ZAP 11/2021, Internetreport / 10 EU-US-Datenschutzschild („US-Privacy Shield”) ist unwirksam

Bei der Nutzung von Diensten wie z.B. Facebook oder Google werden personenbezogene Daten natürlicher Personen (z.B. Vor- und Nachname, Anschrift, E-Mail-Adresse, IP-Adresse) an Server der Facebook Inc. oder der Google Inc., die sich jeweils in den USA befinden, übermittelt und dort verarbeitet (zum Begriff der Verarbeitung s. Art. 4 Nr. 2 DSGVO). Eine datenschutzkonforme Übermittlung von personenbezogenen Daten setzt voraus, dass die Übermittlung auf Grundlage der Regelungen der DSGVO zulässig ist.

Da es sich bei den USA um ein Drittland handelt, sind die Vorgaben der Art. 44 ff. DSGVO zu beachten. Nach Art. 44 S. 1 DSGVO ist jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland verarbeitet werden sollen, nur zulässig, wenn der Verantwortliche (und der Auftragsverarbeiter) die in den Art. 44 bis 50 DSGVO niedergelegten Bedingungen einhält und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden. Nach Art. 45 Abs. 1 S. 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland nur vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Angemessen ist ein Schutzniveau dann, wenn das in diesem Drittland vorhandene datenschutzrechtliche Schutzniveau dem Schutzniveau in der EU entspricht. In Art. 45 Abs. 2 DSGVO sind die Kriterien beispielhaft aufgelistet, die die EU bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt.

Nach Verkündung des Urteils des EuGH vom 6.10.2015 (C-362/14, „Schrems I” oder „Safe Harbor”) hat die EU-Kommission den Durchführungsbeschluss (EU) 2016/1250 vom 12.7.2016 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes erlassen. Hierbei handelte es sich um einen Angemessenheitsbeschluss i.S.d. Datenschutzrichtlinie 95/46/EG, die bekanntlich im Mai 2018 durch die DSGVO vollständig ersetzt worden ist. Wäre dieser Beschluss vom 12.7.2016 unter Geltung der DSGVO erlassen worden, würde es sich um einen Angemessenheitsbeschluss i.S.d. Art. 45 Abs. 1 S. 1 DSGVO handeln. Der Durchführungsbeschluss vom 12.7.2016 besagte, dass das EU-US-Datenschutzschild („US-Privacy Shield”) ein angemessenes (datenschutzrechtliches) Schutzniveau bietet. Nach Art. 1 Abs. 1 dieses Durchführungsbeschlusses gewährleisten die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds aus der Europäischen Union an Organisationen in den Vereinigten Staaten übermittelt werden. Der EU-US-Datenschutzschild besteht aus den Grundsätzen, die am 7.7.2016 vom US-Handelsministerium herausgegeben wurden und in Anhang II zu diesem Beschluss aufgeführt sind sowie den offiziellen Erklärungen und Zusagen, die in den Anhängen I und III bis VIII enthalten sind (Art. 1 Abs. 2 des Durchführungsbeschlusses).

Dieser Durchführungsbeschluss war sodann Gegenstand eines Urteils des EuGH vom 16.7.2020 (C-311/18, „Schrems II”, ZAP EN-Nr. 398/2020). In diesem Urteil hat der EuGH u.a. die Gültigkeit des vorgenannten Beschlusses auf Basis der Regelungen der Art. 44 DSGVO geprüft. Der EuGH hat diesbezüglich festgestellt, dass das EU-US-Datenschutzschild nicht den datenschutzrechtlichen Anforderungen im Hinblick auf den Schutz personenbezogener Daten entspricht, die die DSGVO fordert. Diese Einschätzung beruhte auf dem Umstand, dass die amerikanischen Behörden nach dem US-amerikanischen Recht auf solche Daten, die aus der EU in die USA übermittelt werden, zugreifen und sie verwenden dürfen; hieraus ergäben sich Einschränkungen des Schutzes personenbezogener Daten, die nach dem in EU-Recht vorherrschenden Grundsatz der Verhältnismäßigkeit nicht akzeptabel seien. Die in der EU ansässigen betroffenen natürlichen Personen hätten ferner keine ausreichenden Rechte, um gegen diesen Zugriff durch nationale US-Behörden gerichtlich vorzugehen.

Dieses Urteil führt dazu, dass personenbezogene Daten von betroffenen EU-Bürgern nicht mehr auf Basis des EU-US-Datenschutzschild („US-Privacy Shield”) datenschutzkonform in die USA übermittelt werden dürfen. Dies betrifft nicht nur die Datenübermittlung z.B. durch Facebook oder Google selbst, sondern auch die Datenübermittlung von Unternehmen, die auf Basis der Nutzung z.B. von Google-Diensten oder im Rahmen bestehender Vertragsverhältnisse personenbezogene Daten in die EU übermitteln. Unternehmen, die einen Datentransfer in die USA durchführen, ist dringend zu empfehlen, sich mit den Kernaussagen und rechtlichen Wirkungen dieses Urteils näher zu beschäftigen.

Vor diesem Hintergrund haben die europäischen sowie deutschen Datenschutzbehörden Stellung u.a. zu den Auswirkungen dieses Urteils genommen.

Der Europäische Datenschutzausschuss („European Data Protection Board”) hat am 23.7.2020 ”FAQs on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner vs. Facebook Ireland Ltd and Maximillian Schrems” herausgeg...