Nachdem die Aktivitäten des österreichischen Datenschützers Max Schrems schon mehrfach den EuGH beschäftigt haben, konnte der Aktivist vergangene Woche seinen bisher vermutlich größten Coup landen. Der EuGH erklärte das EU-US-Abkommen Privacy Shield,[1] das den Datentransfer von Europa in die USA regelte, für ungültig.[2] Datenübermittlungen in die USA werden daher in Zukunft nicht so wie gehabt stattfinden können. Hingegen hält der EuGH sog. Standardvertragsklauseln, deren Gültigkeit ebenfalls Gegenstand des Verfahrens waren, für rechtlich unbedenklich.
Prozessverlauf
Die Wurzeln des Verfahrens liegen mehr als sieben Jahre zurück und haben ihren Ursprung in von Schrems gerügten Datenschutzverstößen durch Facebooks europäischen Ableger, Facebook Ireland. Schrems, seit 2008 privater Facebook Nutzer, legte bei der irischen Datenschutzbehörde (Data Protection Commissioner – DPC) 2013 eine Beschwerde ein, mit der er die Behörde aufforderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die USA zu verbieten.[3] Der durch die ablehnende Haltung des DPC ausgelöste Rechtsstreit mündete in der Entscheidung des EuGH vom Oktober 2015,[4] in der der EuGH das bis dato für den Datentransfer von Europa in die USA maßgebliche Safe‑Harbour-Abkommen für ungültig erklärte. Im Anschluss hieran verständigten sich EU und USA auf den EU-US Privacy Shield, um eine Datenübermittlung in die USA nach Art. 45 Abs. 1 DSGVO wieder zu ermöglichen. Dagegen stützen Facebook & Co selbst die Datenübertragung, nach dem Fall des Safe‑Harbour-Abkommens, auf sog. Standardvertragsklauseln (im Folgenden: SDK-Beschluss), die von der Kommission 2010 in Übereinstimmung mit der Datenschutzrichtlinie,[5] erlassen worden waren.[6]
Aber auch die so auf neues Fundament gestellte Datenübermittlung hielt Schrems für rechtswidrig. Insbesondere rügte er eine Verletzung von Art. 7, 8 und 57 der EU‑Grundrechtecharta (GrCh). Brisant ist vor allem die Verarbeitung von Daten von EU‑Bürgern durch US-Nachrichtendienste; denn Facebook ist nach US-amerikanischem Recht verpflichtet, den Nachrichtendiensten umfangreichen Zugriff auf gewisse Daten zu gewähren. Dabei genießen EU-Bürger nicht den gleichen Schutz wie US-Bürger.[7] Die durch die Zweifel an der Rechtmäßigkeit der neuen Verfahrensweise aufgeworfenen Rechtsfragen führten dazu, dass der irische High Court erneut, diesmal sogar auf Betreiben des DPC, ein Vorabentscheidungsverfahren zum EuGH anstrengte.
Das insgesamt elf Fragen umfassende Vorabentscheidungsersuchen betraf eine Vielzahl von Problemen, wie z.B. das Schutzniveau, das die DSGVO an eine Datenübermittlung stellt und die dabei bestehenden Pflichten der Aufsichtsbehörden. Zudem fragte der High Court generell nach der Gültigkeit des SDK-Beschlusses und des Privacy Shield. Bedenken hinsichtlich der Zulässigkeit des Verfahrens, die aufgrund der zwischenzeitlichen Ablösung der Datenschutzrichtlinie durch die DSGVO geäußert wurden, hat der EuGH im Vorfeld zurückgewiesen. [8]
Die Entscheidung des EuGH
Der EuGH ist in seinen Erwägungen dem Generalanwalt gefolgt, der in seinem Schlussantrag bereits Zweifel an der Vereinbarkeit des EU-US Datenschutzschilds geäußert hatte, hingegen den SDK-Beschluss für rechtmäßig erachtete.[9] Die Fragen des High Courts werden durch den EuGH zusammengefasst und in fünf Antworten gebündelt.
Zunächst bejaht der EuGH die Anwendbarkeit des DSGVO auf die Übermittlung personenbezogener Daten von einem Wirtschaftsteilnehmer in einem Mitgliedstaat (im Ausgangsverfahren natürlich Facebook Ireland) an einen Wirtschaftsteilnehmer in einem Drittstaat. Es sei insbesondere unschädlich, dass die personenbezogenen Daten im Anschluss an die Übermittlung von den Behörden des Drittstaates für Zwecke der öffentlichen Sicherheit verarbeitet würden. Dies ergebe sich mittelbar aus dem Wortlaut von Art. 45 Abs. 2 lit. a) DSGVO, indem die Kommission bei der Feststellung der Angemessenheit des von einem Drittland gebotenen Datenschutzniveaus auch die dortigen Rechtsvorschriften bezüglich der öffentlichen Sicherheit berücksichtigen müsse.[10]
Die zweite Antwort widmet sich der Auslegung von Art. 46 Abs. 1 und Abs. 2 DSGVO und konkretisiert das erforderliche Schutzniveau, wenn personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden. Der EuGH kommt unter Zuhilfenahme der Erwägungsgründe 107 und 108 zur DSGVO zu dem Ergebnis, dass bezüglich der Rechte von Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein mit der DSGVO gleichwertiges Niveau gewährleistet bleiben muss.[11] Nicht zuletzt seien dabei auch die Befugnisse der Behörden im Zielland zu berücksichtigen.
Anschließend bejaht der EuGH eine aus Art. 58 Abs. 2 lit. f) und lit. j) DSGVO folgende grundsätzliche Pflicht der Aufsichtsbehörden, eine auf Standarddatenschutzklauseln gestützte Übermittlung unter gewissen Umständen zu verbieten, wenn kein gültiger Angemessenheitsbeschluss der Kommission vorliegt.[12] Die Verpflichtung folge aus der Aufgabe der Aufsichtsbehörden, mit aller gebotenen Sorgfalt über eine umfassende Einhaltung der DSGVO zu wachen.[13]
In den beiden letzten Antworten kommt der EuGH zu den spannendsten und auch politisch brisantesten Fragen: Zuerst bejaht der EuGH die Vereinbarkeit des SDK-Beschlusses mit Art. 7, 8 und 47 GrCh.[14] Daraufhin erklärt der EuGH Privacy Shield jedoch für unvereinbar mit Art. 45 Abs. 1 DSGVO und damit insgesamt für ungültig.[15] Das der SDK-Beschluss, anders als Privacy Shield, nicht für unwirksam erklärt wurde, scheint vor allem an den im Beschluss verankerten Schutzmechanismen zu liegen, die aus Sicht des EuGH genügen, um eine Berücksichtigung der Standarddatenschutzklauseln in der Praxis zu gewährleisten.[16] In diesem Zusammenhang verweist der EuGH auf die Verpflichtung der Übermittlenden, sich vor der Übermittlung personenbezogener Daten zu vergewissern, dass im Bestimmungsland die Standarddatenschutzklauseln eingehalten werden. Zudem seien die Verantwortlichen verpflichtet, mit den Aufsichtsbehörden zu kooperieren. Letztlich vertraut der EuGH also auch auf die guten Absichten der Verantwortlichen.
Während der EuGH im Bezug auf den SDK-Beschluss sich also noch einmal zurückhaltend positioniert hat, ist der Privacy Shield für den EuGH nicht mehr tragbar. Wie kommt der EuGH zu diesem Ergebnis? Der Privacy Shield dient zur Umsetzung von Art. 45 Abs. 1 Satz 1 DSGVO. Hiernach darf die Übermittlung personenbezogener Daten in ein Drittland nur erfolgen, sofern die Kommission beschlossen hat, dass in diesem Staat ein angemessenes Datenschutzniveau gewährleistet wird. Ein solches angemessenes Schutzniveau hatte die Kommission den USA im Privacy Shield attestiert. Für den EuGH bestehen aber Zweifel, ob das Schutzniveau in den USA Art. 45 DSGVO, der im Lichte von Art. 7, 8 und 47 GrCh auszulegen sei, genügen könne.[17]
Mit den von US-amerikanischer Seite genutzten Überwachungsprogrammen würde in unverhältnismäßiger Art und Weise in die betreffenden Grundrechte eingegriffen.[18] Zudem rügt der EuGH, dass es für EU-Bürger keine effektiven Möglichkeiten gäbe, Rechtsschutz gegen Verletzungen des Privacy Shields zu erlangen, wodurch Art. 47 GrCh verletzt werde.[19] Der EuGH kommt daher insgesamt zu dem Ergebnis, dass die Kommission den USA kein angemessenes Datenschutzniveau hätte bescheinigen dürfen.[20] Der Beschluss sei daher mit sofortiger Wirkung unwirksam.
Würdigung der EuGH Entscheidung
Es ist bemerkenswert, wie schonungslos der EuGH schon lange kritisierte Überwachungsmaßnahmen durch die US-Nachrichtendienste anprangert. Dass aufgrund dieser der Privacy-Shield gegen Art. 7, 8 und 47 GrCh verstoßen könnte, war bereits zuvor in der Literatur diskutiert worden.[21] Einleuchtend scheint insbesondere die Kritik des EuGH am Mangel effektiver Rechtsmittel in den USA. Hierfür war im Privacy Shield lediglich ein unzureichender Mechanismus über eine Ombudsstelle vorgesehen.[22] Die Ombudsperson konnte dabei nur Beschwerden aufgrund in den USA erfolgter Datenschutzverletzungen entgegennehmen, nicht jedoch eine Unterlassung anordnen oder Schadensersatz zusprechen. Damit entsprach der Ombudsmechanismus nicht den Anforderungen eines angemessenen, effektiven Rechtsschutzes.
Bedauernswert ist lediglich, dass der EuGH sich nicht mit einigen grundsätzlichen Schwächen des Privacy Shields auseinandergesetzt hat, denn durch eine uneinheitliche, unscharfe und vage Terminologie stand der Privacy Shield im Widerspruch zum Gebot der Rechtsklarheit.[23] Doch ist gerade die Rechtsklarheit auch ein Ausfluss der Rechtsstaatlichkeit.[24] Ein dahingehender Hinweis wäre begrüßenswert gewesen, um die Bedeutung einer klaren und verständlichen Terminologie bei der Formulierung künftiger Angemessenheitsbeschlüsse zu unterstreichen.
Insgesamt können die Ausführungen des EuGH überzeugen. Sie entsprechen den in der Literatur bereits vorgetragenen Kritikpunkten am Privacy Shield und sind vom EuGH, unter sorgfältigem Rückgriff auf die Entstehungsgeschichte des Privacy Shields, hinreichend begründet worden.
Folgen & Fazit
Mit seiner jüngsten Entscheidung hat der EuGH ein scheinbares Dilemma unterstrichen, dass schon durch sein Urteil zum Safe-Harbour Abkommen aufgetreten war: dass zwischen den USA und der EU kein gemeinsamer Nenner über ein angemessenes Datenschutzniveau gefunden werden kann.[25] Ein zwischen den USA und der EU divergierendes Verständnis von Datenschutz scheint ein wesentlicher Grund für die Schwierigkeiten zu sein, einen gemeinsamen, unionsrechtlichen Standards entsprechenden Datenschutzmechanismus zu finden.[26]
Kurzfristig wird ein Datentransfer von Europa in die USA weiter möglich bleiben. Zum einen können die Verantwortlichen auf die Standarddatenschutzklauseln zurückgreifen. Zum anderen kommt immer noch eine Übermittlung nach Maßgabe von Art. 49 DSGVO in Betracht. Nachdem der EuGH in seinem Urteil jedoch die Kontrollbefugnisse der Aufsichtsbehörden bezüglich der Standarddatenschutzklauseln betont hat, scheinen beide Wege nicht attraktiv.
Mittelfristig ist zu erwarten, dass sich EU und USA erneut um einen Angemessenheitsbeschluss nach Art. 45 DSGVO bemühen werden. Die wirtschaftliche Bedeutung des transatlantischen Datentransfers ist schlicht zu groß, um auf keinem sicheren Fundament von europäischer Seite zu erfolgen. Dass der EuGH mit seinem Urteil insbesondere die Überwachungsmöglichkeiten durch US-Nachrichtendienste ins Zentrum seiner Kritik gestellt hat, erschwert eine neue Vereinbarung wesentlich. Nötig wäre dann – zumindest auch – ein echter Wandel in diesem Bereich in den USA. Ob dies allerdings realistisch ist, bleibt im Augenblick nicht mehr als reine Spekulation. Die kommenden Entwicklungen bleiben daher mit Spannung abzuwarten.
[1] Durchführungsbeschluss (EU) 2016/1250.
[2] EuGH, Urteil v. 16.07.2020 (C-311/18).
[3] Vgl. zum nachfolgend dargestellten Sachverhalt auch die Ausführungen in: EuGH, Urteil v. 16.07.2020 (C‑311/18), Rn. 50 ff.
[4] EuGH, Urteil v. 6.10.2015 (C-362/14) = NJW 2015, 3151; vgl. Heckmann/Starnecker, jm 2016, 58.
[5] Richtlinie 95/46/EG.
[6] Vgl. Beschluss der Kommission v. 5.02.2018 (2010/87/EU).
[7] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 65.
[8] Verordnung (EU) 2016/679.
[9] Vgl. Schlussantrag des GA Saugmandsgaard Øe v. 19.12.2019 (C-311/18) Rn. 342 f.
[10] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 86 f.
[11] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 105.
[12] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 121.
[13] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 112.
[14] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 149.
[15] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 199 ff.
[16] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 148.
[17] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 168.
[18] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 184 f.
[19] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 186 ff.
[20] EuGH, Urteil v. 16.07.2020 (C-311/18) Rn. 198.
[21] Mense, ZD 2019, 351, 355; Molnár-Gábor/Kaffenberger, ZD 2017, 18, 24.
[22] Mense, ZD 2019, 351, 353.
[23] Molnár-Gábor/Kaffenberger, ZD 2017, 18, 23.
[24] Molnár-Gábor/Kaffenberger, ZD 2017, 18, 23.
[25] Heckmann, jurisPR-ITR 15/2020 Anm. 1.
[26] Molnár-Gábor/Kaffenberger, ZD 2018, 162, 167.
