Der EuGH hat am 16.7.2020 seine Entscheidung im Verfahren „Schrems II“ bezüglich eines Datentransfers zwischen der EU und den USA bekannt gemacht. Damit erklärt der EuGH den im Jahre 2016 von der EU-Kommission nach Art. 25 Abs. 6 der EU‑Richtlinie 95/46/EG getroffenen besonderen Angemessenheitsbeschluss „EU-US Privacy Shield“ für ungültig, so dass ein Datentransfer in die USA auf dieser Grundlage ab sofort nicht mehr möglich ist.

Ein Datentransfer auf der Grundlage der Standarddatenschutzklauseln soll weiterhin zulässig und wirksam sein, soweit damit ein angemessenes Datenschutzniveau in dem betreffenden Drittland, hier den USA sichergestellt werden kann. Allerdings sieht der EuGH eine Verpflichtung der jeweiligen nationalen Datenschutzbehörde, von deren Gebiet der Datentransfer auf der Grundlage der Standarddatenschutzklauseln erfolgt, den Datentransfer nach Art. 58 (2) (f) und (j) DSGVO auszusetzen oder zu verbieten, wenn ein angemessenes Schutzniveau im Land des Datenempfängers nicht mehr sichergestellt ist und dieser seinen Verpflichtungen aus den vereinbarten Standarddatenschutzklauseln nicht mehr nachkommen kann.

Der Beitrag zeichnet zunächst die Argumentationslinie des EuGH zur Ungültigkeit des EU-US Privacy Shields (I.) und zur Wirksamkeit der Standarddatenschutzklauseln (II.) nach und legt sodann den Blick auf die nationale Sicherheit in einem Drittland als zentrale Schwachstelle frei (III.). Schließlich werden für die Unternehmenspraxis praktische Überlegungen zu einem etwaigen Nachfolgeabkommen und der künftigen Verwendung der Standarddatenschutzklauseln (IV.) angestellt, bevor eine Schlussbemerkung die einschneidenden Konsequenzen für die Praxis (V.) zusammenfasst.

Anzeige:

Kritische Anmerkungen zur EuGH Entscheidung C-311/18 vom 16.7.2020

INHALTSVERZEICHNIS:

I. Datentransfer auf der Grundlage des EU-US Privacy Shields

II. Datentransfer auf der Grundlage der Standarddatenschutzklauseln

III. Nationale Sicherheit

1. Eindeutiger Vorbehalt des EUV

2. Auslegung des Vorbehalts

IV. Auswirkungen der Entscheidung

1. Zukunft des Privacy Shields

2. Datentransfer auf der Grundlage der Standarddatenschutzklauseln

a) Dilemma US-amerikanischer Vertragspartner
b) Keine Disponibilität – Ultra Vires

V. Schlussbemerkungen

I. Datentransfer auf der Grundlage des EU-US Privacy Shields

[1] Ähnlich wie bereits in der Entscheidung zum „Safe Harbour Programm“¹ geht der EuGH davon aus, dass die weitgehenden Befugnisse der US-amerikanischen Geheimdienste, insbesondere gemäß Section 702 des Foreign Intelligence Surveillance Acts (FISA)² und der Executive Order 12333³ in Verbindung mit der PPD 28⁴ keinen Anforderungen unterliegen, mit denen unter Wahrung des Grundsatzes der Verhältnismäßigkeit ein Schutzniveau gewährleistet werde, das dem durch Art. 52 Abs. 1 Satz 2 der Grundrechtscharta der EU (EU-GRCh) der Sache nach gleichwertig sei.⁵ Insbesondere bemängelt der EuGH, dass der Foreign Intelligence Surveillance Court (FISC) keine individuellen Überwachungsmaßnahmen autorisiere, sondern weitreichende Überwachungsprogramme wie PRISM oder UPSTREAM auf der Grundlage jährlicher Zertifizierungen genehmige.⁶ Im Rahmen der auf die Executive Order 12333 gestützten Überwachungsprogramme sei der Zugriff auf Daten erlaubt, die sich auf dem Weg in die USA befinden, ohne dass dieser Zugriff einer gerichtlichen Kontrolle unterläge und es bestehe auch keine klare und präzise Eingrenzung des Umfangs einer solchen Sammelerhebung personenbezogener Daten.⁷ Das im Privacy Shield geregelte Ombudsperson-System sei nicht als ausreichender Ersatz geeignet für das einer Person nach Art. 47 Abs. 1 EU-GRCh zustehende Recht, bei einem Gericht einen wirksamen Rechtsbehelf einzulegen, wenn die Person ihre durch das Recht der Union garantierte Rechte oder Freiheiten als verletzt ansieht.⁸ Insbesondere sei die Ombudsperson nicht ermächtigt, gegenüber den Nachrichtendiensten verbindliche Entscheidungen zu treffen.⁹ Der EuGH kommt daher zu dem Ergebnis, die EU-Kommission habe „die Anforderungen verkannt, die sich aus Art. 45 Abs.1 der DSGVO im Licht der Art. 7, 8 und 47 der Charta ergeben“. Der EU-US Privacy Shield wurde im Hinblick darauf für ungültig erklärt.¹⁰

II. Datentransfer auf der Grundlage der Standarddatenschutzklauseln

[2] Der EuGH räumt ein, dass die Standarddatenschutzklauseln nicht die Behörden des Drittlandes binden können, in das die Daten exportiert werden und dass es Situationen geben kann, in denen die in den Klauseln enthaltenen Regelungen „möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten“. Daher kann es sich nach Auffassung des EuGH als notwendig erweisen, die in den Standarddatenschutzklauseln enthaltenen Garantien zu ergänzen.¹¹ Es könne erforderlich sein, dass der Verantwortliche bzw. sein Auftragsverarbeiter zusätzliche Maßnahmen ergreifen müssten, um die Einhaltung dieses Schutzniveaus zu gewährleisten.¹² Sofern dies nicht möglich erscheint, sei der Verantwortliche bzw. sein Auftragsverarbeiter verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden.¹³

[3] Pflichten des Daten-Importeurs:  Der in einem Drittland ansässige Empfänger der Übermittlung personenbezogener Daten ist gemäß Klausel 5 Buchstabe a des Anhangs der Standarddatenschutzklauseln verpflichtet, den in der Union ansässigen Verantwortlichen unverzüglich zu informieren, falls er seine vertraglichen Pflichten gemäß der Standarddatenschutzklauseln nicht einhalten kann, insbesondere wenn Gesetze des jeweiligen Drittlandes die Einhaltung der vertraglichen Pflichten unmöglich machen.¹⁴ Er ist ferner nach Klausel 5 b verpflichtet, jede Änderung von Rechtsvorschriften mitzuteilen, die sich nachteilig auf Garantien oder Pflichten der Standarddatenschutzklauseln auswirken. Sofern der Empfänger personenbezogener Daten gemäß Klausel 5 d durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen daran gehindert ist, den Verantwortlichen über rechtlich bindende Anforderungen der Vollstreckungsbehörde zu informieren, soll er dennoch gemäß Klausel 5 a verpflichtet sein, den Verantwortlichen darüber zu informieren, dass er die Standarddatenschutzklauseln nicht einhalten kann.¹⁵

[4] Pflichten des Daten-Exporteurs:  Gemäß Klauseln 4a und 5a und b sind der Verantwortliche und der Empfänger der personenbezogenen Daten im betreffenden Drittland verpflichtet, sich vor der Übermittlung der Daten zu vergewissern, dass das Recht des Drittlandes es ermöglicht, die Standarddatenschutzklauseln einzuhalten, d.h. das vom Unionsrecht verlangte Schutzniveau einzuhalten.¹⁶ Sollte dies nicht der Fall sein, sind etwaige bereits übermittelte personenbezogene Daten nach Klausel 12 zu vernichten.¹⁷

III. Nationale Sicherheit

[5] Der EuGH argumentiert auch in „Schrems II“ wieder mit dem nationalen Sicherheitsrecht der USA, insbesondere den weitreichenden Aktivitäten der NSA und sieht darin einen Grund, den Datenaustausch mit dem betroffenen US-amerikanischen Unternehmen  (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht