Dejavu – EuGH verwirft EU-US Privacy Shield

Von Peter Schaar, 16.07.2020

Mit seiner heutigen Entscheidung hat der Europäische Gerichtshof erneut die Bedeutung des durch Art. 8 der EU-Grundrechtecharta garantierten Grundrechts auf Datenschutz unterstrichen. Knapp fünf Jahre nach seiner richtungsweisenden Entscheidung vom 6. Oktober 2015, mit der das höchste europäische Gericht das damalige Safe Harbor Abkommen für ungültig erklärte („Schrems I“) – vgl. Hierzu meinen Blog Post „Kein Grundrechterabatt beim internationalen Datentransfer“ – ist mit „Schrems II“ auch der zweite Versuch der Europäischen Kommission gescheitert, die immer umfangreicheren Datenströme zwischen den EU-Mitgliedstaaten und den USA auf eine rechtssichere Basis zu stellen. Der 2016 vereinbarte „Privacy Shield“ sollte gewährleisten, dass die aus den EU-Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten dort angemessen geschützt werden. So fordert es auch Art. 44 der Datenschutzgrundverordnung (DSGVO).

Unzureichender Schutz vor staatlichem Datenzugriff

Sowohl das Safe Harbor-Abkommen als auch dessen Nachfolger Privacy Shield scheiterten an dem unzureichenden Schutz der personenbezogenen Daten gegen den Zugriff amerikanischer Sicherheitsbehörden. 2015 ging es – wie heute – speziell um Datenübermittlungen zwischen Facebook-Europa und dem amerikanischen Mutterunternehmen. Der EuGH hält die von der EU-Kommission bei der US-Regierung im Jahr 2016 herausgehandelten rechtlichen Verbesserungen nicht für ausreichend. Insbesondere moniert er, dass auch nach dem Privacy Shield EU-Bürger keinen effektiven Rechtsschutz gegen die Überwachungsmaßnahmen amerikanischer Behörden haben. Sie können – anders als US-Bürger – Zugriffe der NSA, des FBI und anderer US-Sicherheitsbehörden nicht durch amerikanische Gerichte überprüfen lassen, sondern wurden mit einer Art Ombudsmechanismus abgespeist. Der EuGH hält es für nicht akzeptabel, dass die Gewährleistung des Datenschutzes für EU-Bürger gegenüber staatlichen Maßnahmen in den USA letztlich vom Goodwill der US-Regierung abhängt.

Standardvertragsklauseln als Lösung?

Nach dem Aus des Safe Harbor hatten viele in Europa tätige Unternehmen mit ihren US-Partnern sogenannte Standardverträge abgeschlossen. Dabei handelt es sich – wie bei der heute annullierten „Angemessenheitsentscheidung“ der Kommission – um ein Instrument, dass ein angemessenes Datenschutzniveau beim Datenempfänger garantieren soll. Der EuGH hat auch dieses Instrument in geprüft.

Auf den ersten Blick sieht es so aus, als hätten nach dem neuen Urteil die Standardverträge Bestand. Dabei könnte es sich allerdings um einen Fehlschluss handeln. Zwar hat der EuGH festgestellt, dass der Beschluss 2010/87 der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern weiterhin gültig bleibt.

Standardverträge auf dem Prüfstand

Zugleich verdeutlicht das Gericht aber, dass die jeweiligen Standardverträge nur dann eine rechtliche Basis für die Datenübermittlung darstellen, wenn sie tatsächlich den gebotenen angemessenen Datenschutz garantieren. Standardverträge sind deshalb nur gültig, wenn die Rechtsordnung des Landes, in das die Daten übermittelt werden sollen, die erforderlichen Garantien bieten. Wenn also im Empfängerstaat die entsprechenden Garantien nicht vollauf gewährleistet sind, zu denen ein effektiver Rechtsschutz gegen staatliche Datenzugriffe gehört, müssen die Datenschutzbehörden die jeweiligen Verträge aussetzen oder verbieten.

Und hier wird es interessant: Da der EuGH – bezogen auf das Privacy Shield – einen angemessenen Datenschutz in den USA verneint hat, können auch Standardverträge dieses Defizit nicht kompensieren. Denn die Standardverträge können ebensowenig wie das annullierte  Privacy Shield die nötigen Schutzvorkehrungen gegen nicht gerechtfertigte staatliche Datenzugriffe sicherstellen.

Wie geht es weiter?

Nach der heutigen EuGH-Entscheidung muss die allein auf das Privacy Shield gestützte Übermittlung personenbezogener Daten in die USA unterbleiben.

Das System der Standardvertragsklauseln bleibt zwar grundsätzlich bestehen und die geschlossenen Standardverträge bleiben zunächst in Kraft. Sie müssen aber von den Datenschutzbehörden im Lichte der EuGH-Entscheidung überprüft und gegebenenfalls ausgesetzt werden. Diese Überprüfung wird sich dabei nicht allein auf Datenübermittlungen in die USA beschränken. Auch die Übermittlung auf Basis der Standardverträge in andere Drittstaaten mit zweifelhaften rechtsstaatlichen Garantien müssen auf den Prüfstand.

Brauchen wir Schrems III?

Damit liegt der Ball wieder bei der irischen Datenschutzbehörde, denn sie muss die Rechtsgrundlage prüfen, auf der Facebook Ireland die Daten aus der EU an die US-Mutter Facebook Inc. transferieren darf. Diese Behörde nimmt sich für solche Prüfungen bekanntlich viel Zeit. Nach dem Inkrafttreten der DSGVO vor über zwei Jahren hat die irische Datenschutzbehörde nicht eine einzige abschließende Entscheidung zu einer Beschwerde getroffen, die den Umgang der in Irland ansässigen europäischen Niederlassungen von US-Unternehmen mit personenebzogenen Daten europäischer Nutzer betrifft.

Sie handelt bisher wie der sprichwörtliche Hund, den man zum Jagen tragen muss. Ob die heutige EuGH-Entscheidung daran etwas ändert, bleibt abzuwarten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert