Max Kirschhöfer, Rechtsanwalt, Thümmel, Schütze & Partner
Die Wirtschaft ist auf den Austausch von Daten angewiesen. Die Gründe hierfür sind vielfältig. So kann bspw. die IT auf ein Tochterunternehmen oder einen externen Dienstleister ausgelagert sein, bestimmte Geschäfte können über einen Dienstleister abgewickelt werden oder es werden schlicht die Daten zwischen zwei Geschäftspartnern ausgetauscht. Der Datenaustausch kennt in einer globalen Wirtschaftswelt dabei keine (Landes-)Grenzen. Dies betrifft reine Geschäftsdaten und Informationen ebenso wie personenbezogene Daten. Letztere unterliegen dabei – soweit sie EU-Bürger betreffen – dem Schutz der seit Mai 2018 anzuwendenden DSGVO.
SEMINARTIPPS
Informationssicherheit & Datenschutz: Spannungsfeld & Schnittmengen, 08.10.2020, Köln.
Prüfung Datenschutz, 26.11.2020, Frankfurt/M.
Der Austausch personenbezogener Daten über Landesgrenzen hinweg bedarf dabei besonderer Anforderungen. Um den Datenaustausch zwischen Unternehmen in der EU und den USA zu erleichtern, einigten sich die EU und die USA im Jahr 2016 nach langer Verhandlung auf den „EU-US Privacy Shield“. Die Verhandlungen über den EU-US Privacy Shield waren erforderlich geworden, nachdem der EuGH das zuvor geltende „Safe Harbor-Abkommen“ im Jahr 2015 für unwirksam erklärt hatte (Urt. v. 06.10.2015, C-362/14).
Der EU-US Privacy Shield ermöglichte es, Daten über die Landesgrenzen hinweg auch ohne Vereinbarung einer sog. Standarddatenschutzklausel zu übertragen. Mit Urt. v. 16.07.2020, C-311/18, hat der EuGH den EU-US Privacy Shield für unwirksam erklärt.
Um die Entscheidung einordnen zu können, ist zunächst festzuhalten, dass amerikanische Unternehmen dazu verpflichtet sind, ihnen übermittelte personenbezogene Daten an amerikanische Sicherheitsbehörden weiterzuleiten. Die Behörden haben dabei zum Teil nicht nur Zugriff auf die sog. Metadaten, sondern auch auf den Inhalt von übertragenen Nachrichten. Den Betroffenen, deren Daten umfangreich an die amerikanischen Sicherheitsbehörden weitergeleitet werden, stehen dabei kaum Möglichkeiten zur Verfügung, um gegen behördliche Maßnahmen der US-Behörden vorzugehen und sich gegen diese gerichtlich zur Wehr zu setzen.
Zum Anwendungsbereich der DSGVO
Der EuGH stellt zunächst klar, dass der Anwendungsbereich der DSGVO nach deren Art. 2 auch dann eröffnet ist, wenn zu gewerblichen Zwecken „personenbezogene Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer“ übermittelt werden, „ungeachtet dessen, ob die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.“
Standarddatenschutzklausel & gleichwertiges Datenschutzniveau
Im Weiteren geht der EuGH darauf ein, welches Schutzniveau von der DSGVO verlangt wird, wenn die Übertragung personenbezogener Daten in ein Drittland aufgrund von Standarddatenschutzklauseln erfolgt. Solche Standarddatenschutzklauseln werden von der Europäischen Kommission erarbeitet und können dann zwischen dem in der Union ansässigen datenschutzrechtlich Verantwortlichen und dem im Drittstaat ansässigen Datenempfänger vereinbart werden.
Der EuGH weist zunächst darauf hin, dass das Schutzniveau im Drittland nicht mit dem Datenschutzniveau in der Europäischen Union identisch sein müsse. Aus Erwägungsgrund 104 des DSGVO folge aber, dass in dem Drittstaat ein Datenschutzniveau gewährleistet sein muss, welches „tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Union durch die DSGVO […] garantierten Niveau der Sache nach gleichwertig ist“.
Dieses dem Schutzniveau der Europäischen Union „gleichwertige“ Schutzniveau ist nach nunmehr verbindlicher Vorgabe des EuGH im Fall der Verwendung von Standarddatenschutzklauseln gegeben, wenn einerseits die vertraglichen Regelungen zwischen dem in der Europäischen Union ansässigen Verantwortlichen und dem im Drittland ansässigen Empfänger der personenbezogenen Daten ein solches Schutzniveau vorsehen. Andererseits gilt es aber auch insbesondere betreffend einen etwaigen Zugriff von Behörden des Drittlandes zu berücksichtigen, dass „die maßgeblichen Elemente der Rechtsordnung [des Empfänger-]Landes“ das Schutzniveau der DSGVO gewährleisten.
Kann bei einer auf Standarddatenschutzklauseln gestützten Datenübermittlung in einen Drittstaat dieses Schutzniveau nicht gewährleistet werden, so der EuGH weiter, ist die in der Europäischen Union ansässige zuständige (Datenschutz)Aufsichtsbehörde dazu verpflichtet, die Datenübertragung in dem Drittstaat auszusetzen bzw. zu verbieten, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt bzw. der in der Europäischen Union ansässige Datenverarbeiter selbst die Datenübermittlung nicht aussetzt oder beendet.
Standarddatenschutzklausel wirksam
Im Folgenden setzt sich der EuGH mit dem Problem auseinander, dass eine zwischen dem in der Europäischen Union ansässigen Verarbeiter und dem im Drittstaat ansässigen Empfänger verwendete und von der Europäischen Union erarbeitete Standarddatenschutzklausel nur die Vertragsparteien bindet und keinesfalls verhindern kann, dass der Empfänger aufgrund staatlicher Vorgaben das vertraglich zugesicherte Schutzniveau nicht gewährleisten kann. Dies lasse, so der EuGH, zwar die Wirksamkeit der Standarddatenschutzklausel unberührt, führe aber dazu, dass die zuständige Aufsichtsbehörde ggf. angehalten ist, die Datenverarbeitung – wie ausgeführt – zu untersagen (s. o.). Die Wirksamkeit der Standarddatenschutzklauseln begründet der EuGH damit, dass die Kommission, welche die Klauseln erarbeitet, anders als bei der Erarbeitung eines Angemessenheitsbeschlusses nicht prüft, ob und in welchen Staaten ein in der Union gleichwertiges Schutzniveau gegeben ist. Dies sei bei Standarddatenschutzklausel auch gar nicht möglich, da diese zur Verwendung in allen Drittstaaten vorgesehen sind und es keine drittstaatspezifischen Standarddatenschutzklauseln gibt.
Unwirksamkeit des EU-US Privacy Shield
Abschließend geht der EuGH dann auf die von der Wirksamkeit von Standarddatenschutzklauseln zu trennende Frage ein, ob der EU-US-Privacy Shield den Anforderungen europäischen Rechts genügt. Im Ergebnis verneint der EuGH diese Frage und erklärt den EU-US-Privacy Shield für ungültig. Zur Begründung führt der EuGH zunächst die umfangreichen Befugnisse amerikanischer Sicherheitsbehörden auf. Im Weiteren hebt der EuGH aber auch hervor, dass die Ungültigkeit des Privacy Shield insbesondere auch daraus folgt, dass den betroffenen Personen keinerlei Rechtsbehelfe zustehen, um gegen amerikanische Behörden vorgehen zu können. Das vom EuGH geforderte der DSGVO vergleichbare Schutzniveau ist daher nicht gegeben.
Der EuGH sieht auch keinen Grund, den Privacy Shield aufrechtzuerhalten, um ein „rechtliches Vakuum“ bei der Datenübertragung zu vermeiden. Dies mit der Begründung, dass die DSGVO unter bestimmten und sich insbesondere aus Art. 49 DSGVO ergebenden Voraussetzungen auch ohne einen Angemessenheitsbeschluss die Datenübertragung in einen Drittstaat zulasse.
PRAXISTIPP
Die Entscheidung des EuGH zur Ungültigkeit des EU-US-Privacy Shield kam wenig überraschend. Bereits bei Inkrafttreten des Privacy Shield wurde vielfach erwartet, dass dieses einer gerichtlichen Überprüfung durch den EuGH nicht standhalten würde. Denn von Anfang an war klar, dass auch der Privacy Shield nichts an den umfangreichen Befugnissen der US-Behörden und des so gut wie nicht gegebenen Rechtsschutzes gegen von US-Behörden vorgenommenen Maßnahmen ändern würde. Von daher ist es fraglich, ob eine zu erwartende Folgevereinbarung den Anforderungen des EuGH überhaupt standhalten kann, solange die USA ihre Sicherheitsgesetze nicht ändern (was nicht zu erwarten ist).
Eine erhebliche Praxisrelevanz kommt aber auch den Standarddatenschutzklauseln zu. Zwar hat der EuGH diese nicht für unwirksam erklärt. Er hebt in dem hier besprochenen Urteil aber hervor, dass die zuständige Datenschutzaufsichtsbehörden eine auf eine Standarddatenschutzklausel gestützte Datenverarbeitung zu untersagen haben, wenn diese zu dem Ergebnis kommt, dass in dem Empfängerstaat kein der DSGVO gleichwertiges Schutzniveau gegeben ist (was für die USA nunmehr feststeht). Sofern Standarddatenschutzklauseln zum Datentransfer in Drittstaaten genutzt werden, sollten die betroffenen datenschutzrechtlich Verantwortlichen daher prüfen, ob im Empfängerstaat das vom EuGH geforderte der DSGVO gleichwertige Schutzniveau besteht. Ist dies nicht der Fall, lässt es der EuGH zu, nicht weiter konkretisierte ergänzende Maßnahmen zu treffen, um den geforderten Schutz der personenbezogenen Daten zu gewährleisten. Hilft auch dies nicht weiter, bleibt nichts anderes übrig, als den vom EuGH aufgezeigten Weg der Datenübertragung nach Art. 49 DSGVO zu wählen, welcher allerdings zu einem erheblichen Mehraufwand führen dürfte.
Beitragsnummer: 9467