Wir nutzen auf dieser Seite Session-Cookies, die für die Funktion der Seite notwendig sind.
Diese dienen nicht dem Tracking und gelten nur für die aktuelle Sitzung.

Für statistische Zwecke nutzen wir Google Analytics. Dabei werden sog. Tracking-Cookies gesetzt, die auf ihrem Gerät gespeichert werden. Sie können wählen, ob Sie der Verwendung von Google Analytics zustimmen:



Weitere Informationen zu Cookies erhalten Sie in unserer
Datenschutzerklärung

Peter Schaar: Dejavu – EuGH verwirft EU-US Privacy Shield

30.07.20  12:30 | Artikel: 982040 | News-Artikel (e)

Peter Schaar: Dejavu – EuGH verwirft EU-US Privacy ShieldMit seiner Entscheidung vom 16.7.20 hat der Europäische Gerichtshof erneut die Bedeutung des durch Art. 8 der EU-Grundrechtecharta garantierten Grundrechts auf Datenschutz unterstrichen.

Knapp fünf Jahre nach seiner richtungsweisenden Entscheidung vom 6. Oktober 2015, mit der das höchste europäische Gericht das damalige Safe Harbor Abkommen für ungültig erklärte („Schrems I“) - vgl. Hierzu meinen Blog Post Kein Grundrechterabatt beim internationalen Datentransfer“ – ist mit „Schrems II“ auch der zweite Versuch der Europäischen Kommission gescheitert, die immer umfangreicheren Datenströme zwischen den EU-Mitgliedstaaten und den USA auf eine rechtssichere Basis zu stellen.

Der 2016 vereinbarte „Privacy Shield“ sollte gewährleisten, dass die aus den EU-Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten dort angemessen geschützt werden. So fordert es auch Art. 44 der Datenschutzgrundverordnung (DSGVO).

Unzureichender Schutz vor staatlichem Datenzugriff

Sowohl das Safe Harbor-Abkommen als auch dessen Nachfolger Privacy Shield scheiterten an dem unzureichenden Schutz der personenbezogenen Daten gegen den Zugriff amerikanischer Sicherheitsbehörden. 2015 ging es – wie heute – speziell um Datenübermittlungen zwischen Facebook-Europa und dem amerikanischen Mutterunternehmen. Der EuGH hält die von der EU-Kommission bei der US-Regierung im Jahr 2016 herausgehandelten rechtlichen Verbesserungen nicht für ausreichend. Insbesondere moniert er, dass auch nach dem Privacy Shield EU-Bürger keinen effektiven Rechtsschutz gegen die Überwachungsmaßnahmen amerikanischer Behörden haben. Sie können – anders als US-Bürger – Zugriffe der NSA, des FBI und anderer US-Sicherheitsbehörden nicht durch amerikanische Gerichte überprüfen lassen, sondern wurden mit einer Art Ombudsmechanismus abgespeist. Der EuGH hält es für nicht akzeptabel, dass die Gewährleistung des Datenschutzes für EU-Bürger gegenüber staatlichen Maßnahmen in den USA letztlich vom Goodwill der US-Regierung abhängt.

Standardvertragsklauseln als Lösung?
Nach dem Aus des Safe Harbor hatten viele in Europa tätige Unternehmen mit ihren US-Partnern sogenannte Standardverträge abgeschlossen. Dabei handelt es sich – wie bei der heute annullierten „Angemessenheitsentscheidung“ der Kommission – um ein Instrument, dass ein angemessenes Datenschutzniveau beim Datenempfänger garantieren soll. Der EuGH hat auch dieses Instrument in geprüft.

Auf den ersten Blick sieht es so aus, als hätten nach dem neuen Urteil die Standardverträge Bestand. Dabei könnte es sich allerdings um einen Fehlschluss handeln. Zwar hat der EuGH festgestellt, dass der Beschluss 2010/87 der Europäischen Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern weiterhin gültig bleibt.

Standardverträge auf dem Prüfstand
Zugleich verdeutlicht das Gericht aber, dass die jeweiligen Standardverträge nur dann eine rechtliche Basis für die Datenübermittlung darstellen, wenn sie tatsächlich den gebotenen angemessenen Datenschutz garantieren. Standardverträge sind deshalb nur gültig, wenn die Rechtsordnung des Landes, in das die Daten übermittelt werden sollen, die erforderlichen Garantien bieten. Wenn also im Empfängerstaat die entsprechenden Garantien nicht vollauf gewährleistet sind, zu denen ein effektiver Rechtsschutz gegen staatliche Datenzugriffe gehört, müssen die Datenschutzbehörden die jeweiligen Verträge aussetzen oder verbieten.

Und hier wird es interessant: Da der EuGH – bezogen auf das Privacy Shield – einen angemessenen Datenschutz in den USA verneint hat, können auch Standardverträge dieses Defizit nicht kompensieren. Denn die Standardverträge können ebensowenig wie das annullierte Privacy Shield die nötigen Schutzvorkehrungen gegen nicht gerechtfertigte staatliche Datenzugriffe sicherstellen.

Wie geht es weiter?
Nach der aktuellen EuGH-Entscheidung muss die allein auf das Privacy Shield gestützte Übermittlung personenbezogener Daten in die USA unterbleiben.

Das System der Standardvertragsklauseln bleibt zwar grundsätzlich bestehen und die geschlossenen Standardverträge bleiben zunächst in Kraft. Sie müssen aber von den Datenschutzbehörden im Lichte der EuGH-Entscheidung überprüft und gegebenenfalls ausgesetzt werden. Diese Überprüfung wird sich dabei nicht allein auf Datenübermittlungen in die USA beschränken. Auch die Übermittlung auf Basis der Standardverträge in andere Drittstaaten mit zweifelhaften rechtsstaatlichen Garantien müssen auf den Prüfstand.

Brauchen wir Schrems III?
Damit liegt der Ball wieder bei der irischen Datenschutzbehörde, denn sie muss die Rechtsgrundlage prüfen, auf der Facebook Ireland die Daten aus der EU an die US-Mutter Facebook Inc. transferieren darf. Diese Behörde nimmt sich für solche Prüfungen bekanntlich viel Zeit. Nach dem Inkrafttreten der DSGVO vor über zwei Jahren hat die irische Datenschutzbehörde nicht eine einzige abschließende Entscheidung zu einer Beschwerde getroffen, die den Umgang der in Irland ansässigen europäischen Niederlassungen von US-Unternehmen mit personenebzogenen Daten europäischer Nutzer betrifft.

Sie handelt bisher wie der sprichwörtliche Hund, den man zum Jagen tragen muss. Ob die heutige EuGH-Entscheidung daran etwas ändert, bleibt abzuwarten.


Dieser Beitrag steht im Original unter eaid-berlin.de




Autor: Peter Schaar

www.eaid-berlin.de

Peter Schaar ist Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz e.V. (EAID) und ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit.
Wir veröffentlichen mit Genehmigung einige der von Herrn Schaar veröffentlichten Blogartikel, um die Reichweite für diese wichtigen Themen zu erhöhen.



Themenbereiche:

Datenschutz | Deutschland | Recht

Schlagworte:

EU-US Privacy Shield | Safe Harbor (17) | USA (36) | Standardverträge | Datenübermittlung (4) | Standardvertragsklauseln