(EuGH C-311/18, 16.07.2020, „Schrems II“)
Der EU-US-Datenschutzschild sollte als Grundlage für den transatlantischen Datentransfer zwischen der Europäischen Union und den Vereinigten Staaten von Amerika dienen. Nun hat der EuGH mit Urteil vom 16.07.2020 das Abkommen gekippt.
Rechtlicher Rahmen der Datenübermittlung an Drittländer
Die Übermittlung von personenbezogenen Daten an Drittländer ist in Kapitel V der DSGVO geregelt. Gemäß Art. 45 Abs. 1 S. 1 DSGVO darf ein solcher Datentransfer nur vorgenommen werden, wenn die Europäische Kommission beschlossen hat, dass das Verarbeitungsland ein angemessenes Schutzniveau hat (sog. Angemessenheitsbeschluss).
Zwar stellt er EU-US-Privacy Shield, auf den sich am 12. Juli 2016 die Europäischen Union und die Vereinigten Staaten von Amerika einigten, einen solchen Angemessenheitsbeschluss dar. Grundlage hierfür war jedoch die im Jahre 1995 erlassene Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die in Art. 25 Abs. VI bereits ein Verfahren i.S.d. Art. 45 DSGVO kodifizierte. Danach konnte die Kommission gemäß Art. 25 Abs. VI RL 95/46/EG nach dem Verfahren des Art. 31 Abs. II RL 95/46/EG feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Art. 25 Abs. V RL 95/46/EG eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Art. 25 Abs. II RL 95/46/EG gewährleistet.
Die Richtlinie 95/46/EG wurde durch die Datenschutzgrundverordnung am 25. Mai 2018 aufgehoben und ersetzt. Gemäß Art. 45 Abs. IX DSGVO blieben aber die von der Kommission auf der Grundlage von Art. 25 Abs. VI RL 95/46/EG erlassene Feststellungen in Kraft. Rechtsgrundlage bleibt also RL 95/46EG. Durch die Ersetzung der Richtlinie durch die DSGVO, dient jedoch letzteres als Maßstab, ob ein angemessenes Schutzniveau im Drittland vorliegt. Diese Frage stellte sich nun der EuGH im Rahmen eines Vorabentscheidungsverfahrens nach Art. 267 AEUV auf Grundlage eines Vorabentscheidungsersuchen es Irischen Hohen Gerichtshofs.
„Schrems I“
Durch das Schrems II Urteil geht der Datenschutzrechtliche Konflikt zwischen dem EuGH und den USA in die 2. Runde. Im Jahre 2000 erklärte die EU-Kommission auf Grundlage der RL 95/46/EG die USA als Drittland mit einem angemessenen Schutzniveau (sog. „Safe-Harbor“-Entscheidung). Nach der Aufdeckung von PRISM gingen zahlreiche Beschwerden gegen Facebook Ltd. und Apple beim irischen „Data Protection Commissioner“, dem Leiter der irischen Datenschutzbehörde, ein u.a. von Datenschutzaktivist Maximilian Schrems.
Die irische Datenschutzbehörde sah jedoch keinen Grund für ein Einschreiten und verwies auf das Safe-Harbor-System. Schrems verklagte daraufhin die irische Datenschutzbehörde auf Bearbeitung seiner Beschwerde. Jene Klage landete vor dem Irischen High Court und wurde dem Europäischen Gerichtshof zur Entscheidung vorgelegt (Art. 276 AEUV). Im „Schrems I“-Urteil vom 6. Oktober 2015 (C-362/14) wurde die „Safe-Harbor“-Entscheidung der EU Kommission im Rahmen eines Vorabentscheidungsverfahrens nach Art. 267 AEUV durch den EuGH für unwirksam erklärt.
Der „Safe-Harbor“ Entscheidung der EU Kommission folgte im Jahre 2016 das informelle Abkommen „EU-US-Datenschutzschild“, das nun ebenfalls unwirksam ist.
Inhalt des Urteils „Schrems II“
Voraussetzung für den Erlass eines Angemessenheitsbeschlusses ist, dass das Drittland, also im vorliegenden Fall die USA, ein angemessenes Schutzniveau aufweist. Der EuGH entwickelte den Begriff der Angemessenheit dahingehend weiter, dass das Schutzniveau des Drittlandes im Vergleich zu dem in der EU „gleichwertig“ sein muss. Die Mittel die das Drittland nutzt, um ein äquivalentes Schutzniveau zu gewährleisten müssen mit jenen der EU nicht identisch sein.
Kriterien die für eine Gleichwertigkeit ausschlaggebend sind, werden in Art. 45 Abs. 2 DSGVO konkretisiert:
- 45 Abs. 2 lit. a DSGVO: Wirksame Rechtsordnung und Gerichtsbarkeit
- 45 Abs. 2 lit. b DSGVO: Unabhängige Datenschutzaufsicht
- 45 Abs. 2 lit. c DSGVO: Internationale Verpflichtungen
Die genannten Aspekte sind nicht abschließend zu verstehen und von der EU-Kommission lediglich zu „berücksichtigen“. Technisch ist das an der Wortwahl „insbesondere“ festzumachen. Ein Hinweis auf nicht abschließende Regelbeispiele. Die EU-Kommission hat also einen gewissen Spielraum bei ihrer Einschätzung, der bei den vielen verschiedenen Rechtssystemen auch erforderlich sein dürfte. Der Spielraum findet seine Grenzen in den datenschutzrechtlichen Grundrechten, die in der Charta der Grundrechte der EU verankert sind, sowie durch die Grundsätze der DSGVO. Wie eingangs erwähnt hält das EU-US-Privacy Shield Abkommen einer Gleichwertigkeitsprüfung nicht stand:
Art. 7 und 8 GRCh
Dem EuGH ein Dorn im Auge sind vor Allem jene Überwachungsprogramme der US-Behörden, die auf Sektion 702 FISA und Executive Order 1233 gestützt werden. Nach Sektion 702 des FISA können Justizminister und der Direktor der nationalen Nachrichtendienste nach Billigung durch den FISC gemeinsam zur Beschaffung von „Informationen im Bereich der Auslandsaufklärung“ die Überwachung von Personen genehmigen, die keine amerikanische Staatsbürgerschaft haben und sich ebenso wenig auf dem amerikanischen Hoheitsgebiet befinden.
Die Vorschrift dient vor Allem als Grundlage für die Überwachungsprogramme PRISM und UPSTREAM. Im Rahmen des PRISM-Programms seien die Anbieter von Internetdiensten sogar verpflichtet, der NSA die gesamte Kommunikation vorzulegen. Ein Teil davon werde auch der Central Intelligence Agency (CIA) und dem FBI übermittelt. Executive Order 1233 ermächtigt zum Zugriff auf personenbezogene Daten, die auf dem Weg in die USA sind. Dies wird beispielsweise durch Zugriff auf die atlantischen Unterseekabel ermöglicht.
Vor dem Hintergrund der massenhaften Datenverarbeitung durch die US Behörden kann nicht mehr von einem Verhältnismäßigkeits-Mechanismus ausgegangen werden, der Eingriffe in die Art. 7, 8 GRCh der EU Bürger auf ein zwingend erforderliches Maß begrenzt. Somit kann nicht von einem gleichwertigen Schutzniveau bezüglich der EU Grundrechte ausgegangen werden.
Art. 45 Abs. 2 lit. a DSGVO
Der Vierte Zusatzartikel zur „Constitution of the United States“, der im amerikanischen Recht den wichtigsten Schutz vor illegaler Überwachung darstellt, gilt nicht für Bürger der Europäischen Union. Weiterhin stünden denjenigen Rechtsbehelfen, die EU-Bürgern zur Verfügung stehen erheblichen Hindernissen entgegen. Gravierend erscheint, dass Maßnahmen, die auf Executive Order 12333 gestützt sind, keiner gerichtlichen Überwachung unterstehen bzw. dagegen kein Rechtsbehelf statthaft ist.
Im Hinblick auf die Gerichtsbarkeit bietet das amerikanische Recht einem EU Bürger also kein äquivalentes Schutzniveau. EU-Standardvertragsklauseln/Standard Contractual Clauses (SCC) Durch das Urteil betroffen sind vor Allem Social-Media Plattformen und Cloud-Dienste, mit internationalem Transfer von personenbezogenen Daten. Aber auch mittelständische Unternehmen, die beispielsweise Customer-Relationship-Management Systeme von US-Unternehmen nutzen.
Da das EU-US-Privacy Shield Abkommen keine Rechtsgrundlage mehr für die Verarbeitung von personenbezogenen Daten in einem Drittland darstellt, muss eine Alternative her.
Beispielsweise könnte auf die EU-Standardvertragsklauseln zurückgegriffen werden. Jene hat der EuGH nicht für unwirksam erklärt. Jedoch urteilte der EuGH, das diese per se nicht mehr genügen: Da Standarddatenschutzklauseln aufgrund ihres Vertragscharakters keine drittstaatlichen Behörden binden können, kann es notwendig sein, die in den Klauseln enthaltenen Garantien zu erweitern. Somit obliegt es vor allem dem Verantwortlichen in jedem Einzelfall zu prüfen, ob das Recht des Drittlandes gleichwertigen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.
Was ist zu erwarten?
Die jeweiligen nationalen Aufsichtsbehörden werden das Urteil analysieren und Empfehlungen veröffentlichen. Auch kann von einer Übergangszeit gerechnet werden. Nichtsdestotrotz sollten Unternehmen prüfen welche personenbezogenen Daten in die Vereinigten Staaten übermittelt werden und die EU-Standardvertragsklauseln prüfen.
