Eins, zwei, hoffentlich nicht drei – Schrems ist noch nicht vorbei

I. Vor dem Urteil ist nach dem Urteil

Mit einiger Spannung wurde das zweite Urteil „in Sachen Schrems“, das sogenannte „Schrems II-Urteil“ des EuGH[1] erwartet. Während es in „Schrems I“[2] um die Gültigkeit der „Safe Harbor“-Entscheidung ging, betraf das „Schrems II-Urteil“ die Gültigkeit der sogenannten „Privacy Shield“-Entscheidung der Europäischen Kommission, sozusagen die Nachfolgerin von „Safe Harbor“. Inhaltlich betrafen jedoch beide Verfahren – wenn auch unter unterschiedlichem „Etikett“ – letztlich die Frage nach der Gewährleistung eines im Verhältnis zu europäischen Standards angemessenen Datenschutzniveaus bei Datentransfers aus der EU in die USA.

Bereits im Vorhinein machte man sich wohl auf ein erneutes mögliches Scheitern vor dem EuGH gefasst und setzte sich mit Alternativen im Falle einer Ungültigkeitserklärung des „Privacy Shields“ auseinander.[3] Insbesondere die Standardvertragsklauseln galten als mögliche Alternative für den befürchteten Ernstfall.

II. Das Urteil des EuGH

Zu ebendiesem Ernstfall kam es: Mit Urteil vom 16.07.2020 erklärte der EuGH nun auch den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes für ungültig.[4] Hinsichtlich des Beschlusses 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern stellte der EuGH fest, dass die Prüfung anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hätte, was seine Gültigkeit berühren könne.

In Bezug auf die Standardvertragsklauseln sieht der EuGH keine Probleme aufgrund ihres Vertragscharakters, die somit Behörden eines Drittlandes nicht binden; entscheidend sei bei diesen vielmehr, ob wirksame Mechanismen enthalten seien, die tatsächlich sicherstellen könnten, dass das durch das Unionsrecht vorgesehen Schutzniveau personenbezogener Daten eingehalten werde und dass auf diese Klauseln gestützte Übermittlungen ausgesetzt oder verboten werden, wenn Verstöße festgestellt werden sollten oder diese nicht eingehalten werden können.[5] Datenexporteure sowie -importeure müssten im Zuge einer Übermittlung vorab prüfen, ob das notwendige Schutzniveau im betreffenden Drittstaat eingehalten werde. Datenempfänger müssten den Datenexporteuren mitteilen, falls diese die Standardvertragsklauseln nicht einhalten könnten, daraufhin müsse die Übermittlung ausgesetzt werden und/oder die Exporteure müssten von den entsprechenden Verträgen mit den Empfängern zurücktreten. Folglich beinhalte der Beschluss 2010/87 die notwendigen Maßnahmen.

Obwohl der EuGH somit hinsichtlich des Beschlusses 2010/87 über die Standardvertragsklauseln nicht an dessen Gültigkeit zweifelt, muss das aber nicht bedeuten, dass eine Datenübermittlung auf deren Grundlage nun stets unproblematisch erfolgen kann. Der EuGH richtet sich an die Aufsichtsbehörden – und das sollte der Praxis eine Warnung sein –, indem er ausführt, „dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn die Behörde im Lichte aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 DSGVO sowie nach der Charta, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet“[6]. Zwar könne es Situationen geben, in denen eine Übermittlung in Anbetracht der Rechtslage und der Praxis mit dem erforderlichen Datenschutz im betreffenden Drittland allein auf Grundlage der Standarddatenschutzklauseln garantiert werden könne, aber auch Situationen, in denen die in diesen enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten.[7]

Somit nimmt der EuGH die in der Union ansässigen Verantwortlichen beziehungsweise Auftragsverarbeiter in die Pflicht, es ist so,

„dass es gemäß Art. 46 Abs. 1 DSGVO, falls kein Angemessenheitsbeschluss der Kommission vorliegt, Sache des in der Union ansässigen Verantwortlichen bzw. des dort ansässigen Auftragsverarbeiters ist, insbesondere geeignete Garantien vorzusehen. Die Erwägungsgründe 108 und 114 dieser Verordnung bestätigen, dass der Verantwortliche oder gegebenenfalls sein Auftragsverarbeiter, wenn sich die Kommission nicht zur Angemessenheit des Datenschutzniveaus in einem Drittland geäußert hat, ›als Ausgleich für den [im] Drittland bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der betroffenen Personen vorsehen [sollte]‹ und dass ›[d]iese Garantien … sicherstellen [sollten], dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessenen Art und Weise beachtet werden; dies gilt auch hinsichtlich der Verfügbarkeit von durchsetzbaren Rechten der betroffenen Person und von wirksamen Rechtsbehelfen … in der Union oder in einem Drittland‹“[8].

Aufgrund dessen, dass die Standardvertragsklauseln keine drittstaatlichen Behörden binden könnten, das durch DSGVO vorgesehene Schutzniveau jedoch nicht beeinträchtigt werden dürfe, könne es sich als notwendig erweisen, die in den Klauseln enthaltenen Garantien zu ergänzen.[9] Die von der Kommission erlassenen Standarddatenschutzklauseln zielten somit nur darauf ab, den in der Union ansässigen Verantwortlichen bzw. ihren dort ansässigen Auftragsverarbeitern vertragliche Garantien zur Verfügung zu stellen, die in allen Drittländern einheitlich gälten – unabhängig vom dort jeweiligen Schutzniveau; sie könnten jedoch keine Garantien, für das unionsrechtlich verlangte Schutzniveau zu sorgen, bieten, die über die vertraglichen Verpflichtungen hinausgingen, es könne daher – je nach Lage – erforderlich sein, zusätzliche Maßnahmen zu ergreifen.[10] „Folglich obliegt es vor allem diesem Verantwortlichen bzw. seinem Auftragsverarbeiter, in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren. Kann der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter keine hinreichenden zusätzlichen Maßnahmen ergreifen, um einen solchen Schutz zu gewährleisten, ist er – bzw. in zweiter Linie die zuständige Aufsichtsbehörde – verpflichtet, die Übermittlung personenbezogener Daten in das betreffende Drittland auszusetzen oder zu beenden. Dies ist insbesondere dann der Fall, wenn das Recht dieses Drittlands dem Empfänger aus der Union übermittelter personenbezogener Daten Verpflichtungen auferlegt, die den genannten Klauseln widersprechen und daher geeignet sind, die vertragliche Garantie eines angemessenen Schutzniveaus hinsichtlich des Zugangs der Behörden dieses Drittlands zu diesen Daten zu untergraben.“[11]

„Insoweit muss […] die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, […] eine solche Übermittlung aussetzen oder verbieten, wenn sie im Licht aller Umstände der Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder b eendet.“[12]

III. Reaktionen und Konsequenzen

Nach dieser Entscheidung ist die Verunsicherung in der datenverarbeitenden Praxis groß: Viele Unternehmen fragen sich, ob sie selber aufgrund der entschiedenen Aspekte zur Anpassung ihrer Datenverarbeitungsprozesse – womöglich gar zur Einstellung – aufgefordert sind. Zwar wurde direkt und ausdrücklich lediglich das „Privacy Shield“ als Datentransfergrundlage in die USA für ungültig erklärt, jedoch äußerte sich der EuGH auch zu den Anforderungen im Zuge der Verwendung von Standardvertragsklauseln, für deren rechtmäßigen Einsatz gegebenenfalls Maßnahmen zur Gewährleistung eines entsprechenden Sicherheitsniveaus vorzusehen sind. In Folge der Ungültigkeitserklärung des „Privacy Shields“, ist jedoch nicht ganz klar, ob und wie die Praxis diesen gestellten Anforderungen im Falle von USA-Datentransfers unter Verwendung von Standardvertragsklauseln überhaupt gerecht werden kann.[13]

1. Drastische oder sehr vage Ansichten und Ratschläge

Die vertretenen Ansichten reichen von Extrempositionen mit drastischen Handlungsaufforderungen über eher gemäßigte, zurückhaltende Stellungnahmen bis zu lediglich vagen und oberflächlichen Ratschlägen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit forderte datenverarbeitende Stellen in Berlin auf, „in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern“.[14] Der EuGH habe zu weitreichende Zugriffsmöglichkeiten der US-Behörden auf Daten europäischer Bürgerinnen und Bürger festgestellt, was zur Folge habe, dass personenbezogene Daten bis zu einer Änderung der Rechtslage – abgesehen von bestimmten gesetzlichen Ausnahmen – in aller Regel nicht mehr wie bisher in die USA übermittelt werden dürften. Auf eine der Alternativen zum „Privacy Shield“, die Standardvertragsklauseln, geht die Berliner Datenschutzbeauftragte zwar ebenfalls ein und sieht eine grundsätzliche Einsatzmöglichkeit zur Herstellung eines gleichwertigen Datenschutzniveaus – bei Erfüllung der durch den EuGH betonten Anforderungen –, fordert aber dennoch: „Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“.[15] Ihrer Ansicht nach hat der EuGH „grundsätzlich klar gemacht, dass die Übermittlung personenbezogener Daten in die USA weder mit dem Privacy Shield, [sic] noch mit Standardvertragsklauseln oder Binding Corporate Rules (BCR) möglich ist“.[16]

Der Vorsitzende des Bundesverbandes IT-Sicherheit (TeleTrusT), Karsten Bartels, erklärte, dass das Urteil „für die betroffenen Unternehmen große Rechtsunsicherheit“ schaffe und bemängelte, dass nun eine „langfristige und verlässliche Absicherung des Datentransfers in die USA fehlt“.[17] Wolle man die nun bestehenden Risiken gänzlich vermeiden, müsse man eine „Verarbeitung in Europa unter ausschließlicher Kontrolle europäischer Unternehmen“ sicherstellen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Ulrich Kelber, äußerte sich folgendermaßen: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder“.[18]

Der Europäische Datenschutzausschuss hat in Reaktion zum Urteil und zur Beantwortung der nun akut aufgeworfenen Fragen FAQs erstellt, die im Verlauf der weiteren Auseinandersetzung mit dem Urteil fortlaufend ergänzt werden sollen.[19] Zwar wird im Rahmen dieses Dokumentes sowohl auf den Einsatz von Standardvertragsklauseln als auch von verbindlichen internen Datenschutzvorschriften eingegangen, insgesamt bleibt es dabei jedoch auf einer sehr allgemeinen Ebene und stellt lediglich fest, dass – je nach konkretem Fall – entsprechende Maßnahmen getroffen werden müssten; welche konkret diese sein könnten oder sollten wird  (derzeit) weiteren Ausführungen, die noch folgen sollen, vorbehalten.[20] Mithin geht die Hilfestellung des Europäischen Datenschutzausschusses durch diese FAQs (momentan) noch nicht wesentlich über die Feststellungen des EuGH hinaus. Die Aussagen zu den Ausnahmen nach Art. 49 DSGVO erschöpfen sich in knappen Hinweisen zur Einwilligung, zur Vertragserfüllung gegenüber dem Betroffenen sowie zu den wichtigen Gründen des öffentlichen Interesses; im Großen und Ganzen wird auf die maßgeblichen Leitlinien[21] des Europäischen Datenschutzausschusses verwiesen.[22] Hervorgehoben wird aber – und das wird der entscheidende Knackpunkt in der Praxis sein, die sich nicht auf die weitere Verwendung der Standardvertragsklauseln mit ihren derzeit notwendigen, aber ungewissen Maßnahmen im Zusammenhang mit Datentransfers in die USA verlassen will –, dass „der allgemeine Grundsatz beachtet werden [muss], wonach die Ausnahmen gemäß Artikel 49 DSGVO in der Praxis nicht zur ›Regel‹ werden dürfen, sondern auf bestimmte Situationen beschränkt bleiben müssen, wobei jeder Datenexporteur sicherstellen muss, dass die Übermittlung der strengen Notwendigkeitsprüfung entspricht“[23].

2. Erste Abhilfemöglichkeiten

„Einsicht ist der erste Schritt zur Besserung“, das besagt ein Sprichwort. Um nun als für die Datenverarbeitung Verantwortlicher festzustellen, ob man aufgrund des „Schrems II-Urteils“ Anpassungen vornehmen oder Abhilfe im Rahmen der eigenen Datenverarbeitung schaffen muss, ist es zunächst wichtig, „Einsicht“ – im Sinne von Einblick – in die eigenen zu verantwortenden Datentransferprozesse zu nehmen. Lobenswert ist, dass Max Schrems nicht nur mit dem ›erhobenen Zeigefinger‹ gegenüber Datenverarbeitenden agiert, sondern auch konstruktiv zur Datenschutzpraxis beiträgt. Sehr anschaulich hat das Europäische Zentrum für digitale Rechte (NOYB), die Datenschutz-NGO von Max Schrems, FAQs hinsichtlich der Konsequenzen durch das Urteil, Handlungsempfehlungen sowie Musterfragebögen für US-Anbieter oder Anbieter mit US-Bezug veröffentlicht[24], die den nun möglicherweise betroffenen für die Datenverarbeitung Verantwortlichen die ersten notwendigen Schritte erleichtern und dabei helfen können, einen Überblick über die eigenen Datentransferprozesse zu gewinnen sowie Handlungsoptionen zu evaluieren.

IV. Nach dem Urteil ist (hoffentlich nicht) vor dem Urteil

Während der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kurz nach der Entscheidung noch davon ausging, es liege im aufsichtsbehördlichen „Ermessen, zunächst auf Änderungen hinzuwirken, ohne Anordnungen oder Bußgelder zu erlassen, wenn Unternehmen nachvollziehbar darlegen, aus welchen Gründen sie noch einige Zeit benötigen, um die Gerichtsentscheidung umzusetzen“,[25] erhöht sich nun für einige Unternehmen schlagartig der Druck. Manche Unternehmen scheinen sich nämlich dem bereits oben erwähnten Satz „Einsicht ist der erste Schritt zur Besserung“ – und dieses Mal ist „Einsicht“ im Sinne von Bewusstwerdung gemeint – gänzlich zu widersetzen und an ihrer geübten Datentransferpraxis auch im Nachgang zum „Schrems II-Urteil“ unverändert festzuhalten. Max Schrems’ Datenschutz-NGO reichte in der Folge Beschwerden gegen 101 Unternehmen ein, die ihre Datenverarbeitung nicht den Vorgaben des Urteils angepasst hatten.[26] Auch Facebook zeigt sich (bisher) unbeeindruckt von den strengen Anforderungen, die der EuGH an Datenübermittlungen in die USA stellt, und beruft sich[27] auf die Alternative der Standardvertragsklauseln – und das obwohl auch deren Belastbarkeit als Übertragungsgrundlage ja derzeit mehr als umstritten und fraglich ist.[28] Die EU-Kommission möchte indessen die Standardvertragsklauseln überarbeiten und den Vorgaben des EuGH-Urteils anpassen. Es ist jedoch unklar, inwiefern diese Klauseln überhaupt einen adäquaten Schutz gewährleisten können sollen, der über den des ehemaligen „Privacy Shields“ hinausgeht, das ja gerade keine hinreichenden Sicherheiten für ein adäquates Datenschutzniveau in den USA bieten konnte. Diese Tauglichkeit bezweifelt auch Max Schrems, der sich jedoch aufgrund der immensen Bedeutung, die der europäische Markt für die US-Konzerne habe, insgesamt zuversichtlich gestimmt im Hinblick auf die Aushandlung eines neuen Abkommens der EU mit den USA zeigt.

Wir werden sehen, in welcher Form und Strenge die Aufsichtsbehörden in kommender Zeit aufgrund des Urteils – und Max Schrems’ Beschwerden – durchgreifen werden. Viele Fragen hinsichtlich der Konsequenzen des Schrems II-Urteils sowie der Zukunft im Hinblick auf Datenübertragungen in die USA sind somit derzeit offen oder nur sehr unklar und vage zu beantworten. Es bleibt spannend und hoffentlich ist diesmal nach dem Urteil nicht wieder vor dem Urteil.

Felix Sobala

Dieser Beitrag erschien erstmals im BayWiDI-Magazin 3/2020. Die vollständige Ausgabe finden Sie hier.


[1] EuGH, Urt. v. 16.07.2020 – C-311/18 („Schrems II“).

[2] EuGH, Urt. v. 06.10.2015 – C-362/14 („Schrems I“).

[3] Siehe dazu die Antwort des EU-Kommissars für Justiz und Rechtsstaatlichkeit, Didier Reynders, auf eine parlamentarische Anfrage des Europaabgeordneten Moritz Körner, Reynders, Parlamentarische Anfrage, 19. Mai 2020, Antwort von Didier Reynders im Namen der Europäischen Kommission, Bezugsdokument E-001120/2020, letzter Abruf am 07.09.2020, dort auch zum Folgenden.

[4] EuGH, siehe Fn. 1, dort auch zum Folgenden.

[5] EuGH, siehe Fn. 1, Rn. 122–149, dort auch zum Folgenden.

[6] EuGH, siehe Fn. 1, Rn. 121.

[7] EuGH, siehe Fn. 1, Rn. 126.

[8] EuGH, siehe Fn. 1, Rn. 131.

[9] EuGH, siehe Fn. 1, Rn. 132.

[10] EuGH, siehe Fn. 1, Rn. 133.

[11] EuGH, siehe Fn. 1, Rn. 134f.

[12] EuGH, siehe Fn. 1, Rn. 146.

[13] Vgl. den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegenüber golem.de bei Greis, Keine Schonfrist mehr beim Datenschutz, 22.07.2020, golem.de, letzter Abruf am 07.09.2020.

[14] Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung 711.424.1 vom 17.07.2020, letzter Abruf am 13.08.2020, S. 1, dort auch zum Folgenden.

[15] Berliner Beauftragte für Datenschutz und Informationsfreiheit, siehe Fn. 14, S. 2.

[16] So auf Nachfrage gegenüber golem.de bei Greis, siehe Fn. 13.

[17] So bei Krempl, Datenschutzbeauftragte zum Privacy Shield: Nutzer können Schmerzensgeld verlangen, 20.07.2020, heise.de, letzter Abruf am 07.09.2020, dort auch zum Folgenden.

[18] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, EDSA beschließt FAQ zu Schrems II, Pressemitteilung 19/2020 vom 24.07.2020, letzter Abruf am 07.09.2020.

[19] EDPB – European Data Protection Board, Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 – Data Protection Commissioner gegen Facebook Ireland Ltd und Maximilian Schrems, Angenommen am Donnerstag, 23. Juli 2020 (allerdings noch nicht geprüfte Übersetzung), letzter Abruf am: 07.09.2020.

[20] EDPB European Data Protection Board, siehe Fn. 19, insbesondere S. 6.

[21] Siehe EDPB European Data Protection Board, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, angenommen am 25. Mai 2018, letzter Abruf am 07.09.2020.

[22] EDPB – European Data Protection Board, siehe Fn. 19, S. 4 f.

[23] EDPB – European Data Protection Board, siehe Fn. 19, S. 5.

[24] NOYB – Europäisches Zentrum für digitale Rechte, Nächste Schritte für EU-Unternehmen & FAQs, 20.07.2020, letzter Abruf am 07.09.2020.

[25] So bei Greis, siehe Fn. 13.

[26] NOYB – Europäisches Zentrum für digitale Rechte, 101 Complaints on EU-US transfers filed, 17.08.2020, letzter Abruf am 07.09.2020.

[27] Facebook, Updating our international data transfer mechanisms, 17.08.2020, letzter Abruf am 07.09.2020.

[28] Fanta, Facebook schickt weiter Daten in die USA, 03.09.2020, netzpolitik.org, letzter Abruf am 07.09.2020, dort auch zum Folgenden.