Ein Beitrag von Franziska Jordan

1. Einführung

Viele Unternehmen transferieren Daten ihrer in der EU ansässigen Nutzer/innen in die USA, um sie dort in Clouds zu speichern.¹ Liegen die Daten im Ausland, gelten erst einmal die dort vorherrschenden Datenschutzregelungen. Diese bleiben jedoch häufig weit hinter den mittlerweile hohen Anforderungen des europäischen Datenschutzes zurück.² Dementsprechend sind die Daten europäischer Nutzer/innen dann gegebenenfalls weniger gegen Zugriffe von Dritten geschützt. Ob und inwieweit der unionsrechtlich verbürgte Datenschutz bei der Übermittlung personenbezogener Daten in Drittstaaten und der dortigen Verarbeitung gewährleistet werden muss, hat der Europäischen Gerichtshof (im Folgenden: EuGH) in seinem Urteil vom 16. Juli 2020 – Rechtssache C‑311/18 – (abermals) klargestellt. Dies stärkt den europäischen Datenschutz und bedeutet für viele Unternehmen ein Umdenken.³

2. Das Urteil: Sachverhalt und Entscheidungsgründe

2.1. Der Sachverhalt 

Der in Österreich wohnhafte österreichische Staatsangehörige Maximilian Schrems (im Folgenden: S) nutzte seit 2008 das soziale Netzwerk Facebook. Bei der Anmeldung schließen im Unionsgebiet ansässige Nutzer einen Vertrag mit Facebook Ireland ab. Die personenbezogenen Daten dieser Nutzer werden jedoch ganz oder teilweise an Server der Facebook Inc., der in den USA ansässigen Muttergesellschaft des Konzerns, übermittelt und dort verarbeitet.⁴ 

Nach der Datenschutzgrundverordnung (im Folgenden: DSGVO) dürfen personenbezogene Daten von Bürgern der europäischen Union nur dann in ein Drittland übermittelt werden, wenn die Einhaltung der europäischen Datenschutzvorschriften bei der dortigen Verarbeitung sichergestellt ist (vgl. Art. 44 DSGVO). Die Europäische Union kann jedoch mittels eines Angemessenheitsbeschlusses bindend feststellen, dass ein bestimmtes Land ein angemessenes Schutzniveau bietet. Dann ist die Übermittlung personenbezogener Daten an dieses Drittland regelmäßig zulässig (vgl. Art. 45 Abs. 1 DSGVO). 

Die von Facebook Ireland vorgenommene Übermittlung der personenbezogenen Daten des S erfolgte auf Grundlage sogenannter Standardschutzklauseln.⁵ Standardschutzklauseln sind von der EU-Kommission vorgegebene Verträge, in denen sich die jeweiligen Parteien bei Datenübermittlungen zur Einhaltung angemessener Datenschutzstandards verpflichten.⁶ S reichte hiergegen am 01.12.2015 eine Beschwerde bei der irischen Aufsichtsbehörde ein. Er machte geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten und beantragte, die von Facebook Ireland auf der Grundlage der Standardschutzklauseln vorgenommene Übermittlung seiner personenbezogenen Daten für die Zukunft auszusetzen oder zu verbieten. Denn Unternehmen seien nach amerikanischem Recht verpflichtet, entsprechende Daten an Behörden wie die National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) weiterzugeben.⁷ 

Die irische Aufsichtsbehörde rief daraufhin den irischen High Court an. Dieser befragte daraufhin den EuGH im Wege des Vorabentscheidungsverfahrens zur Gültigkeit der Standardschutzklauseln.⁸ Am 12. Juli 2016 erließ die Kommission den Durchführungsbeschluss (EU) 2016/1250 vom 12. Juli 2016 gemäß der Richtlinie 95/46 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (im Folgenden: DSS-Beschluss). Mit dem DSS-Beschluss stellte die Europäische Kommission fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten, sofern die Unternehmen die Datenübermittlung unter Einhaltung der Voraussetzungen des „EU-US-Datenschutzschild“-Abkommens vornahmen (sog. Angemessenheitsbeschluss).⁹ 

Der irische High Court legte dem EuGH im Wesentlichen folgende Fragen zur Vorabentscheidung vor:

Ist die DSGVO auf die Übermittlung personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, anwendbar?

Welches Schutzniveau ist nach Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c der DSGVO im Rahmen einer solchen Übermittlung erforderlich bzw. welche Pflichten obliegen den Aufsichtsbehörden in diesem Zusammenhang? 

Sind der Beschluss 2010/87 über Standardvertragsklauseln und der DSS-Beschluss gültig?¹⁰

2.2. Die Entscheidung des EuGH

Der EuGH entschied, dass der DSS-Beschluss der Kommission ungültig ist. Die Standardvertragsklauseln hingegen stufte er als wirksam ein. Zur Begründung im Einzelnen:

2.1.1. Zur ersten Frage

Die DSGVO findet dem Urteil nach im vorliegenden Fall Anwendung. Denn es handele sich vorliegend um eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten; der Umstand, dass die Daten im Anschluss ggf. durch Behörden eines Drittlands weiterverarbeitet werden vermag hieran nach Auffassung der Richter nichts zu ändern.¹¹ 

2.1.2. Zur zweiten Frage

Die Personen, deren Daten in ein Drittland übermittelt werden, müssen ein Schutzniveau genießen, welches mit dem durch die DSGVO und die Grundrechtecharta gewährleisteten vergleichbar ist.¹² Ob dies tatsächlich der Fall ist, ist anhand der vertraglichen Regelungen zwischen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung zu bestimmen. Zudem ist auch einzubeziehen, welche Regelungen die Rechtsordnung des Empfängerlandes in Bezug auf etwaigen Zugriff der Behörden dieses Landes auf die übermittelten Daten enthält.¹³ 

Die Aufsichtsbehörden sind verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass die Standardschutzklauseln in diesem Land nicht eingehalten werden (können) und der nach dem Unionsrecht erforderliche Schutz nicht anders gewährleistet werden kann, es sei denn, der in der EU ansässige Datenexporteur hat die Übermittlung bereits ausgesetzt oder beendet. ¹⁴ 

2.1.3. Zur dritten Frage

Der Beschluss 2010/87 über Standardvertragsklauseln ist nach der Rechtsauffassung des EuGH nicht unwirksam. Denn der Beschluss enthält nach Einschätzung des Gerichtshofes wirksame Mechanismen zur Gewährleistung des europäischen Schutzniveaus und macht die Aussetzung bzw. Beendigung der Datenübermittlung dort möglich, wo gegen die Klauseln verstoßen wird oder deren Einhaltung nicht möglich ist. Dies begründete der EuGH damit, dass dem Datenexporteur und dem Empfänger jeweils Prüf- und Mitteilungspflichten für die Einhaltung des Schutzniveaus bzw. der Standardschutzklauseln auferlegt sind. Zudem muss der Exporteur im Falle eines Verstoßes die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten.¹⁵

Anders sei hingegen der DSS-Beschluss der Kommission zur beurteilen. Dieser erlaube den amerikanischen Behörden auf die übermittelten personenbezogenen Daten europäischer Nutzer zuzugreifen, ohne den europäischen Nutzern jedoch einen dem Unionsrecht entsprechenden Schutz zu gewährleisten.¹⁶ Das machen die Richter/innen an zwei Gesichtspunkten fest:

Zum einen sei der amerikanische Zugriff nicht auf das zwingend erforderliche Maß beschränkt und der unionsrechtlich verankerte Verhältnismäßigkeitsgrundsatz somit nicht gewahrt. Ob und inwieweit der Zugriff auf die Daten nicht amerikanischer Staatsbürger durch den Beschluss eingeschränkt sei, sei schlichtweg nicht ersichtlich.¹⁷ 

Zudem sehe der Beschluss einen mit den Rechtsschutzmöglichkeiten des Unionsrechts vergleichbaren Rechtsbehelf europäischer Nutzer gegen etwaige Verletzungen ihrer Rechte nicht vor. Damit verstoße der Beschluss gegen Art. 47 der Europäischen Grundrechte-Charta, wonach jeder Person ein wirksamer Rechtsbehelf gegen Grundrechtseingriffe zustehen muss. Insbesondere stelle der in dem Beschluss vorgesehene Ombudsmechanismus einen solchen nicht da. Denn es sei nicht gewährleistet, dass der bei dem US-Außenministerium angesiedelte Ombudsmann unabhängig und gegenüber den amerikanischen Nachrichtendiensten zum Erlass bindender Entscheidungen ermächtigt sei.¹⁸

3. Ausblick: Was bedeutet das für europäische Unternehmen?

Infolge der Entscheidung ist die Übertragung von personenbezogenen Daten europäischer Nutzer/innen in die USA aufgrund des EU-US-Datenschutzschildabkommens ab sofort unzulässig.¹⁹ Eine Übergangsfrist, die es den Unternehmen zeitweise weiter erlauben würde, Daten wie auf Grundlage des bisherigen Abkommens zu übertragen, wird es nach Erklärung des Europäischen Datenschutzausschusses (im Folgenden: EDSA), nicht geben.²⁰ Der EDSA ist ein Ausschuss, an dem nationale Datenschutzbehörden und die Europäischen Datenschutzbeauftragten beteiligt sind.²¹ Die Unternehmen müssen sich daher unbedingt um eine schnelle Umsetzung bemühen, um nicht zu riskieren, mit Bußgeldern belegt zu werden. Viele Unternehmen untersuchen daher derzeit mit Hilfe sogenannter Vertragstracker, welche Dienste sie von Unternehmen beanspruchen, die Daten in die USA übermitteln, um im Ernstfall nachzujustieren.

Da der EuGH die Datenübermittlung auf Basis der EU-Standardvertragsklauseln bestätigt hat, empfiehlt es sich, die Übertragung künftig hierauf zu stützten. Dabei ist jedoch zu beachten, dass die formale Vereinbarung der Vertragsklausel nicht ausreicht – die Parteien müssen auch deren tatsächliche und überprüfbare Einhaltung im Einzelfall gewährleisten.²² Denn werden die Klauseln praktisch nicht eingehalten, können die zuständigen Behörden – wie die Richter/innen betont haben – die Datenübertragung aussetzen oder beenden. 

Daneben stellt auch die Datenübertragung auf Grundlage sogenannter Binding Corporate Rules (im Folgenden: BCR) eine Möglichkeit der Übertragung in Ausland dar. Nachteil dieser Variante ist aber, dass die Datenübermittlung auf Grundlage dieser Regelungen erst dann stattfinden darf, wenn die BCR ein Genehmigungsverfahren bei der Kommission durchlaufen haben. Attraktiv erscheinen BCR daher nur für größere Unternehmen, die in erheblichem Umfang Daten in die USA übermitteln.²³

Auch könnten die EU-Kommission und die US-Regierung eine Nachfolgeregelung zum EU-US-Datenschutzschild entwerfen. Berichten zufolge sollen beide bereits in Verhandlungen stehen.²⁴ Fraglich scheint jedoch, ob die US-Regierung bereit ist, die von dem EuGH geforderten hohen Datenschutzstandards zu akzeptieren.²⁵

Auch denkbar ist schließlich, die Daten fortan in europäischen Clouds zu speichern. Denn europäische Anbieter waren auch bisher bereits an europäischen Datenschutzstandards zu messen, sodass eine Einhaltung der Standards hier weniger problematisch sein dürfte. Der Unterzeichnung gesonderter Abkommen über den Umgang mit den Daten, wie sie bei der Übertragung ins Ausland nötig sind, bedarf es dann nicht.²⁶ Viele europäische Anbieter liegen jedoch in Bezug auf Verschlüsselung und Verlässlichkeit weit hinter ihren amerikanischen Konkurrenten zurück.²⁷ 

1 Vgl. Zeit, "Facebook vs. Schrems": Was die EuGH-Entscheidung bedeutet vom 16.07.2020, https://www.zeit.de/news/2020-07/16/eugh-kippt-eu-us-datenschutzvereinbarung-privacy-shield (zuletzt abgerufen am: 24.08.2020).

2 So z.B. im Fall des amerikanischen Datenschutzes, vgl. EuGH, Urteil vom 16.07.2020 – C‑311/18 – curia.europa.eu.

3 Vgl. Zeit, "Facebook vs. Schrems": Was die EuGH-Entscheidung bedeutet vom 16.07.2020, https://www.zeit.de/news/2020-07/16/eugh-kippt-eu-us-datenschutzvereinbarung-privacy-shield (zuletzt abgerufen am: 24.08.2020).

4 Vgl. EuGH, Urteil vom 16.07.2020 – C‑311/18 – curia.europa.eu, Rn. 50-51.

5 Vgl. EuGH, Urteil vom 16.07.2020 – C‑311/18 – curia.europa.eu, Rn. 54.

6 Vgl. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, https://www.datenschutz.rlp.de/de/themenfelder-themen/standarddatenschutzklauseln-der-eu-kommission-oder-einer-aufsichtsbehoerde/ (zuletzt abgerufen am: 24.08.2020).

7 Vgl. EuGH, Urteil vom 16.07.2020 – C‑311/18 – curia.europa.eu, Rn. 55.

8 Vgl. a.a.O., Rn. 56-57.

9 Vgl. EuGH, Urteil vom 16.07.2020 – C‑311/18 – curia.europa.eu, Rn. 42-49.

10 Vgl. a.a.O., Rn. 68.

11 Vgl. a.a.O., Rn. 85, 86.

12 Vgl. a.a.O., Rn. 94.

13 Vgl. EuGH, Urteil vom 16.07.2020 – C‑311/18 – curia.europa.eu, Rn. 104. 

14 Vgl. a.a.O., Rn. 121. 

15 Vgl. a.a.O., Rn. 139-140, 148.

16 Vgl. a.a.O., Rn. 168.

17 Vgl. a.a.O., Rn. 180-184.

18 Vgl. EuGH, Urteil vom 16.07.2020 – C‑311/18 – curia.europa.eu, Rn. 187, 194-197.

19 Vgl. Seeger/Karuth: Schrems II/EuGH kippt EU-US Privacy Shield, Newsdienst Compliance 2020, 330035. 

20 Vgl. EDSA, Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_de.pdf (zuletzt abgerufen am: 24.08.2020).

21 Vgl. EDSA, Über den EDSA, https://edpb.europa.eu/about-edpb/about-edpb_de (zuletzt abgerufen am: 24.08.2020).

22 Vgl. Seeger/Karuth: Schrems II/EuGH kippt EU-US Privacy Shield, Newsdienst Compliance 2020, 330035. 

23 Vgl. Seeger/Karuth: Schrems II/EuGH kippt EU-US Privacy Shield, Newsdienst Compliance 2020, 330035.

24 Vgl. Beck Aktuell Redaktion, nach „Privacy Shield”: EU und USA sprechen über Neuordnung der Datenübermittlung, becklink 2017141. 

25 Sueddeutsche Zeitung, Ohne Schild und ohne Plan vom 24.07.2020, https://www.sueddeutsche.de/digital/privacy-shield-eugh-urteil-amazon-microsoft-1.4976977 (zuletzt abgerufen am: 24.08.2020).

26 Ebd.

27 Ebd.