IT-Recht und Datenschutz16.07.2020 Newsletter
Schrems II Urteil: „Privacy Shield“ kippt
Der EuGH kippt in seiner heutigen Schrems II-Entscheidung das „Privacy Shield“, erklärt aber Standardverträge für wirksam.
Was bisher geschah
Seit einigen Jahren besteht Streit darüber, unter welchen Voraussetzungen Verantwortliche im Anwendungsbereich europäischen Datenschutzrechts personenbezogene Daten in die USA übermitteln dürfen. Seit den Enthüllungen von Edward Snowden besteht Klarheit darüber, dass US-amerikanische Sicherheitsbehörden Zugriff auf solche Daten nehmen können und von dieser Möglichkeit umfangreich Gebrauch machen. Nach den Regeln der DSGVO dürfen personenbezogene Daten nur in ein Drittland übermittelt werden, wenn das betreffende Land ein angemessenes Datenschutzniveau gewährleistet. Ist dies nicht der Fall, muss der jeweils Verantwortliche geeignete Garantien vorsehen, die den betroffenen Personen wirksame und durchsetzbare Rechte in Bezug auf ihre Daten gewähren. Solche geeigneten Garantien können sich insbesondere aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben.
Um Datenübermittlungen in die USA ohne den Abschluss von Standarddatenschutzklauseln zu ermöglichen, vereinbarten die EU-Kommission und die US-Regierung zunächst einen Zertifizierungsmechanismus für in den USA ansässige Unternehmen („Safe-Harbour-Abkommen“) und die EU-Kommission erließ einen Angemessenheitsbeschluss, der den danach zertifizierten Unternehmen ein angemessenes Datenschutzniveau bescheinigte („Safe-Harbour-Beschluss“).
Max Schrems, ein österreichischer Jurist, Datenschutzaktivist und Nutzer von Facebook wandte sich gegen den Safe-Harbour-Beschluss der EU-Kommission, indem er von der irischen Datenschutzbehörde verlangte, Übermittlungen von Facebook Irland an den Mutterkonzern in den USA zu verbieten. Der EuGH erklärt in seinem Urteil „Schrems I“ den Safe-Harbour-Beschluss der Kommission für ungültig.
Danach trafen die US-amerikanische Regierung und die EU-Kommission die Vereinbarung über den „Privacy Shield“, die letztlich einen mit dem Safe-Harbour-Abkommen vergleichbaren Zertifizierungsmechanismus vorsah. Die Kommission erließ erneut einen entsprechenden Angemessenheitsbeschluss. Auch hiergegen wandte sich Herr Schrems.
Das heutige Urteil des EuGH
Der EuGH hat nun mit Urteil vom 16.07.2020 (Az.: C-311/18; „Schrems II“) entschieden, dass auch der Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield ungültig ist. Er lasse insbesondere hinsichtlich bestimmter Überwachungsprogramme von US-Diensten in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestünden.
Die durch die EU-Kommission erarbeiteten Standardvertragsklauseln sieht der EuGH hingegen als gültig an. Dies begründet das Gericht maßgeblich damit, dass diese Mechanismen vorsähen, die in der Praxis gewährleisten könnten, dass das vom Unionsrecht verlangte Schutzniveau eingehalten werde. Der Datenexporteur und der Empfänger der Übermittlung müssten jedoch vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten werde. Der Empfänger müsse dem Datenexporteur gegebenenfalls mitteilen, dass er die Standardschutzklauseln nicht einhalten könne, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten müsse.
Die Folgen des Urteils
Unternehmen, die personenbezogene Daten an in die USA übermitteln, sollten die Entscheidung dringend zum Anlass nehmen, die rechtliche Basis solcher Übermittlungen zu überprüfen. Beim Einsatz von Cookies und anderer Analyse-/Tracking-Tools auf Webseiten erfolgen etwa häufig Übermittlungen personenbezogener Daten an die Anbieter solcher Tools in den USA, die bisher in den meisten Fällen auf den Privacy Shield gestützt wurden. Abhilfe kann in solchen Fällen die Vereinbarung von Standarddatenschutzklauseln schaffen. Wir beraten Sie gerne zu den in Reaktion auf das Urteil notwendigen Maßnahmen.
Marco Degginger
Junior PartnerRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 365
M +49 162 1313 994