Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » „Schrems vs. Facebook“ Part II: EuGH kippt auch EU-US-Privacy-Shield
„Schrems vs. Facebook“ Part II :

EuGH kippt auch EU-US-Privacy-Shield

Darf Facebook Daten aus Europa in die USA senden? Seit nunmehr sechs Jahren kämpft der Österreicher Max Schrems gegen Facebook und um Beantwortung dieser enorm wichtigen Frage. Bereits 2015 schon wurde „Safe Harbor“ für Datenübermittlungen in die USA auf Schrems Initiative hin vom EuGH für ungültig erklärt. Nachdem im Dezember 2019 die Schlussanträge des Generalanwalts veröffentlicht wurden, ist heute, am 16. Juli 2020, das Urteil des EuGH in der Rechtssache C-311/18 gefallen. Das Ergebnis: Das Nachfolgeabkommen „EU-US-Privacy-Shield“ ist ebenfalls ungültig, nicht hingegen die Standardvertragsklauseln, auf die sich Facebook bei der Datenübermittlung beruft.

Das heutige EuGH-Urteil ist eine volle Breitseite für Facebook und die irische Datenschutzbehörde (DPC). Die EU-Standardvertragsklauseln, auf die sich Facebook beruft, sind zwar per se gültig. Allerdings ist die irische Datenschutzbehörde in der Pflicht, die Übermittlung personenbezogener Daten in ein Drittland wie die USA auszusetzen oder zu verbieten, wenn die Standardvertragsklauseln nicht eingehalten werden. Vor einem harten Durchgreifen gegenüber Facebook hat sich die irische Datenschutzbehörde allerdings bisher gedrückt. Nun bleibt abzuwarten, wie sie auf die EuGH-Entscheidung reagiert.

Weitreichende Folgen hat das Urteil auch für Unternehmen, die sich bei der Übermittlung personenbezogener Daten bisher auf den Beschluss der EU-Kommission zum EU-US-Privacy-Shield verlassen haben. Nachdem der Gerichtshof der Europäischen Union im Oktober 2015 bereits Safe Harbor gekippt hatte, kippte er am 16.07.2020 auch den Nachfolger, den EU-US-Privacy Shield. Die Unternehmen müssen sich nun schnellstmöglich die EU-Standardvertragsklauseln in ihren Verträgen übernehmen und sie dann auch einhalten.

Christian SolmeckeRechtsanwalt und Partner bei WILDE BEUGER SOLMECKE
  • JUL 2020

    EuGH kippt Privacy-Shield – EU-Standardvertragsklauseln dagegen gültig


    Der EuGH hat heute den Beschluss der EU-Kommission zum EU-US-Privacy-Shield gekippt. Die Begründung: Bei der Übermittlung von personenbezogenen Daten in die USA könne dieser nach EU-Recht kein angemessenes Datenschutzniveau gewährleisten. Die amerikanischen Behörden hätten zu weitreichende Befugnisse, um auf die übermittelten personenbezogenen Daten zuzugreifen.
    Konkret prüfte der EuGH die Vereinbarkeit des Privacy-Shield-Beschlusses mit der DSGVO, die im Lichte der EU-Grundrechtecharta auszulegen ist. Im Besonderen ging es um die Unionsgrundrechte auf Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Schutz. In dem Privacy-Shield-Beschluss wird den Erfordernissen der nationalen Sicherheit in den USA Vorrang gegenüber diesen Grundrechten eingeräumt. So dürfen zum Beispiel Überwachungsprogramme der amerikanischen Behörden auf die von EU-Bürgern übermittelten personenbezogenen Daten zugreifen. Die Regelungen im Privacy-Shield-Beschluss zu den Befugnissen der amerikanischen Behörden sind nach Meinung des EuGH jedoch unzureichend und entsprechen nicht den Anforderungen des Unionsrechts. Die Eingriffe der Behörden in die Grundrechte der betroffenen Unionsbürger seien unverhältnismäßig, denn die Überwachungsprogramme der US-Behörden seien nicht „auf das zwingend erforderliche Maß beschränkt“. Außerdem treffe der Beschluss auch keine Vorkehrungen, damit die betroffenen EU-Bürger ihre Recht gegenüber den amerikanischen Behörden effektiv gerichtlich durchsetzen können.  

    Den Beschluss 2010/87  über die EU-Standardvertragsklauseln, auf die Facebook sich bei der Datenübermittlung beruft, hielt der Gerichtshof dagegen für gültig. Facebook USA hat Facebook Irland bezüglich der Datenübermittlung vertraglich bescheinigt, dass in den USA ein Datenschutzniveau nach EU-Maßstäben eingehalten wird. Dabei wurden die EU-Standardvertragsklauseln in den Vertrag einbezogen. Laut EuGH sind die Datenschutzbehörden der Mitgliedstaaten in der Pflicht, „eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn die Standardvertragsklauseln in dem Drittland nicht eingehalten werden.“ Ausschlaggebend für die Gültigkeit des Beschlusses 2010/87 sei nämlich, dass dieser wirksame Mechanismen vorsehe, durch die das im Unionsrecht verlangte Datenschutzniveau eingehalten werde. Im Einzelfall müssten die Vertragsparteien bei einer Datenübermittlung sowie auch die Datenschutzbehörden also prüfen, ob das betreffende Schutzniveau im Drittland eingehalten werde.  Im Falle von Facebook ist die irische Datenschutzbehörde in der Pflicht, den Datenfluss von Facebook-Nutzerdaten in die USA auszusetzen oder zu verbieten, wenn die Klauseln nicht eingehalten werden.

  • DEZ 2019

    Generalanwalt hält Beschluss über Standardvertragsklauseln für rechtmäßig – Über das Privacy Shield müsse nicht geurteilt werden“

    Am 19.12. sind die Schlussanträge des EuGH-Generalanwalts veröffentlicht worden. Nach Auffassung des EuGH-Generalanwalts ist der Beschluss 2010/87/EU, mit dem die EU-Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern festgelegt hat, rechtmäßig. Die von Facebook verwendeten Standardvertragsklauseln, die als Grundlage für den Datenaustausch zwischen der irischen Niederlassung Facebooks (Auftragsdatenverarbeitungsgeber) und Facebook USA (Auftragsdatengeber) dienen, seien daher rechtlich nicht zu beanstanden. Auf Grundlage der verwendeten Standardvertragsklauseln jedenfalls könne Facebook ein Datentransfer aus der EU in die USA nicht untersagt werden.

    Der EuGH-Generalanwalt hält es für das Verfahren zudem für nicht erforderlich, dass der EuGH über die Gültigkeit des EU-US Privacy Shields entscheide, da der Rechtsstreit nur den Beschluss 2010/87/EU betreffe.


Zum bisherigen Verfahrensgang

Nach den Snowden-Enthüllungen und dem NSA-Skandal im Jahr 2013 hatte der damalige Student Schrems die Übermittlung seiner personenbezogenen Daten durch Facebook in die USA bei der irischen Datenschutzaufsichtsbehörde angeprangert. Seiner Auffassung nach verletze ihn die Datenübermittlung in die USA in seinen Grundrechten. Die irische Behörde jedoch wies den Fall ab. Der EuGH kippe 2015 das Safe-Harbor Abkommen. Das Urteil war seinerzeit ein Paukenschlag. Damit konnten Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA nicht mehr auf „Safe-Harbor“ gestützt werden.

Seit 2016 bildet nunmehr der Nachfolger, das EU-US Privacy Shield, die Grundlage für den Datenverkehr. Das EU-US Privacy Shield dient dazu, DSGVO-konform personenbezogene Daten europäischer Bürger an US-Unternehmen zu übermitteln. Allerdings handelt es sich dabei um einen Selbstzertifizierungsmechanismus. US-Unternehmen, die teilnehmen wollen, gehen vereinfacht gesagt die Selbstverpflichtung ein, dass sie bestimmte Datenschutz-Prinzipien befolgen und Betroffenen Rechte gewähren werden. So soll ein ausreichender Schutz für EU-Daten sichergestellt werden. Das EU-US Privacy Shield kann insofern als eine Art Gütesiegel für Unternehmen verstanden werden, welche sowohl in Europa als auch z.B. in den USA tätig sind. Unternehmen, die sich nicht dem Privacy Shield unterworfen haben, nutzen so genannte Standardvertragsklauseln, die von der EU herausgegeben worden sind, um Daten in die USA vermeitlich rechtswirksam zu übertragen. Gegen beide Rechtskonstrukte wendet sich Schrems in seinem aktuellen EuGH Verfahren. Er befürchtet, dass die Daten der EU Bürger in den USA nicht sicher sind.

2018 hatte bereits der irische High Court daher dem EuGH im Wege eines Vorabentscheidungsverfahren eine ganze Reihe von Fragen zur Sicherheit der Daten von EU-Bürgern in den USA vorgelegt. Zu diesen wird nun am Donnerstag der EuGH-Generalanwalt Stellung beziehen. Die Schlussanträge sind auch deshalb mit Spannung zu erwarten, da sich der EuGH diesen regelmäßig anschließt und ihnen insofern erhebliches Gewicht zukommt.

Einschätzung von Christian Solmecke

„Die Beantwortung der Fragen kann weitreichende Konsequenzen haben – und zwar für jedes Unternehmen welches mit EU-Daten umgeht und nicht ausschließlich auf eine eigene interne Infrastruktur zugreift. Gut möglich, dass wir nach einem Urteil über die Übermittlung von Daten in Drittstaaten, insbesondere in die USA, grundlegend neu nachdenken müssen. Denn sollte der EuGH zu dem Ergebnis gelangen, dass derzeit weder das EU-US Privacy Shield noch die sog. Standardvertragsklauseln (Model Clauses) personenbezogene Daten aus der EU hinreichend schützen, bedarf es grundsätzlicher Änderung. Dem EU-US Privacy Shield könnte somit dasselbe Schicksal wie seinerzeit „Safe Harbor“ drohen. Schließlich leidet das Privacy Shield meiner Ansicht nach weiterhin an nahezu identischen Schwachstellen wie der bereits gekippte „Safe Harbor“. Entscheidet der EuGH, dass EU-Datenschutzrecht und US-Recht unvereinbar sind, dann muss er konsequenterweise sowohl das EU-US-Privacy Shield als auch die Model Clauses kippen und für ungültig erklären.

Unternehmen müssten dann einen Datentransfer in die USA entweder erneut auf eine andere Basis stellen oder es muss sogar – zumindest vorübergehend – ganz auf einen Datentransfer in die USA verzichtet werden. Da heute nahezu jedes Unternehmen Kundendaten in ein Drittland transferiert, wären diese Datentransfers auf einen Schlag rechtswidrig. Führt man sich vor Augen, dass gemäß Art. 83 DSGVO bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs drohen, hat der Ausgang des Verfahrens einen enormen Stellenwert.“ 

Christian SolmeckeRechtsanwalt und Partner bei WILDE BEUGER SOLMECKE