Der EuGH hat vergangene Woche entschieden, dass das »Privacy Shield«-Abkommen, welches das Datenschutzniveau zwischen Europa und den USA gleichstellt und eine Übertragung personenbezogener Daten ermöglicht, ungültig ist: Die USA erfüllen das Datenschutzniveau der DSGVO nicht.
Der europäische Gerichtshof (EuGH) hat in einem Urteil vom 16. Juli 2020 (Az.: C‑311/18) entschieden, dass der so genannte EU-US-Datenschutzschild (Privacy Shield – aufgrund Durchführungsbeschluss (EU) 2016/1250 der Kommission) ungültig ist, da mit diesem das von der Datenschutzgrundverordnung (DSGVO) geforderte Sicherheitsniveau für personenbezogene Daten in den USA nicht erreicht wird. Personenbezogene Daten können folglich nicht mehr auf Grundlage des Privacy Shield in die USA transferiert werden. Hintergrund dafür ist ein Verfahren von dem Österreicher Maximilian Schrems gegen die irische Datenschutzbehörde. Im Juni 2013 hatte Schrems bei der irischen Datenschutzbehörde eine Beschwerde eingelegt, mit der er diese im Wesentlichen aufforderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Da die Datenschutzbehörde jedoch kein Verfahren startete, verklagte Schrems sie. In zweiter Instanz legte der irische High Court die Sache dem EuGH vor. Der erklärte das Safe Harbour Abkommen für den EU-US-Datentransfer mit Urteil vom 06. Oktober 2015 für ungültig (C‑362/14, EU:C:2015:650) und verwies die Sache an den irischen High Court zurück. Facebook berief sich in der Folge darauf, das ja die Standarddatenschutzklauseln Bestand hätten und der Transfer personenbezogener Daten auf deren Grundlage rechtens wäre. Schrems änderte nun seinen Antrag entsprechend und ging gegen den Datentransfer auf Grundlage der Standarddatenschutzklauseln (nach Kommissionsbeschluss 2010/87/EU) vor. Die Sache wurde letztendlich von den irischen Gerichten wieder dem EuGH vorgelegt, nachdem mittlerweile der Safe Harbour-Nachfolger Privacy Shield in Kraft getreten war, zu dessen Gültigkeit ebenfalls eine Anfrage gestellt wurde.
Der EuGH erklärte nun den Privacy Shield für ungültig und die Standarddatenschutzklauseln, deren Beurteilung den Kern der Entscheidung bildeten, für weiterhin gültig (Urteil vom 16. Juli 2020, Az.: C‑311/18). Der EuGH stellte beim Privacy ShieldAbkommen fest, dass dieses nicht das von der Datenschutzgrundverordnung (DSGVO) geforderte gleiche Datenschutzniveau erreiche, da es keine hinreichenden Rechtsbehelfe für Betroffene gäbe, Ansprüche gerichtlich gegenüber den US-amerikanischen Behörden durchzusetzen. Der vierte Zusatzartikel zur Verfassung der Vereinigten Staaten, der im amerikanischen Recht den wichtigsten Schutz vor illegaler Überwachung darstelle, gelte nicht für EU-Bürger. Zwar sei für diese im Rahmen des Privacy Shield-Abkommens eine von den Nachrichtendiensten unabhängige Ombudsstelle eingerichtet, die dem Außenministerium unterstellt ist. Doch da die Ombudsperson nicht ermächtigt sei, gegenüber den US-Nachrichtendiensten verbindliche Entscheidungen zu treffen, eröffne dies keinen Rechtsweg zu einem Organ, das Personen, deren Daten in die USA übermittelt werden, Garantien böte, die den nach Art. 47 der Grundrechtecharta erforderlichen Garantien der Sache nach gleichwertig wären.
Was die Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (Kommissionsbeschluss 2010/87/EU) betrifft, stellte der EuGH fest, dass deren Gültigkeit nicht berührt sei. Die Weitergabe personenbezogener Daten an einen Dritten stelle einen Eingriff in die in den Art. 7 und 8 der EU-Grundrechtecharta verankerten Grundrechte dar, so der EuGH. Ein Eingriff in diese Rechte sei möglich, wenn personenbezogene Daten lediglich für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Es müsse bei einer Übermittlung personenbezogener Daten in ein Drittland ein Schutzniveau vorliegen, das mit dem in der Union durch die DSGVO im Licht der EU-Grundrechtecharta garantierten Niveau der Sache nach gleichwertig ist. Es müssten ausreichende Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe gewährleistet sein, die einen wirksamen Schutz der personenbezogenen Daten vor Missbrauchsrisiken ermöglicht. Die in der Union ansässigen Verantwortlichen und die Empfänger der Übermittlung personenbezogener Daten seien verpflichtet, vorab zu prüfen, ob im betreffenden Drittland das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Erlaube das Recht im Drittland nicht die Standarddatenschutzklauseln einzuhalten, seien bereits übertragene Daten zurückzuschicken oder zu zerstören. Da die Standarddatenschutzklauseln nicht nur auf die USA bezogen seien, gelte die Prüfungspflicht für jedes Drittland, in das personenbezogene Daten übertragen werden.
Der EU-US-Datenschutzschild ist damit obsolet. Ein Transfer von personenbezogenen Daten in die USA, die auf Grundlage des Privacy Shield beruht, hat zu unterbleiben. Betroffene Datenverantwortliche müssen nun prüfen, ob das notwendige Datenschutzniveau auf Grundlage einer Standarddatenschutzklausel gesichert ist. Wie der Rheinland-Pfälzische Landesdatenschutzbeauftragte Prof. Kugelmann unterstreicht, kommen Verantwortliche nicht umhin,
sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.
Rigoroser ist die Ansicht der Berliner Datenschutzbeauftragten Maja Smoltczyk, die kurzerhand davon ausgeht, dass
Verantwortliche, die – insbesondere bei der Nutzung von CloudDiensten – personenbezogene Daten in die USA übermitteln, […] nun angehalten [sind], umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.