§ 12 Grenzüberschreitender Verkehr von Beschäftigtendaten / g) Urteil des EuGH: Schrems II

Rz. 55

Aufgrund der extremen Auswirkungen des Schrems II-Urteils des EuGH^[51] wird dieses im Folgenden vorgestellt und seine Folgen erläutert.

[51] EuGH 16.7.2020, C-311/18, ECLI:EU:C:2020:559 – "Schrems II".

aa) Hintergrund zum Schrems II-Urteil des EuGH

Rz. 56

Der österreichische Staatsbürger und Facebook-Nutzer Maximilian Schrems erhob Beschwerde bei der irischen Datenschutzbehörde vor dem Hintergrund, dass Facebook auf Grundlage des Privacy Shields (teilweiser Angemessenheitsbeschluss nach Art. 45 DSGVO) und darauf basierenden Garantien (Art. 46 DSGVO) seine persönlichen Daten in die USA transferierte. Herr Schrems bemängelte die großen Zugriffsmöglichkeiten der amerikanischen Behörden als rechtswidrig. Die Datenschutzbehörde lehnte die Beschwerde wegen des Vorliegens des Privacy Shields ab. Herr Schrems zog vor den High Court in Irland, der ein Vorabentscheidungsverfahren zum EuGH einleitete.^[52]

[52] EuGH 16.7.2020, C-311/18, Rn 50 ff. – "Schrems II".

bb) Entscheidung des EuGH

Rz. 57

Der EuGH betrachtete den Fall insbesondere im Lichte der EU-Grundrechte-Charta. Das angemessene Schutzniveau prüfte der EuGH anhand der folgenden drei Kriterien:

▪	Geeignete Garantien
▪	Durchsetzbare Rechte
▪	Wirksame Rechtsbehelfe

Rz. 58

In seiner Entscheidung stellte der EuGH fest, dass das Grundrechtsniveau insbesondere auf der Ebene des zuverlässigen Rechtsschutzes in den USA nicht gewährleistet sei. Da weder das Privacy Shield noch die darauf beruhenden Klauseln einen ausreichenden und effektiven Schutz gegenüber US Behörden gewährleistete, wurde das Privacy Shield vom EuGH für unzulässig erklärt.^[53]

Rz. 59

Für die Datenübertragung in die USA gilt nun (Stand: September 2021), dass es keinen wirksamen Angemessenheitsbeschluss bezüglich der USA gemäß Art. 45 DSGVO gibt.

Rz. 60

Weitere Kernaussagen des EuGH in der Sache Schrems II:

▪	Die nationalen Aufsichtsbehörden haben ein Prüfungsrecht bezüglich der Angemessenheitsbeschlüsse, jedoch kann sie nur der EuGH für ungültig erklären.[54]
▪	Ein vergleichbares Schutzniveau zu den europäischen Grundrechten (insbesondere Art. 7, 8, 47 GRCh) muss im Drittland vorhanden sein.[55]
▪	Bei Standardklauseln ist vorab immer die Rechtslage im betroffenen Land hinsichtlich etwaiger Datenschutzprobleme zu prüfen. Wenn zu große Eingriffsmaßnahmen rechtlich vorhanden sind und genutzt werden, bieten Standardklauseln keinen ausreichenden Schutz für die exportierten Daten und können daher nicht als Grundlage verwendet werden.[56]

[53] EuGH 16.7.2020, C-311/18, Rn 199 – "Schrems II".

[54] EuGH 16.7.2020, C-311/18, Rn 118, 120 – "Schrems II".

[55] EuGH 16.7.2020, C-311/18, Rn 101 – "Schrems II".

[56] EuGH 16.7.2020, C-311/18, Rn 121 – "Schrems II".

cc) Folgen des Schrems II-Urteils des EuGH

Rz. 61

Besonders seit der Schrems II-Entscheidung des EuGH herrscht in der Praxis große Unsicherheit über die Rechtmäßigkeit von internationalen Datentransfers, insb. in die USA. Große Auswirkungen entfaltet das Schrems II-Urteil des EuGH auch für geeigneten Garantien, da der EuGH in seinem Urteil für einen rechtskonformen Datentransfer auf Basis von geeigneten Garantien verlangt, dass in dem jeweiligen Drittland das gleiche Schutzniveaus besteht. Ebenso haben zweiseitige Verträge keinen Einfluss auf Zugriffsmöglichkeiten von Behörden, da Behördenbefugnisse nicht durch einen privatwirtschaftlichen Vertrag eingeschränkt werden können.

Rz. 62

EDPB (European Data Protection Board) empfiehlt derzeit (Stand September 2021) folgende Maßnahmen:^[57]

1.	Die Datenübermittlungen in Drittländer kennen – Unternehmen sollen sich als erstes einen Überblick darüber verschaffen, welche Daten sie in welche Drittländer übermitteln und ob dies notwendig ist (Stichwort: Datenminimierung).
2.	Identifikation der Übermittlungsgrundlagen – Danach sollte zu jeder Übermittlung die Grundlage aufgeschrieben werden, auf der die Übermittlung derzeit beruht, also welcher Erlaubnistatbestand ­benutzt wird. Je nachdem sollten auch die einschlägigen Abschnitte dieses Kapitels durchgearbeitet werden.
3.	Effektive Garantien? – Wenn Garantien des Art. 46 DSGVO genutzt werden, müssen diese effektiven Schutz bieten. Hier ist die Rechtslage und die tatsächliche Praxis im Drittland maßgeblich. Gibt es gesetzliche Befugnisse zum Auslesen von Daten mit/ohne Informationspflichten? Werden diese tatsächlich angewendet? Gibt es keine gesetzliche Grundlage, aber Daten werden von Behörden dennoch ausgelesen? Es ist eine umfangreiche Beurteilung des Drittlandes auf Grundlage der öffentlich verfügbaren Informationen nötig. Hier wird regelmäßig ein Rechtsgutachten einzuholen sein.
4.	Identifizierung zusätzlicher Schutzmaßnahmen – Sollten Drittstaaten eine zu große Eingriffsmöglichkeit haben/nutzen, müssen zusätzlich rechtliche, organisatorische oder technische Schutzmaßnahmen unternommen werden. Rechtlich ergibt sich hier der regelmäßig der Zirkelschluss, dass Behörden auch an weitere Vereinbarungen zwischen den Parteien nicht gebunden werden können. Daher müssen v.a. technische Maßnahmen wie Verschlüsselungen oder pseudonymisierte Daten angedacht werden. Diese Maßnahmen erschweren oft...