einem gleichwertigen Schutz unterliegen wie innerhalb der EU.

Falls kein Beschluss nach Art 45 DSGVO vorliegt, dürfen personenbezogene Daten an ein Drittland nur übermittelt werden, sofern der Verantwortliche oder der Auftragsverarbeiter „geeignete Garantien“ vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Solche geeignete Garantien bieten bspw. die weit verbreiteten Standarddatenschutzklauseln („Standardvertragsklauseln“). Darüber hinaus regelt die DSGVO, wann personenbezogene Daten übermittelt werden dürfen, wenn weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen; etwa auf Basis der ausdrücklichen Einwilligung oder wenn diese Übermittlung zur Vertragserfüllung notwendig ist.

Mit ihrem Durchführungsbeschluss 2016/1250 vom 12.7.2016 erklärte die Kommission, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds („Privacy Shield“) aus der EU an Organisationen in den USA übermittelt werden, gewährleisten.

In diesem Sinne werden personenbezogene Daten im Rahmen des Privacy Shields übermittelt, wenn sie aus der EU an US-Organisationen übermittelt werden, die nach entsprechender Zertifizierung in der entsprechenden Liste aufgeführt sind, welche vom US-Handelsministerium geführt wird.

Bislang konnten personenbezogene Daten daher einfach an Privacy Shield zertifizierte Unternehmen in des USA übermittelt werden (unabhängig ob diese nur als Auftragsverarbeiter fungieren oder als selbstständige Verantwortliche), da diese Unternehmen solchen mit Sitz innerhalb der EU faktisch gleichgestellt waren.

Nach Ansicht des EuGH gewährleisten die USA jedoch die genannte Angemessenheit gerade nicht, „da die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener

Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind“ (Gerichtshof der Europäischen Union, Pressemitteilung Nr. 91/20).

Damit sind nach Ansicht des EuGH insbesondere die bislang bekannten Überwachungsprogramme PRISM und UPSTREAM gemeint. Im Rahmen des PRISM-Programms sind die Internetdienstanbieter verpflichtet, der NSA sämtliche Mitteilungen an und von einem „Selektor“ zu übermitteln, von denen einige auch an das FBI und die Central Intelligence Agency (CIA) weitergeleitet werden.

Im Rahmen des Programms UPSTREAM sind die Telekommunikationsunternehmen, die das „Backbone“ des Internets – d. h. das Netz von Kabeln, Anschlüssen und Routern – betreiben, verpflichtet, der NSA das Kopieren und Filtern von Internet-Verkehrsströmen zu gestatten, um Mitteilungen von, nach oder über einen mit einem „Selektor“ verbundenen Nicht-US-Bürger zu erhalten.

Im Rahmen dieses Programms hat die NSA Zugang sowohl zu den Metadaten als auch zum Inhalt der betreffenden Mitteilungen. Zusätzlich ermöglicht die Executive Order 12333 der NSA den Zugang zu Daten, die sich „auf der Durchreise“ in die Vereinigten Staaten befinden, durch Zugang zu den Unterwasserkabeln auf dem Atlantikboden sowie der Möglichkeit der Erhebung und Aufbewahrung solcher Daten vor ihrer Ankunft in den Vereinigten Staaten. Diese Daten unterliegen dann wiederrum PRISM und UPSTREAM. Aktivitäten, die gemäß dieser Executive Order durchgeführt werden, sind überhaupt nicht durch Gesetze geregelt.

Das im Rahmen des Privacy Shields eingerichtete Ombudsmannverfahren eröffnet den betroffenen Personen nach Ansicht des EuGH zudem keinen Rechtsweg zu einem Organ, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien entsprechen würden. So fehlen insbesondere Garantien, die sowohl die Unabhängigkeit der Ombudsperson gewährleisten als auch das Bestehen von Normen, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

Der Angemessenheitsbeschluss war daher für ungültig zu erklären.

Hinsichtlich der Standardvertragsklauseln stellte der EuGH dagegen fest, dass „die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was dessen Gültigkeit berühren könnte“. Gleichzeitig hält er jedoch fest, dass „sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, die Aufsichtsbehörden der einzelnen Mitgliedsstaaten insbesondere dazu verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann“ (Gerichtshof der Europäischen Union, Pressemitteilung Nr. 91/20).

Theoretisch bieten daher Standardvertragsklauseln weiterhin geeignete Garantien, um eine Datenübermittlung in die USA zu rechtfertigen. Ob dies aber tatsächlich der Fall ist bzw. diese Garantien wirklich eingehalten werden können, muss jede Datenschutzbehörde selbst entscheiden. Im Lichte der Ausführungen des EuGH im Zuge der Beurteilung des Privacy Shields scheint dies jedoch mehr als fraglich. Um eine unterschiedliche Auslegung und daher verschiedene rechtliche Rahmenbedingungen in den einzelnen Mitgliedsstaaten zu verhindern, sollten sich die jeweiligen Behörden daher schnell einig werden, ob Standardvertragsklauseln bei Übermittlungen in die USA noch geeignete Garantien bieten können.

Wird dies verneint, bleiben für Übermittlungen in die USA nur mehr die Möglichkeiten des Art 49 Abs 1 DSGVO. Eine Übermittlung wäre demnach insbesondere zulässig, wenn die betroffene Person, nachdem sie ausführlich über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, in die Datenübermittlung ausdrücklich eingewilligt hat, die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist oder die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist. All diese Möglichkeiten sind aber kritisch zu betrachten und dürfen keinesfalls leichtfertig eingesetzt werden.

Bis zu einer Entscheidung der europäischen Datenschutzbehörden zur Eignung von Standardvertragsklauseln zur Übermittlung von personenbezogenen Daten in die USA, sollten solche aber zur Sicherheit trotzdem schnellstmöglich abgeschlossen werden. Rechtssicher wäre aber natürlich überhaupt nur die – zumindest vorübergehende – Aussetzung jeglicher Übermittlung in die USA.