Privacy-Shield-Update: Max Schrems vs. Facebook (again)

Im „Schrems II“-Urteil des EuGH wurde am 16.07.2020 der Rechtsstreit des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook erneut zugunsten des europäischen Datenschutzes entschieden.  

Wer ist Max Schrems und was hat das Urteil mit Facebook zu tun?

Max Schrems ist ein österreichischer Jurist, der es sich zur Aufgabe gemacht hat, den europäischen Datenschutz vor allem gegenüber Facebook durchzusetzen. Dabei ist sein Hauptangriffspunkt die Übertragung von personenbezogenen Daten europäischer Nutzer durch Facebook Ltd. Irland an Facebook Inc. in der USA. Dort haben nämlich unter anderem die NSA Zugriff auf die europäischen, personenbezogenen Daten. So kam es durch seine Klage gegen Facebook zum „Schrems I“Urteil des EuGH aus dem Jahr 2015, wodurch das Safe-Harbour-Abkommen als Rechtsgrundlage für eine derartige Datenübertragung für unwirksam erklärt wurde. Im Folgenden erließ die Europäische Kommission 2016 dann das EU-US-Privacy-Shield, das von da an als neue Rechtsgrundlage für diese Datenübermittlung diente. Dagegen ging Max Schrems erneut vor, was zum „Schrems II“-Urteil des EuGH führte.

Welche Rechtsgrundlagen kamen bislang zur Datenübertragung in Drittländer in Betracht?

Art. 45 DS-GVO: Angemessenheitsbeschluss der Europäischen Kommission

In einem derartigen Beschluss legt die EU-Kommission fest, dass in dem entsprechenden Drittstaat der Datenschutz dem europäischen Datenschutzniveau gleichwertig ist. Dabei soll insbesondere auf effektive Rechtsmittel, das Bestehen von unabhängigen Datenschutzaufsichtsbehörden und Informations- und Widerspruchsrechten der Personen, deren Daten übermittelt werden, geachtet werden. Das EU-US-Privacy-Shield von 2016 stellte einen derartigen Angemessenheitsbeschluss dar, wie auch dessen Vorgänger, das Safe-Harbour-Abkommen.

Art. 46 Abs. 2, 47 DS-GVO: geeignete Garantien

Geeignete Garantien des Datenschutzniveaus des Drittstaates sind Standardvertragsklausen (Standard Contractual Clauses = SCC) und verbindliche interne Datenschutzvorschriften (Binding Corporate Rules = BCR).

Dabei wird vor allem auf die SCCs abgestellt, die von der Europäischen Kommission erlassen wurden. In diesen wird rechtlich verbindlich durch den Datenimporteur und den Datenexporteur garantiert, dass das jeweilige Datenschutzniveau eingehalten wird.

Dazu verpflichten sich auch die Verwender von BCRs, die von der europäischen Datenschutzbehörde aus dem jeweiligen Ursprungsland der Daten verifiziert sein müssen. Dies kann aber zeitlich aufwändig sein, vor allem, wenn die Verifizierung aus allen europäischen Ländern erforderlich ist.

Art. 49 DS-GVO: Ausnahmetatbestand

Falls keine der oben genannten Rechtsgrundlagen in Betracht kommt, kann unter anderem auf die Einwilligung der Betroffenen oder ein besonderes öffentliches Interesse bezüglich der Datenübermittlung abstellt werden. Dies ist in der Praxis aber nicht leicht umzusetzen, da zum Beispiel eine Einwilligung auch jederzeit widerrufen werden kann.

Was ändert sich durch Schrems II?

Der EuGH beschäftigte sich für diese Entscheidung vor allem mit der Frage, ob das Privacy Shield und die Standardvertragsklauseln eine geeignete Rechtsgrundlage für die Datenübertragung von Facebook in die USA darstellen.

Dabei wurde das Privacy-Shield-Abkommen für unwirksam und die Datenübertragung auf dieser Grundlage für ab sofort rechtswidrig erklärt. Grund dafür sei, dass durch das Privacy Shield-Abkommen dem amerikanischen öffentlichen Interesse und der Einhaltung des amerikanischen Rechts Vorrang gewährt wurde. Außerdem wird durch amerikanische Rechtsvorschriften (wie z.B. sec. 702 Foreign Intelligence Surveillance Act oder dem CLOUD Act) den US-Sicherheitsbehörden, wie der NSA, erlaubt, ebenfalls auf die übermittelten, europäischen personenbezogenen Daten zuzugreifen. Dagegen gebe es sowohl für die betroffenen, europäischen Bürger als auch für die amerikanischen Unternehmen keine effektiven Rechtsmittel. Insgesamt sei – entgegen der Aussage des Privacy Shields – das amerikanische Datenschutzrecht auch nicht als gleichwertig zu dem europäischen Datenschutzniveau anzusehen. Dadurch stelle die Datenübertragung in die USA einen Eingriff in die Grundrechte der europäischen Bürger (insbesondere des Art. 8 EU-Grundrechte-Charta) dar, deren personenbezogenen Daten auf Grundlage des Privacy Shields übermittelt wurden.

Standardvertragsklauseln und Binding Corporate Rules werden weiterhin als rechtmäßige Rechtsgrundlagen zur Datenübermittlung angesehen. Allerdings gilt dies nur, soweit dadurch ein gleichwertiges Datenschutzniveau gewährleistet wird. Dabei muss jeweils der konkrete Einzelfall betrachtet werden und analysiert werden, welche Gesetze für die entsprechende Datenübermittlung gelten und welche Auswirkungen dies auf das jeweilige Datenschutzniveau hat. So gelten z.B. die Gesetze, die den Zugriff der amerikanischen Überwachungsdienste ermöglichen, nicht für alle Unternehmen. Für solche Unternehmen ist es dann einfacher möglich, ein gleichwertiges Datenschutzniveau für die Datenübermittlung anzubieten. Wenn das Unternehmen im Drittstaat, an das die Daten übermittelt werden sollen, bemerkt, dass das gleichwertige Schutzniveau nicht erreicht werden kann, muss es den Datenexporteur, also das Unternehmen, von dem die Daten aus der EU exportiert werden, darüber informieren.

Welche praktischen Folgen hat das Urteil?

Obwohl das Privacy Shield nun nicht mehr gültig ist, dürfen trotzdem weiterhin Daten in die USA übermittelt werden. Es kam also nicht zu einem generellen Verbot der Datenübertragung in die USA oder andere Drittstaaten. Allerdings muss nun Facebook, wie auch andere Unternehmen (wie z.B. Microsoft oder Zoom), die auf Grundlage des EU-US-Privacy-Shields Daten übermittelt haben, auf eine andere Rechtsgrundlage abstellen bzw. die Datenübertragung anders gestalten. Sollte es nicht möglich sein, auf Grundlage einer der oben genannten Rechtsgrundlagen und einem gleichwertigen Schutzniveau die Datenübertragung auszuführen, muss sogar gegebenenfalls die Datenübertragung in den Drittstaat komplett unterbleiben und auf einen europäischen Anbieter gewechselt werden.

Außerdem müssen die betroffenen Unternehmen nun bei Verwendung von Standardvertragsklauseln vorab prüfen, wie das Datenschutzniveau jeweils ausgestaltet ist.

Mittlerweile haben die USA und die EU Gespräche für ein neues, verbessertes Abkommen initiiert, das in Zukunft womöglich als neue Rechtsgrundlage im Sinne des Art. 45 DS-GVO dienen soll. Ob dieses neue Abkommen dann auch vor dem EuGH standhaft bleibt und nicht erneut – wie seine beiden Vorgänger – gekippt wird, bleibt dann wohl abzuwarten.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.