Privacy-Shield-Update: Max Schrems vs. Facebook (Schrems II)

Am zum 16. Juli 2020 konnten personenbezogene Daten auf Grundlage des Privacy Shield-Abkommens in die USA übermittelt werden. Im „Schrems II-Urteil“ hat der EuGH dieses Abkommen für unwirksam erklärt und den Datenschutz gestärkt.

Wer ist Max Schrems und was hat das Urteil mit Facebook zu tun?

Max Schrems ist ein österreichischer Jurist, der es sich zur Aufgabe gemacht hat, den europäischen Datenschutz primär gegenüber Facebook durchzusetzen. Dabei ist sein Hauptangriffspunkt die Übertragung von personenbezogenen Daten europäischer Nutzer durch Facebook Ltd. Irland an Facebook Inc. in den USA.

Dort hat nämlich unter anderem die NSA Zugriff auf die europäischen, personenbezogenen Daten. So kam es durch seine Klage gegen Facebook zum „Schrems I“–Urteil des EuGH aus dem Jahr 2015, wodurch das Safe-Harbour-Abkommen als Rechtsgrundlage für eine derartige Datenübertragung für unwirksam erklärt wurde. Im Folgenden erließ die Europäische Kommission 2016 das EU-US-Privacy-Shield, das von da an als neue Rechtsgrundlage für diese Datenübermittlung diente. Dagegen ging Max Schrems erneut vor, was zum „Schrems II“-Urteil des EuGH führte.

Welche Rechtsgrundlagen kamen bislang zur Datenübertragung in Drittländer in Betracht?

Art. 45 DS-GVO: Angemessenheitsbeschluss der Europäischen Kommission

In einem derartigen Beschluss legt die EU-Kommission fest, dass in dem entsprechenden Drittstaat der Datenschutz dem europäischen Datenschutzniveau gleichwertig ist. Dabei soll insbesondere auf effektive Rechtsmittel, das Bestehen von unabhängigen Datenschutzaufsichtsbehörden und Informations- und Widerspruchsrechten der Personen, deren Daten übermittelt werden, geachtet werden. Das EU-US-Privacy-Shield von 2016 stellte einen derartigen Angemessenheitsbeschluss dar, wie auch dessen Vorgänger, das Safe-Harbour-Abkommen.

Art. 46 Abs. 2, 47 DS-GVO: geeignete Garantien

Geeignete Garantien des Datenschutzniveaus des Drittstaates sind Standardvertragsklausen (Standard Contractual Clauses = SCC) und verbindliche interne Datenschutzvorschriften (Binding Corporate Rules = BCR).

Dabei wird vor allem auf die SCCs abgestellt, die von der Europäischen Kommission erlassen wurden. In diesen wird rechtlich verbindlich durch den Datenimporteur und den Datenexporteur garantiert, dass das jeweilige Datenschutzniveau eingehalten wird.

Dazu verpflichten sich auch die Verwender von BCRs, die von der europäischen Datenschutzbehörde aus dem jeweiligen Ursprungsland der Daten verifiziert sein müssen. Dies kann aber zeitlich aufwendig sein, vor allem, wenn die Verifizierung aus allen europäischen Ländern erforderlich ist.

Art. 49 DS-GVO: Ausnahmetatbestand

Falls keine der oben genannten Rechtsgrundlagen in Betracht kommt, kann unter anderem auf die Einwilligung der Betroffenen oder ein besonderes öffentliches Interesse bezüglich der Datenübermittlung abstellt werden. Dies ist in der Praxis aber nicht leicht umzusetzen, da eine Einwilligung auch jederzeit widerrufen werden kann.

Was ändert sich durch Schrems II?

Der EuGH beschäftigte sich für diese Entscheidung vorwiegend mit der Frage, ob das Privacy Shield und die Standardvertragsklauseln eine geeignete Rechtsgrundlage für die Datenübertragung von Facebook in die USA darstellen.

Dabei wurde das Privacy-Shield-Abkommen für unwirksam und die Datenübertragung auf dieser Grundlage für ab sofort rechtswidrig erklärt. Grund dafür sei, dass durch das Privacy-Shield-Abkommen dem amerikanischen öffentlichen Interesse und der Einhaltung des amerikanischen Rechts Vorrang gewährt wurde. Außerdem wird durch amerikanische Rechtsvorschriften (wie z. B. sec. 702 Foreign Intelligence Surveillance Act oder dem CLOUD Act) den US-Sicherheitsbehörden, wie der NSA, erlaubt, ebenfalls auf die übermittelten, europäischen personenbezogenen Daten zuzugreifen.

Dagegen gebe es sowohl für die betroffenen, europäischen Bürger als auch für die amerikanischen Unternehmen keine effektiven Rechtsmittel. Insgesamt sei – entgegen der Aussage des Privacy Shields – das amerikanische Datenschutzrecht auch nicht als gleichwertig zu dem europäischen Datenschutzniveau anzusehen. Dadurch stelle die Datenübertragung in die USA einen Eingriff in die Grundrechte der europäischen Bürger (insbesondere des Art. 8 EU-Grundrechte-Charta) dar, deren personenbezogenen Daten auf Grundlage des Privacy Shields übermittelt wurden.

Schrems II Urteil des EuGH C-311/18

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist.

FAQ zu Schrems II

Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und MaximillianSchrems | European Data Protection Board

Standardvertragsklauseln und Binding Corporate Rules werden weiterhin als rechtmäßige Rechtsgrundlagen zur Datenübermittlung angesehen. Allerdings gilt dies nur, soweit dadurch ein gleichwertiges Datenschutzniveau gewährleistet wird. Dabei muss jeweils der konkrete Einzelfall betrachtet und analysiert werden, welche Gesetze für die entsprechende Datenübermittlung gelten und welche Auswirkungen dies auf das jeweilige Datenschutzniveau hat.

So gelten z. B. die Gesetze, die den Zugriff der amerikanischen Überwachungsdienste ermöglichen, nicht für alle Unternehmen. Für solche Unternehmen ist es dann einfacher möglich, ein gleichwertiges Datenschutzniveau für die Datenübermittlung anzubieten. Wenn das Unternehmen im Drittstaat, an das die Daten übermittelt werden sollen, bemerkt, dass das gleichwertige Schutzniveau nicht erreicht werden kann, muss es den Datenexporteur, also das Unternehmen, von dem die Daten aus der EU exportiert werden, darüber informieren.

Welche praktischen Folgen hat das Urteil?

Obwohl das Privacy Shield nun nicht mehr gültig ist, dürfen trotzdem weiterhin Daten in die USA übermittelt werden. Es kam also nicht zu einem generellen Verbot der Datenübertragung in die USA oder andere Drittstaaten. Allerdings muss jetzt Facebook, wie auch andere Unternehmen (z.B. Microsoft oder Zoom), die auf Grundlage des EU-US-Privacy-Shields Daten übermittelt haben, auf eine andere Rechtsgrundlage abstellen bzw. die Datenübertragung umgestalten. Sollte es nicht möglich sein, auf Grundlage einer der oben genannten Rechtsgrundlagen und einem gleichwertigen Schutzniveau die Datenübertragung auszuführen, muss sogar gegebenenfalls die Datenübertragung in den Drittstaat komplett unterbleiben und auf einen europäischen Anbieter gewechselt werden.

Außerdem müssen die betroffenen Unternehmen jetzt bei Verwendung von Standardvertragsklauseln vorab prüfen, wie das Datenschutzniveau jeweils ausgestaltet ist.

Mittlerweile haben die USA und die EU Gespräche für ein neues, verbessertes Abkommen initiiert, das in Zukunft womöglich als neue Rechtsgrundlage im Sinne des Art. 45 DS-GVO dienen soll. Ob dieses neue Abkommen dann auch vor dem EuGH standhält und nicht erneut – wie seine beiden Vorgänger – gekippt wird, bleibt dann wohl abzuwarten.

avatar, woman writing
Autorin
Melissa Irtel

Melissa Irtel studierte Jura zunächst in Würzburg, bis sie nach der Zwischenprüfung nach Passau wechselte. Sie interessiert sich sehr für Themen rund um das IT-Recht und Datenschutz. Vor allem seit ihrem Schwerpunkt im Studium begeistert sie auch Kartell- oder Markenrecht. In ihrer Freizeit reist sie gerne und lernt dabei neue Kulturen kennen.