Privacy Shield

Das Abkommen zwischen der EU und den USA zur Übermittlung personenbezogener Daten (EU-US Privacy Shield) ist nach einer Entscheidung des EuGH ungültig. Es gelten die Regelungen der DSGVO zur Übermittlung von Daten an Drittländer.

Unternehmen haben die DSGVO-Regelungen zur Übermittlung von personenbezogenen Daten an Drittländer zu beachten

Am 12.7.2016 hat die Europäische Kommission das Übereinkommen EU-US-Datenschutzschild (EU-US Privacy Shield) verabschiedet. Dieses „Framework“ wurde vom US Department of Commerce und der Europäischen Kommission entworfen, um für Unternehmen auf beiden Seiten des Atlantiks die Einhaltung der Datenschutzanforderungen bei der Übermittlung personenbezogener Daten zu garantieren. Nun hat der EuGH dieses Abkommen für ungültig erklärt. Für die Unternehmer bedeutet das nach EuGH, dass sie die Vorschriften der DSGVO für Übermittlung der Daten in Drittländer zu beachten haben.

Privacy Shield: Kläger macht zunächst mangelnden Schutz seiner Daten in den USA geltend

Der österreichische Anwalt und Datenschutzaktivist Max Schrems, österreichischer Staatsangehöriger, nutzt seit 2008 das soziale Netzwerk Facebook (im Folgenden: Facebook). Alle Personen, die in der EU wohnen und Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den USA ansässigen Facebook Inc. Die personenbezogenen Daten der in der EU wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc., die sich in den USA befinden, übermittelt und dort verarbeitet. Im Juni 2013 legte Max Schrems beim Commissioner eine Beschwerde ein, mit der er ihn im Wesentlichen aufforderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die USA zu untersagen. Dabei machte er geltend, das Recht und die Praxis der USA gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden.

Privacy Shield: Laut Kläger widerspricht Verpflichtung von Facebook zur Übermittlung von Daten an US-Behörden der GRCh

Nach einigem Hin- und Her formulierte Max Schrems 2015 seine Beschwerde anders und machte geltend, dass die Facebook Inc. nach amerikanischem Recht verpflichtet sei, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen. Da diese Daten im Rahmen verschiedener Überwachungsprogramme in einer mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union unvereinbaren Weise verwendet würden, sei ihre Übermittlung in die Vereinigten Staaten nicht gerechtfertigt. Max Schrems forderte, die Übermittlung seiner personenbezogenen Daten an die Facebook Inc. zu verbieten oder auszusetzen.

Irischer High Court wendet sich u. a. mit Frage der Gültigkeit des Privacy Shield an EuGH

Das Verfahren gelangte an den irischen High Court. Dieser wandte sich an den EuGH. Gefragt wurde nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den Aufsichtsbehörden in diesem Zusammenhang obliegen. Außerdem erkundigte sich der High Court, ob der Beschluss 2010/87 über Standardvertragsklauseln und der Privacy Shield-Beschluss 2016/1250 überhaupt gültig seien.

Mit seinem am 16.7. verkündeten Urteil stellt der EuGH fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte nichts ergeben hat, was seine Gültigkeit beeinträchtigen könnte.

Den Privacy Shield-Beschluss 2016/1250 erklärte der EuGH hingegen für ungültig.

Wichtig ist, dass der EuGH die Fragen des High Court anhand der Bestimmungen der DSGVO beantwortete, obwohl diese noch nicht in Kraft war als die Verfahren begannen.

Privacy-Shield-Beschluss ungenügend

Schließlich prüfte der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta der Grundrechte. Interessantes Detail: Die EMRK (Konvention zum Schutze der Menschenrechte und Grundfreiheiten) stellt, solange die Union ihr nicht beigetreten ist, kein Rechtsinstrument dar, das formell in die Unionsrechtsordnung übernommen wurde. Als Rechtsgrundlage dient also die Charta. Der EuGH überprüfte, ob in der Safe-Harbour-Entscheidung 2000/520 die Bestimmungen der Artikel den Art. 7 (Achtung des Privat- und Familienlebens), Art. 8 (Schutz personenbezogener Daten) und Art. 47 (Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht) eingehalten würden.

Der EuGH gelangte zu dem Ergebnis, dass die von der Kommission im Privacy-Shield-Beschluss bewerteten Einschränkungen des Schutzes personenbezogener Daten nicht so geregelt sind, dass damit Anforderungen erfüllt würden, die den im EU nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären.

Weiter stellte das Gericht fest, dass im Privacy-Shield-Beschluss

  • den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird und
  • die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

Der EuGH stellte fest, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, keine speziellen Garantien bestehen. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. Auch der im Privacy-Shield-Beschluss 0 vereinbarte Ombudsmechanismus eröffnet den betroffenen Personen keinen Rechtsweg, mit dem man die Gleichwertigkeit des Datenschutzes zu den europäischen Vorschriften durchsetzen könnte.

Aus diesen Gründen erklärte der EuGH den Privacy-Shield-Beschluss für nichtig.

Ungültigkeit des Privacy Shield: Konsequenzen für Unternehmer

Über die Folgen des Urteils gibt es wilde Spekulationen, z.B. die Frage ob Facebook und Twitter in Europa überhaupt noch tätig sein dürfen. Der EuGH hat aber am Schluss des Urteils klar festgelegt, welches Recht nun anwendbar ist: „Zu der Frage, ob die Wirkungen dieses Beschlusses aufrechtzuerhalten sind, um die Entstehung eines rechtlichen Vakuums zu vermeiden [...], ist festzustellen, dass in Anbetracht von Art. 49 der DSGVO durch die Nichtigerklärung eines Angemessenheitsbeschlusses wie des DSS-Beschlusses jedenfalls kein solches rechtliches Vakuum entstehen kann. “Unternehmer haben also folgende Punkte zu beachten.

Erstmal ist abzuklären, ob ein Angemessenheitsbeschluss nach Art. 45 Abs. 1 und 3 DSVGO vorliegt. Das bedeutet: Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau bieten. Dann benötigt man für eine Datenübermittlung keine besondere Genehmigung.

Falls kein solcher Angemessenheitsbeschluss vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1 DSGVO).

Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig (Art. 49 Abs. 1 DSVGO).

 Daten können weitergeleitet werden, wenn sie erforderlich sind

  • für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen;
  • zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person;
  • zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags;
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Für die anderen Fälle gilt (diese Vorschrift beachtet man am besten grundsätzlich):

Die betroffene Person muss in die vorgeschlagene Datenübermittlung ausdrücklich einwilligen, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Weiter sind die Standardvertragsklauseln zu überprüfen, solche verwenden z.B. US-Konzerne wie Amazon, Facebook, Google oder Microsoft für ihren Datentransfer in die USA. Das gilt natürlich auch für Unternehmen des Mittelstandes, sofern Regelungen über den Datentransfer in Drittländer in den AGB vorhanden sind. Diese müssen nun den obengenannten Vorschriften der DSGVO angepasst werden. Auch die Datenschutzerklärungen und -hinweise auf Webseiten sollten überarbeitet werden, wenn als Grundlage für die Übertragung von personenbezogenen Daten das Privacy-Shield-Abkommen erwähnt wird.

Das könnte Sie ebenfalls interessieren:

Datenschutz-Grundverordnung

Schlagworte zum Thema:  Datenschutz, Datenschutz-Grundverordnung