Darf Facebook Daten aus Europa in die USA senden? Seit nunmehr sechs Jahren kämpft der Österreicher Max Schrems gegen Facebook und um Beantwortung dieser enorm wichtigen Frage. Bereits 2015 schon wurde „Safe Harbor“ für Datenübermittlungen in die USA auf Schrems Initiative hin vom EuGH für ungültig erklärt. Nachdem im Dezember 2019 die Schlussanträge des Generalanwalts veröffentlicht wurden, ist heute, am 16. Juli 2020, das Urteil des EuGH in der Rechtssache C-311/18 gefallen. Das Ergebnis: Das Nachfolgeabkommen “EU-US-Privacy-Shield” ist ebenfalls ungültig, nicht hingegen die Standardvertragsklauseln, auf die sich Facebook bei der Datenübermittlung beruft.

Das heutige EuGH-Urteil ist eine volle Breitseite für Facebook und die irische Datenschutzbehörde (DPC). Die EU-Standardvertragsklauseln, auf die sich Facebook beruft, sind zwar per se gültig. Allerdings ist die irische Datenschutzbehörde in der Pflicht, die Übermittlung personenbezogener Daten in ein Drittland wie die USA auszusetzen oder zu verbieten, wenn die Standardvertragsklauseln nicht eingehalten werden. Vor einem harten Durchgreifen gegenüber Facebook hat sich die irische Datenschutzbehörde allerdings bisher gedrückt. Nun bleibt abzuwarten, wie sie auf die EuGH-Entscheidung reagiert.

Weitreichende Folgen hat das Urteil auch für Unternehmen, die sich bei der Übermittlung personenbezogener Daten bisher auf den Beschluss der EU-Kommission zum EU-US-Privacy-Shield verlassen haben. Nachdem der Gerichtshof der Europäischen Union im Oktober 2015 bereits Safe Harbor gekippt hatte, kippte er am 16.07.2020 auch den Nachfolger, den EU-US-Privacy Shield. Die Unternehmen müssen nun schnellstmöglich die EU-Standardvertragsklauseln in ihre Verträge übernehmen und darüber hinaus zusätzliche Maßnahmen ergreifen. Allein auf die Standardvertragsklauseln zu setzen, reicht nach dem EuGH-Urteil grundsätzlich nicht mehr aus.

Christian SolmeckeRechtsanwalt und Partner bei WILDE BEUGER SOLMECKE

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

  • AUG 2020

    EuGH kippt Privacy-Shield |EU-Standardvertragsklauseln dagegen gültig |DSK äußert sich | Bußgelder gegen deutsche Unternehmen möglich

    Der EuGH hat heute den Beschluss der EU-Kommission zum EU-US-Privacy-Shield gekippt. Die Begründung: Bei der Übermittlung von personenbezogenen Daten in die USA könne dieser nach EU-Recht kein angemessenes Datenschutzniveau gewährleisten. Die amerikanischen Behörden hätten zu weitreichende Befugnisse, um auf die übermittelten personenbezogenen Daten zuzugreifen.
    Konkret prüfte der EuGH die Vereinbarkeit des Privacy-Shield-Beschlusses mit der DSGVO, die im Lichte der EU-Grundrechtecharta auszulegen ist. Im Besonderen ging es um die Unionsgrundrechte auf Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Schutz. In dem Privacy-Shield-Beschluss wird den Erfordernissen der nationalen Sicherheit in den USA Vorrang gegenüber diesen Grundrechten eingeräumt. So dürfen zum Beispiel Überwachungsprogramme der amerikanischen Behörden auf die von EU-Bürgern übermittelten personenbezogenen Daten zugreifen. Die Regelungen im Privacy-Shield-Beschluss zu den Befugnissen der amerikanischen Behörden sind nach Meinung des EuGH jedoch unzureichend und entsprechen nicht den Anforderungen des Unionsrechts. Die Eingriffe der Behörden in die Grundrechte der betroffenen Unionsbürger seien unverhältnismäßig, denn die Überwachungsprogramme der US-Behörden seien nicht „auf das zwingend erforderliche Maß beschränkt“. Außerdem treffe der Beschluss auch keine Vorkehrungen, damit die betroffenen EU-Bürger ihre Recht gegenüber den amerikanischen Behörden effektiv gerichtlich durchsetzen können.  

    Den Beschluss 2010/87  über die EU-Standardvertragsklauseln, auf die Facebook sich bei der Datenübermittlung beruft, hielt der Gerichtshof dagegen für gültig. Facebook USA hat Facebook Irland bezüglich der Datenübermittlung vertraglich bescheinigt, dass in den USA ein Datenschutzniveau nach EU-Maßstäben eingehalten wird. Dabei wurden die EU-Standardvertragsklauseln in den Vertrag einbezogen. Laut EuGH sind die Datenschutzbehörden der Mitgliedstaaten in der Pflicht, „eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn die Standardvertragsklauseln in dem Drittland nicht eingehalten werden.“ Ausschlaggebend für die Gültigkeit des Beschlusses 2010/87 sei nämlich, dass dieser wirksame Mechanismen vorsehe, durch die das im Unionsrecht verlangte Datenschutzniveau eingehalten werde. Im Einzelfall müssten die Vertragsparteien bei einer Datenübermittlung sowie auch die Datenschutzbehörden also prüfen, ob das betreffende Schutzniveau im Drittland eingehalten werde.  Im Falle von Facebook ist die irische Datenschutzbehörde in der Pflicht, den Datenfluss von Facebook-Nutzerdaten in die USA auszusetzen oder zu verbieten, wenn die Klauseln nicht eingehalten werden.

    DSK äußert sich

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sieht mit diesem Urteil die Datenschutzgrundrechte der Bürger und Bürgerinnen in der Europäischen Union gestärkt. Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

    1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein
    Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.

    2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.

    3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.

    4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.

    5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

    Nach dem Urteil des EuGH hat sich auch der Europäische Datenschutzausschuss nach einer ersten Stellungnahme in seiner Sitzung am 23. Juli 2020 zentrale Fragen und Antworten (FAQ) zur
    Umsetzung des Urteils veröffentlicht.

    Der englische Text der FAQ ist auf der Webseite des Europäischen Datenschutzausschusses unter dem folgenden Link zu finden:

    https://edpb.europa.eu/news/news/2020/europeandata-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_de

    Bußgelder für deutsche Unternehmen möglich

    Der baden-württembergische Datenschutzbeauftragte hält, nachdem das EU-US Privacy Shield gekippt wurde, Bußgelder gegen deutsche Unternehmen für möglich. Die Aufsichtsbehörden versuchten derzeit, einen Ausweg aus einer “nahezu unlösbaren Situation” zu finden, sagte der Datenschutzbeauftragte im Interview. Gelinge dies nicht, müsse jedes Unternehmen geprüft werden und mit einem Bußgeld rechnen.

    Vor diesem Hintergrund ist es für Unternehmen ungemein wichtig, sich rechtlichen Rat einzuholen. Unsere Datenschutzexperten stehen Ihnen hierfür gerne jederzeit zur Verfügung.

  • DEZ 2019

    Generalanwalt hält Beschluss über Standardvertragsklauseln für rechtmäßig – Über das Privacy Shield müsse nicht geurteilt werden”

    Am 19.12. sind die Schlussanträge des EuGH-Generalanwalts veröffentlicht worden. Nach Auffassung des EuGH-Generalanwalts ist der Beschluss 2010/87/EU, mit dem die EU-Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern festgelegt hat, rechtmäßig. Die von Facebook verwendeten Standardvertragsklauseln, die als Grundlage für den Datenaustausch zwischen der irischen Niederlassung Facebooks (Auftragsdatenverarbeitungsgeber) und Facebook USA (Auftragsdatengeber) dienen, seien daher rechtlich nicht zu beanstanden. Auf Grundlage der verwendeten Standardvertragsklauseln jedenfalls könne Facebook ein Datentransfer aus der EU in die USA nicht untersagt werden.

    Der EuGH-Generalanwalt hält es für das Verfahren zudem für nicht erforderlich, dass der EuGH über die Gültigkeit des EU-US Privacy Shields entscheide, da der Rechtsstreit nur den Beschluss 2010/87/EU betreffe.


Zum bisherigen Verfahrensgang

Nach den Snowden-Enthüllungen und dem NSA-Skandal im Jahr 2013 hatte der damalige Student Schrems die Übermittlung seiner personenbezogenen Daten durch Facebook in die USA bei der irischen Datenschutzaufsichtsbehörde angeprangert. Seiner Auffassung nach verletze ihn die Datenübermittlung in die USA in seinen Grundrechten. Die irische Behörde jedoch wies den Fall ab. Der EuGH kippe 2015 das Safe-Harbor Abkommen. Das Urteil war seinerzeit ein Paukenschlag. Damit konnten Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA nicht mehr auf „Safe-Harbor“ gestützt werden.

Seit 2016 bildet nunmehr der Nachfolger, das EU-US Privacy Shield, die Grundlage für den Datenverkehr. Das EU-US Privacy Shield dient dazu, DSGVO-konform personenbezogene Daten europäischer Bürger an US-Unternehmen zu übermitteln. Allerdings handelt es sich dabei um einen Selbstzertifizierungsmechanismus. US-Unternehmen, die teilnehmen wollen, gehen vereinfacht gesagt die Selbstverpflichtung ein, dass sie bestimmte Datenschutz-Prinzipien befolgen und Betroffenen Rechte gewähren werden. So soll ein ausreichender Schutz für EU-Daten sichergestellt werden. Das EU-US Privacy Shield kann insofern als eine Art Gütesiegel für Unternehmen verstanden werden, welche sowohl in Europa als auch z.B. in den USA tätig sind. Unternehmen, die sich nicht dem Privacy Shield unterworfen haben, nutzen so genannte Standardvertragsklauseln, die von der EU herausgegeben worden sind, um Daten in die USA vermeitlich rechtswirksam zu übertragen. Gegen beide Rechtskonstrukte wendet sich Schrems in seinem aktuellen EuGH Verfahren. Er befürchtet, dass die Daten der EU Bürger in den USA nicht sicher sind.

2018 hatte bereits der irische High Court daher dem EuGH im Wege eines Vorabentscheidungsverfahren eine ganze Reihe von Fragen zur Sicherheit der Daten von EU-Bürgern in den USA vorgelegt. Zu diesen wird nun am Donnerstag der EuGH-Generalanwalt Stellung beziehen. Die Schlussanträge sind auch deshalb mit Spannung zu erwarten, da sich der EuGH diesen regelmäßig anschließt und ihnen insofern erhebliches Gewicht zukommt.

Einschätzung von Christian Solmecke

„Die Beantwortung der Fragen kann weitreichende Konsequenzen haben – und zwar für jedes Unternehmen welches mit EU-Daten umgeht und nicht ausschließlich auf eine eigene interne Infrastruktur zugreift. Gut möglich, dass wir nach einem Urteil über die Übermittlung von Daten in Drittstaaten, insbesondere in die USA, grundlegend neu nachdenken müssen. Denn sollte der EuGH zu dem Ergebnis gelangen, dass derzeit weder das EU-US Privacy Shield noch die sog. Standardvertragsklauseln (Model Clauses) personenbezogene Daten aus der EU hinreichend schützen, bedarf es grundsätzlicher Änderung. Dem EU-US Privacy Shield könnte somit dasselbe Schicksal wie seinerzeit „Safe Harbor“ drohen. Schließlich leidet das Privacy Shield meiner Ansicht nach weiterhin an nahezu identischen Schwachstellen wie der bereits gekippte „Safe Harbor“. Entscheidet der EuGH, dass EU-Datenschutzrecht und US-Recht unvereinbar sind, dann muss er konsequenterweise sowohl das EU-US-Privacy Shield als auch die Model Clauses kippen und für ungültig erklären.

Unternehmen müssten dann einen Datentransfer in die USA entweder erneut auf eine andere Basis stellen oder es muss sogar – zumindest vorübergehend – ganz auf einen Datentransfer in die USA verzichtet werden. Da heute nahezu jedes Unternehmen Kundendaten in ein Drittland transferiert, wären diese Datentransfers auf einen Schlag rechtswidrig. Führt man sich vor Augen, dass gemäß Art. 83 DSGVO bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs drohen, hat der Ausgang des Verfahrens einen enormen Stellenwert.“ 

Christian SolmeckeRechtsanwalt und Partner bei WILDE BEUGER SOLMECKE