Privacy Shield (aufgehoben durch EuGH-Urteil)

Zusammenfassung

Begriff

Privacy Shield ist ein Übereinkommen zum Datenschutz zwischen der Europäischen Union und den USA. Darin wird der Schutz personenbezogener Daten festgeschrieben, die aus einem Mitgliedstaat der Europäischen Union in die USA übertragen werden. Durch das Urteil des EuGH vom 16.07.2020 wurde das Abkommen für ungültig erklärt.

1 Rechtliche Entwicklung und Rahmenbedingungen

1.1 Erarbeitung des Rahmenabkommens 2016

Am 12. Juli 2016 hat die Europäische Kommission das Abkommen EU-US-Datenschutzschild (EU-US Privacy Shield) angenommen. Dieses "Framework" wurde vom US Department of Commerce und der Europäischen Kommission entworfen, um für Unternehmen auf beiden Seiten des Atlantiks die Einhaltung der Datenschutzanforderungen bei der Übermittlung personenbezogener Daten zu garantieren. An dem Projekt beteiligt sich auch die Schweiz.

Der Europäische Gerichtshof hatte am 6. Oktober 2015, C-362/14, die Safe-Harbor-Vereinbarung der Europäischen Kommission für ungültig erklärt. Das neue Rahmenabkommen entspricht den Vorgaben, die der Gerichtshof der Europäischen Union in seinem Urteil vom 6. Oktober 2015 formuliert hatte. Die US-Regierung gab überzeugende Zusicherungen ab, dass auf die strenge Einhaltung der Datenschutzbestimmungen geachtet wird und die nationalen Sicherheitsbehörden Daten nicht unterschiedslos oder massenhaft überwachen. Zusätzlich hatte Präsident Obama den Judicial Redress Act unterzeichnet, der EU-Bürgern das Recht garantiert, Datenschutzrechte vor den US-Gerichten geltend machen zu können.

1.2 Nach neuem EuGH-Urteil ist auch das Privacy-Shield-Abkommen ungültig

Inzwischen hat der EuGH mit seinem Urteil vom 16. Juli 2020 den Privacy Shield-Beschluss 2016/1250 für ungenügend und deshalb für ungültig erklärt. Behandelt wurden dabei Anfragen des irischen High Court.

Wichtig für diesen Fall ist, dass der EuGH die Fragen die Fragen des High Court anhand der Bestimmungen der DSGVO beantwortete, obwohl diese noch nicht in Kraft war als die Verfahren begonnen hatten.

Der EuGH gelangte zu dem Ergebnis, dass im Privacy-Shield-Beschluss 2016/1250 EU der Datenschutz nicht so geregelt sein, dass es den Vorschriften der EU gleichwertig wäre.

Weiter stellte das Gericht fest, dass im Privacy-Shield-Beschluss den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird und die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Der EuGH stellte fest, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, keine speziellen Garantien bestehen. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. Auch der im Privacy-Shield-Beschluss 2016/1250 vereinbarte Ombudsmechanismus eröffnet den betroffenen Personen keinen Rechtsweg, mit dem man die Gleichwertigkeit des Datenschutzes zu den europäischen Vorschriften durchsetzen könnte.

2 Konsequenzen für Unternehmer

Über die Folgen des Urteils gab es wilde Spekulationen, z. B. die Frage ob Facebook und Twitter in Europa überhaupt noch tätig sein dürfen. Der EuGH hat aber am Schluss des Urteils klar festgelegt, welches Recht nun anwendbar ist. Zu der Frage, ob die Wirkungen dieses Beschlusses aufrechtzuerhalten sind, um die Entstehung eines rechtlichen Vakuums zu verhindern, sei festzustellen, dass durch die Nichtigerklärung eines Angemessenheitsbeschlusses wie des DSS-Beschlusses kein rechtliches Vakuum entstehen kann (Art. 49 DSGVO). Unternehmer haben also folgende Punkte zu beachten.

1. Erstmal ist abzuklären, ob ein Angemessenheitsbeschluss vorliegt (Art. 45 Abs. 1 DSGVO und Art. 45 Abs. 3 DSVGO). Das bedeutet: Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau bieten. Dann benötigt man für eine Datenübermittlung keine besondere Genehmigung.
2. Falls kein solcher Angemessenheitsbeschluss vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1 DSGVO).

Falls weder ein Angemessenheitsbeschluss nach Art. ...