Info-Stehle vor dem EuGH

EuGH erklärt Privacy Shield für ungültig

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 die Vereinbarung zur Übermittlung personenbezogener Daten in die USA (Privacy Shiel) für unwirksam erklärt (Rechtssache C‑311/18). Gleichzeitig hält er die Übertragung personenbezogener Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland für zulässig, falls diese die erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten.

Alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet.

Am 25. Juni 2013 legte der österreichische Staatsbürger Max Schrems bei der Europäischen Kommision eine Beschwerde ein, mit der er im Wesentlichen forderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Dabei machte er geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Die Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in der Entscheidung 2000/520 (Safe Harbour) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten.

Der High Court (Hoher Gerichtshof, Irland), vor dem Herr Schrems Klage gegen die Zurückweisung seiner Beschwerde erhoben hatte, befasste den Gerichtshof mit einem Vorabentscheidungsersuchen betreffend die Auslegung und die Gültigkeit der Entscheidung 2000/520. Mit Urteil vom 6. Oktober 2015, Schrems (C‑362/14, EU:C:2015:650), erklärte der Gerichtshof diese Entscheidung und das Safe Harbour-Abkommen für ungültig. Grund für dieses Urteil war insbesondere die Zugriffsmöglichkeit der US-Nachrichtendienste auf die übermittelten Daten und die fehlenden Mechanismen zur Durchsetzung der Betroffenenrechte.

Nach neuen Verhandlungen einigten sich die Europäische Kommission und die US-Regierung auf (neue) Rahmenbedingungen, die gewährleisten sollten, dass beim Empfänger in den USA ein angemessenes Datenschutzniveau besteht. Daraufhin sah sich die Europäische Kommission veranlasst, am 12. Juli 2016 festzustellen, dass ein angemessenes Datenschutzniveau unter den Rahmenbedingungen des EU-US Privacy Shieldbesteht (vgl. Durchführungsbeschluss (2016) 1250, veröffentlicht im Amtsblatt EU vom 1. August 2016, L 207/1).

Auch dieses Abkommen hat der EuGH nunmehr kassiert und Folgendes ausgeführt:

  1. Art. 2 Abs. 1 und 2 der Datenschutz-Grundverordnung ist dahin auszulegen, dass eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer in den Anwendungsbereich dieser Verordnung fällt, ungeachtet dessen, ob die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
  2. Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c DSGVO sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 DSGVO genannten Elemente.
  3. Art. 58 Abs. 2 Buchst. f und j DSGVO ist dahin auszulegen, dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 DSGVO sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet.
  4. Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.
  5. Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 (Privacy Shield) gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.

Fundstelle:

http://curia.europa.eu/juris/document/document.jsf;jsessionid=4B581CD2AD4837AD722422B24FDEBF2A?text=&docid=228677&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=9903838