EuGH erklärt Privacy Shield für unwirksam

07.10.2020

Mit Urteil vom 16.07.2020, Rs. C-311/18 hat der Europäische Gerichtshof (EuGH) das EU-U.S. Privacy-Shield (Beschluss (EU) 2016/1250 – „Privacy-Shield“) für unwirksam erklärt. Die ebenfalls vom EuGH überprüften Standarddatenschutzklauseln sind hingegen weiterhin gültig.

Von unserem deutschsprachigen CBBL-Anwalt in Brüssel, Herrn Rechtsanwalt und Advocaat Prof. Dr. Robin van der Hout, LL.M., vanderhout@cbbl-lawyers.de, Tel. +32 - 2 - 234 11 60, www.kapellmann.de

Beim Einsatz der Standarddatenschutzklauseln müssen Unternehmen dem EuGH zufolge aber zukünftig im Einzelfall prüfen, ob deren Einhaltung durch das Daten importierende Unternehmen tatsächlich möglich ist, oder ob die Gesetze des Landes, in dem das Unternehmen ansässig ist, der Einhaltung entgegenstehen.

Das sogenannte „Schrems II“-Urteil des EuGH vom 16.07.2020 geht auf eine Beschwerde des Datenschutzaktivisten Maximilian Schrems zurück, der schon 2015 dafür gesorgt hatte, dass der EuGH in seiner „Schrems I“-Entscheidung (EuGH Urt. v. 06.10.2015, Rs. C-362/14) das Safe-Harbour-Abkommen, das Vorgängermodell des Privacy-Shields, für ungültig erklärte. Nachdem das Privacy-Shield in Kraft trat, stellte sich nicht nur die Frage nach dessen Wirksamkeit, der Datenschutzaktivist griff in der Folge auch die Standarddatenschutzklauseln an, die nunmehr viele Unternehmen für Datentransfers in die USA einsetzten.

Personenbezogene Daten dürfen nach den Regelungen der EU-Datenschutz-Grundverordnung (DSGVO) nur dann in ein Land außerhalb der EU übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet wird. Das Privacy-Shield war ein Angemessenheitsbeschluss der Europäischen Kommission, der festlegte, dass die Übermittlung von Daten auf Grundlage des Privacy-Shields den Datenschutzstandards in der EU entspricht. Es basierte auf einer Absprache zwischen der EU und den USA. Das Privacy-Shield ermöglichte einen Datentransfer aus der EU in die USA, indem sich das in den USA ansässige Unternehmen unter dem Privacy-Shield zertifizieren ließ und sich hierdurch freiwillig bestimmten zwischen EU und USA vereinbarten Datenschutzstandards unterwarf. Diese Möglichkeit speziell für den Datentransfer zwischen EU und USA fällt nun ersatzlos weg.

Der EuGH hat das Privacy-Shield für unvereinbar mit dem EU-Recht erklärt. Diese Entscheidung begründete der Gerichtshof damit, dass die nationalen Regelungen des US-Rechts, wie insbesondere Überwachungsprogramme und Zugriffsbefugnisse, Vorrang gegenüber den Grundsätzen des Privacy-Shields eingeräumt sei. Dies führe letztendlich zu einer nicht hinreichenden Eingrenzung der Sammlung personenbezogener Daten durch die US-Behörden, gegen die es auch an wirksamen Rechtschutzinstrumenten für EU-Bürger mangele. Unternehmen sind deshalb nun gezwungen, auf andere Rechtsgrundlagen umzustellen.

Möglich bleibt hingegen der Einsatz der von der Europäischen Kommission verabschiedeten Standarddatenschutzklauseln. Das Daten exportierende Unternehmen und das importierende Unternehmen im Drittstaat vereinbaren diese Klauseln vertraglich. Das importierende Unternehmen verpflichtet sich dabei, die übermittelten Daten nach den Europäischen Datenschutzstandards zu verwenden.

Zwar hält der EuGH den Beschluss 2010/87/EU der Kommission, der den Standarddatenschutzklauseln zugrunde liegt, grundsätzlich für gültig, der bloße Abschluss von Standarddatenschutzklauseln sei jedoch nicht ausreichend. Vielmehr seien die Datenexporteure in Zukunft dazu verpflichtet, im Einzelfall zu prüfen, ob in Drittstaaten, in die Daten exportiert werden, tatsächlich ein angemessenes Datenschutzniveau eingehalten wird – das importierende Unternehmen also nicht aufgrund nationaler Sicherheitsgesetze daran gehindert ist, die vertraglich vereinbarten Standarddatenschutzklauseln einzuhalten.

Die Entscheidung des EuGH bringt für Unternehmen beim Einsatz der Standarddatenschutzklauseln eine große Rechtsunsicherheit mit sich. Die vom EuGH geforderte Einzelfallprüfung bürdet den Unternehmen insoweit die Verantwortung auf, als dass die Unternehmen – ohne konkret durch den EuGH benannte Maßstäbe – selbst überprüfen müssen, ob Daten in einen Drittstaat exportiert werden können oder nicht. Nicht geklärt ist zudem, ob Datentransfers auf Grundlage der Standarddatenschutzklauseln in die USA überhaupt noch möglich sind, oder die vom EuGH im Rahmen der Beurteilung des Privacy-Shields vorgenommene Bewertung, dass das Datenschutzniveau in der USA unzureichend sei, bedeutet, dass Datentransfers in die USA auch auf Grundlage der Standarddatenschutzklauseln in Zukunft nicht mehr möglich sind. In Bezug auf die USA könnte der EuGH durch sein „Schrems II“-Urteil die von ihm geforderte Einzelfallbewertung insoweit schon vorweggenommen haben.

Der Datenschutzaktivist Schrems hat gemeinsam mit der Organisation Noyb nach dem Urteil des EuGH bereits 101 Beschwerden bei verschiedenen Aufsichtsbehörden gegen europäische Unternehmen eingereicht, die auch in der Folgezeit des EuGH-Urteils weiterhin Daten in die USA transferierten.

Sie haben weitere Fragen zum Privacy Shield und der aktuellen Entscheidung des EuGH? Sprechen Sie uns an!

Unser deutschsprachiger CBBL-Anwalt in Brüssel, Herr Rechtsanwalt und Advocaat Prof. Dr. Robin van der Hout, LL.M., berät Sie gerne: vanderhout@cbbl-lawyers.de, Tel. +32 - 2 - 234 11 60, www.kapellmann.de