Der EuGH hat den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild (Privacy-Shield) gebotenen Schutzes für ungültig erklärt. Den Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern bewertete das Gericht hingegen als gültig, wobei auch insoweit Ungemach droht.
Hintergrund
Die DS-GVO bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen. Ferner ist in der DS-GVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.
Im Rahmen eines Vorabentscheidungsersuchens fragte der irische High Court den EuGH nach der Anwendbarkeit der DS-GVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren warf der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.
Entscheidung
Der EuGH stellte fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben habe, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärte der EuGH hingegen kurzerhand für ungültig.
Im Hinblick auf die EU-Standardvertragsklauseln konstatierte der EuGH, dass von der DS-GVO vorgesehene Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen seien, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standardvertragsklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssten, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus seien sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes. In Bezug auf die Pflichten, welche die Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung zu beachten hätten, stellte der EuGH fest, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliege, insbesondere verpflichtet seien, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung seien, dass die Standardvertragsklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Diese aufsichtsrechten Kontrollbefugnisse und Kontrollpflichten erachtete der EuGH in Verbindung mit Prüfpflichten des Datenexporteurs und des Datenempfängers in Bezug auf ein hinreichendes Schutzniveau als grundsätzlich ausreichend, so dass der EuGH die EU-Standardvertragsklauseln unter dem Strich jedenfalls als gültig bewerten konnte.
Auf die Frage nach der Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 fand der EuGH vergleichsweise deutliche Worte und erklärte den Beschluss für ungültig. So stellte der EuGH fest, dass im Privacy-Shield-Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt werde, was Eingriffe in die Grundrechte der Personen ermögliche, deren Daten in die Vereinigten Staaten übermittelt werden. Der EuGH kam insoweit zu dem Ergebnis, dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt seien, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien. Der im Privacy-Shield-Beschluss vorgesehene Ombudsmechanismus böte keine dem Unionsrecht gleichwertigen Garantien.
Anmerkung
Nach Safe Harbour ist damit auch Privacy Shield als Grundlage für einen Datenexport aus der EU in die Vereinigten Staaten vom Tisch. Alle Unternehmen, die sich bislang darauf verlassen haben, auf dem formal einfachen Weg eines Verweises auf eine Teilnahme des Datenimporteurs an Privacy-Shield einen Datenexport rechtfertigen zu können, sind nunmehr unter Zugzwang, sofern sie den betroffenen Datentransport nicht vorsorglich auch auf eine anderweitige Übermittlungsgrundlage gestützt haben. Nicht ohne Grund haben zahlreiche Unternehmen insoweit Wert darauf gelegt, einen Datenexport nicht allein auf Privacy-Shield zu stützen, sondern ergänzende Maßnahmen zu ergreifen, wobei in der Praxis die wohl gängigste Methode im parallelen Abschluss von EU-Standardvertragsklauseln bestand.
Vor diesem Hintergrund dürfte die Entscheidung zumindest die sehr zahlreichen Unternehmen, die einen Datenexport in die Vereinigten Staaten bislang auf die EU-Standardvertragsklauseln stützen, zunächst aufatmen lassen, da der EuGH die EU-Standardvertragsklauseln nicht „kassiert“ hat. Dabei deutet die Einstufung der „Gültigkeit“ der Klauseln zunächst darauf hin, dass diese auch weiterhin eine formal verlässliche Grundlage für einen Datenexport bilden. Der Teufel steckt aber im Detail, insbesondere soweit der EuGH entsprechend den Schlussanträgen des Generalanwalts Befugnisse der Aufsichtsbehörden zum Aussetzen oder gar einem Verbot von Datenübermittlungen trotz vereinbarter Standardklauseln ins Spiel bringt. Damit sind die Standardklauseln nämlich keineswegs ein formal verlässlicher Weg, vielmehr schwebt künftig stets das Damoklesschwert einer behördlichen Verfügung über den Parteien. Mit Blick auf die vom EuGH angenommene Ungültigkeit des Privacy-Shield-Beschlusses und die konstatierten Defizite, könnte das Schwert dann schneller fallen als von zahlreichen Marktakteuren erhofft.
Die Situation ist also durchaus heikel und es steht zu vermuten, dass ein weiterer Anlauf für ein „Safe-Harbour 3.0“ unternommen wird. Mit Blick auf die klaren Worte des EuGH dürfte es dann jedoch mit einer weiteren „Feigenblatt-Lösung“ nicht getan sein.
Quelle: EuGH, Pressemitteilung Nr. 91/20 vom 16.07.2020 zu Rechtssache C-311/18
