Schutzlos trotz Schutzschild! Privacy Shield - Schrems II (facebook)

von Prof. Dr. Katrin Blasek, LL.M., veröffentlicht am 23.07.2020

Von vergleichbaren Schutzniveaus, geeigneten Garantien, privacy shield und anderen interessanten Feststellungen – Schrems II

In seinem Urteil (C‑311/18) v. 16.07.2020 hat der EuGH einige interessante Ausführungen zu dem in der EU nicht vergleichbaren Datenschutzniveau in den USA und den damit verbundenen Pflichten der Verantwortlichen, Auftragsverarbeiter und Datenschutzbehörden bzgl. der Übermittlung von Daten in die USA gemacht. Im Zusammenhang damit stehen einige interessante Ausführungen zum Anwendungsbereich der DSGVO, zum Verhältnis nationalen und EU-Recht (Solange-Rechtsprechung des BVerfG und des EZB-Entscheidung lassen grüßen!?) und zur Rechtsstaatlichkeit. Auch die Bindung der EU-Datenschutzbehörden sowie Drittland-Behörden an die Standarddatenschutzklauseln der Kommission wird beleuchtet.

Das Urteil ist hier abrufbar: http://curia.europa.eu/juris/document/document.jsf?text=schrems&docid=22...

(((Aktualisierung: Wenige Tage nach diesem Blog-Beitrag hat EDPB (European Data Protection Board) als Reaktion zu Schrems II folgende FAQs erlassen, auf die ich hier momentan nur unkommentiert hinweisen kann: https://edpb.europa.eu/news/news/2020/european-data-protection-board-pub...)))

Sachverhalt zur EuGH-Entscheidung:

Alle im Unionsgebiet wohnhaften Personen (Betroffene), die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland (Verantwortlicher in der EU) abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc. (Empfänger), die sich in den Vereinigten Staaten (Drittland) befinden, übermittelt und dort verarbeitet. Wesentlich ist, dass der betroffene Nutzer Schrems im Jahre 2013 die irische Datenschutzbehörde aufforderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Dabei machte er geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. In der Folge war der High Court Irlands mit der Sache befasst, der diese dann wiederum dem EuGH mit 11 Fragen vorlegte.

Bzgl. der weiteren komplizierten Sachverhaltsdetails, die durchaus für den Umfang des Prüfmandats des EuGH interessant sind, verweise ich auf das Urteil!

Zur (Un)Gültigkeit des sogenannten „Privacy Shields“-Angemessenheitsbeschlusses der EU-Kommission:

Der EuGH bestätigt die Bedenken der Kritiker, die kein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten in den USA basierend auf den Privacy Shield-Grundsätzen sehen. Insbesondere der fehlende Zugang Betroffener zu unabhängigen Gerichten, die fehlende Verhältnismäßigkeit staatlicher Eingriffe in die Privatsphäre der Betroffenen in den USA lässt auch den EuGH an der Vergleichbarkeit des Datenschutzniveaus in den USA und der Europäischen Union und damit am Vorhandensein eines angemessenen Schutzniveaus zweifeln.  

So sehen die Privacy Shield-Grundsätze ausnahmsweise vor, dass die Empfänger (in den USA) personenbezogener Daten „ohne jede Einschränkung verpflichtet sind diese Grundsätze unangewendet zu lassen, wenn sie in Widerstreit zu (den) Erfordernissen der nationalen Sicherheit des öffentlichen Interesses oder der Durchführung von Gesetzen stehen und sich deshalb als mit Ihnen unvereinbar erweisen.“ (Rdn. 164). Diese Ausnahme betrifft Eingriffe amerikanischer Behörden auf die in die USA übermittelten personenbezogenen Daten im Rahmen verschiedener Überwachungsprogramme (z.B. PRISM, UPSTREAM, etc., Rdn. 165 f.). Die den Eingriffen zugrundeliegenden Rechtsgrundlagen stellen jedoch nicht sicher, dass das der „Eingriff auf das absolut Notwendige beschränkt wird“ (Rdn. 176 sowie zu den Einzelheiten Rdn. 179, 180, 183, 184), was „umso bedeutsamer ist, wenn personenbezogene Daten automatisch verarbeitet werden.“ (Rdn. 176).  

Hinzu kommt, dass den betroffenen Personen bei verschiedene Überwachungsmaßnahmen der amerikanischen Behörden keine Rechte zustehen bzw. solche Maßnahmen nicht gerichtlich überprüfbar sind. (Rdn. 181, 183). Dies widerspricht nicht nur Art. 45 Absatz 2a der DSGVO sondern auch Art. 47 GRCh (auch zum Wesen eines Rechtsstaats Rdn. 187). Hieran ändere auch der Ombudsmann-Mechanismus nichts. Denn der Ombudsmann solle zwar von Nachrichtendiensten unabhängig agieren, sei aber unmittelbar dem Außenminister unterstellt, werde von diesem ernannt, wobei jeder Hinweis fehle, dass ihre Abberufung oder der Widerruf ihrer Ernennung mit besonderen Garantien versehen werde, was Zweifel daran weckt, ob sie von der Exekutive unabhängig ist. (Rdn. 193, 195) Es fehle zudem jeder Hinweis, dass die Ombudsperson gegenüber Nachrichtendiensten verbindlichen Entscheidungen treffen könne. Auch enthält Privacy-Shield keine Rechtsschutz-Garantien für den Betroffenen, die denen von Art. 47 GRCh gleichwertig wären. (Rdn. 196, 197)

Angemessenheitsbeschluss ab sofort komplett ungültig!

Der Angemessenheitsbeschluss nebst aller Anhänge ist daher mangels eines angemessenen Schutzniveaus in den USA ab sofort ungültig. Mangels eines rechtlichen Vakuums für die Übermittlung personenbezogener Daten in Drittstaaten (in Anbetracht von Art. 49 DSGVO) muss der Beschluss in seinen Wirkungen auch nicht aufrechterhalten werden (Rdn. 199, 200, 202).

Facebook müsste also den Datentransfer in die USA stoppen!

Was müssen/können Aufsichtsbehörden tun, wenn sie den Beschluss für rechtswidrig halten!

Bleibt noch darauf hinzuweisen, dass Aufsichtsbehörden bei Vorliegen eines Angemessenheitsbeschlusses eine Übermittlung, nicht mit der Begründung aussetzen oder verbieten dürfen das die Rechtsvorschriften im Drittland kein angemessenes Schutzniveau gewährleisten (Rdn. 157). Allerdings müsse die zuständige Aufsichtsbehörde in voller Unabhängigkeit prüfen, ob bei der Übermittlung die in der DS GVO aufgestellten Anforderungen gewahrt werden und gegebenenfalls Klage vor den nationalen Richtgerichten erheben, damit dieser den EuGH um Vorabentscheidung über die Gültigkeit ersucht. (Rdn. 156, 157)  

Rolle von Aufsichtsbehörden, Drittland-Behörden, Verantwortlichen und Auftragsverarbeitern bei Verwendung von Standarddatenschutzklauseln?

Für den Datentransfer in Drittländer hat die europäische Kommission verschiedene „Muster“-Standard- Datenschutzklauseln (SDK) erlassen, die den Verantwortlichen (Facebook) oder deren Auftragsverarbeitern eine Hilfestellung sein sollen. (hier abrufbar: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087). SDK ist ein Vehicle (geeignete Garantie), mit dem man mangels Angemessenheitsbeschluss die Datenübermittlung in Drittländer bewerkstelligen kann, wenn zu dieser Garantie noch die in Art. 46 Abs. 1 DSGVO genannten Rechte und wirksame Rechtsbehelfe der Betroffenen (also z.B. Herr Schrems) hinzukommen.

Da Behörden eines Drittlands nicht Vertragsparteien der SDK sind, sind sie bei Eingriffen in die Rechte der Betroffenen auch nicht bindend. (Rdn. 125, 126). Dies führt jedoch nicht dazu, dass der dem Erlass der SdK zugrundeliegende Beschluss der Kommission unwirksam ist. Seine Gültigkeit hängt vielmehr davon ab, ob er wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird oder das auf den Klauseln der SDK gestützte Übermittlungen ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. (Rdn. 137 sowie 139 ff. zu den Mechanismen des SDK-Beschlusses). Zu diesen Mechanismen gehört unter anderem, dass die zuständige Aufsichtsbehörde nicht daran gehindert ist eine auf die SdK gestützt Übermittlung auszusetzen oder zu verbieten. Die DSGVO enthält zudem Regeln, wonach divergierende Entscheidungen von Aufsichtsbehörden unterschiedlicher Mitgliedstaaten verbindlich auflöst werden können. (Rdn. 146, 147).

Der EuGH nimmt auch den Verantwortlichen (Facebook) bzw. den Auftragsverarbeiter in die Pflicht: der in Art. 46 Absatz 2C DS GVO vorgesehene vertragliche Mechanismus beruhe auf dem Verantwortungsbewusstsein des in der Union ansässigen Verantwortlichen bzw. seines dort ansässigen Auftragsverarbeiters. Diese müssten in jedem Einzelfall prüfen, ob das Recht des Drittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz gewährleistet und erforderlichenfalls mehr Garantien als die durch die Klauseln gebotenen, gewähren. Kann ein vergleichbares Schutzniveau nicht gewährleistet werden, so sei der Verantwortliche oder sein Auftragsverarbeiter verpflichtet die Übermittlung auszusetzen und zu beenden. Dies ist insbesondere dann der Fall, wenn das Recht des Drittlands dem Empfänger Verpflichtungen auferlegt, die den genannten Klauseln widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben, dass ein angemessener Schutz vor dem Zugang der Behörden des Drittlands zu den Daten besteht (Rdn. 134, 135).

Verhältnis Unionsrecht - nationales Recht:

Der High Court ersuchte den EuGH zudem um Auskunft darüber ob die das gleichwertige Schutzniveau anhand des Unionsrechts, insbesondere der Grundrechtecharta und oder anhand der EMRK oder anhand des nationalen Rechts der Mitgliedstaaten zu bestimmen sei. Die Frage beantwortete der EuGH dahingehend, dass das nach Art. 46 Abs. 1 DSGVO erforderliche Niveau des Grundrechtsschutzes auf der Grundlage der Bestimmungen dieser Verordnung im Lichte der durch die Grundrechte Charta verbürgten Grundrechte zu ermitteln sei (Rdn. 101).

Im Hinblick auf die Solange-Rechtsprechung des BVerfG und möglicherweise auch seinen kürzlich ergangenen, seitens der EU kritisch gesehenen EZB-Beschluss ist auf folgenden Passus des Urteils hinzuweisen: „Im Übrigen entspricht es ständiger Rechtsprechung, dass die Gültigkeit unionsrechtlicher Bestimmungen und ihre Auslegung nicht anhand des nationalen Rechts zu beurteilen sind, selbst wenn es im Verfassungsrang steht, insbesondere nicht anhand der Grundrechte wie sie in den nationalen Verfassungen der Mitgliedstaaten ausgestaltet sind.“(Rdn. 100)

 

 

 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

9 Kommentare

Kommentare als Feed abonnieren

Eine interessante Folgerung,: Facebook müsste also seinen Datentransfer aus Europa in die USA eigentlich einstellen. Warum " müsste" ?

Würde man damit ernst machen, was höchstwahrscheinlich nie passieren wird, dann müsste Facebook seinen Betrieb in Europa beenden und auf eine völlig neue Grundlage stellen, wenn man denn wie gewohnt weitermachen möchte. Bisher wurden, primär wohl aus steuerlichen Gründen, die die entscheidende Rolle gespielt haben dürften, die Nutzerverträge mit der irischen Tochter von Facebook abgeschlossen. Vielleicht wird als Ersatz eine Dependance in Las Vegas gegründet. Die Besteuerung wäre attraktiv, und man könnte Serverkosten sparen.

Das Euoparecht ist aber in weiten Teilen eher eine freundlich gemeinte Absichtserklärung als faktisch durchsetzbares Recht. Aus dem EU - Stabilitätspakt wurde eine Schulden - Union,, betrieben von gehetzten permanent Krisengeschüttelten ... womöglich müssen hier und da mit Bleistift und Notizblock bewaffnete Beamte ohne Budget die DSGVO durchsetzen.

Man sollte sich also nicht zu sehr über das EuGH -Urteil aufregen.

Die Feststellung, dass das Datenschutzniveau der USA deutlich unter dem Europas liegt, dürfte anzweifelbar sein. So ist etwa der BND lange Zeit als faktischer Gehilfe der NSA aufgetreten. Bei dieser durchaus dienenden Tätigkeit wurde unter anderem die EU-Kommission abgehört, sowie zahlreiche Beamte in Frankreich. Es wurde bekannt, dass die NSA etwa acht Millionen IP - Adressen geliefert hatte, welche der Bundesnachrichtendienst in seine strategische Überwachung einbeziehen sollte. Eine Überprüfung der Abhörmaßnahmen durch den Bundesnachrichtendienstes ist nie erfolgt. Die so abgehörte EU-Kommission bescheinigte dann den USA, ein angemessenes Schutzniveau zu haben.

Sicher sind die Datensammlungen von Facebook bzw. deren Nutzung der Traum eines jeden Polizei -Bürokraten. Faktisch dürfte aber nicht erforderlich sein, diese von den Facebook-Servern in den USA abzurufen.

Wie anhand des obigen Beispiels sehr kurz angedeutet, ist es relativ einfach, diese Daten in Europa direkt zu beziehen.

Man kann aber durchaus gespannt sein, welche Auswirkungen das gesprochene Urteil haben wird.

0

Kann nicht einfach der Anbieter wie facebook etwas rumbelehren, und dann Privatauronomie herrschen: Ja. einverstanden, ich will mitmachen.

0

""Facebook müsste also den Datentransfer in die USA stoppen!" 

 Falsch. FB hat auch Standard Contractual Clauses (SCC) eingezogen. Wie die meisten anderen großen Unternehmen.  Maßnahmen der Aufsichtsbehörden sind anfechtbar. Argumente z.B. aufgrund Art. 3 GG sind erfolgversprechend.  Im Moment laufen die Datenexporteure wie aufgeschreckte Hühner herum, was sie denn jetzt zusätzlich zu den SCC mit den US Unternehmen machen müssen. Wo sind die Handreichungen der Aufsichtsbehörden?

0

Stimmt. Und der Satz "Der EuGH nimmt auch den Verantwortlichen (Facebook) bzw. den Auftragsverarbeiter in die Pflicht..," ist zumindest missverständlich. Das EuGH-Urteil richtet sich NUR an die Datenexporteure und die Aufsichtsbehörden. Was sollen denn genau die US Unternehmen bescheinigen? Dass sie nicht überwacht werden? Das wird doch kein Unternehmen auf der Welt machen.

0

Ein Denkanstoß: was für den Datenexport durch Facebook gilt, müsste dann eigentlich auch in mehr oder weniger gleichem Umfang relevant sein für Google, Apple oder Amazon. Oder, oder, oder...fast haette ich Microsoft vergessen.

Wie auch immer, auf den Börsenkurs von Facebook scheint das besprochene Urteil keinerlei Einfluss gehabt zu haben.

0

Gute Beobachtung. Das Schlimme ist: Unter dem Privacy Shield sind 5000 meist kleine und mittelgroße Unternehmen registiert. Und die sollen jetzt Auskunft geben, wie sie sich gegen Überwachungen schützen und wer sie überwacht. Den Schwarzen Peter haben die Datenexporteure. Facebook zieht Standard Clauses von 2001, 2004 oder 2010 (!) z.B. von Irland aus mit einer allgemeinen Zusatzerklärung ein (etwa "..wir wehren uns natürlich gegen Überwachungsmaßnahmen...") und ist nicht auf den Privacy Shield angewiesen. Dazu sagt Frau Blasek keinen Pieps in ihrer Darstellung.

0

Die LTO-Presseschau:

EuGH zu Privacy Shield: Im Interview mit der taz (Christian Rath) kritisiert der baden-württembergische Datenschutzbeauftragte Stefan Brink die Entscheidung des Europäischen Gerichtshofs zum EU-USA-Datenschutzabkommen Privacy Shield, weil keine klare Aussage zu den von vielen Unternehmen genutzten Standarddatenschutzklauseln getroffen worden sei. Diese seien ebenfalls in der Regel ungeeignet, um einen Datentransfer in die USA zu ermöglichen, weil amerikanische Unternehmen die Daten nicht wirksam gegen den Zugriff von Geheimdiensten schützen könnten. Wenn sich der europäische Datenschutz jetzt zum Wettbewerbsvorteil für europäische Unternehmen entwickele, sei das zwar nicht beabsichtigt, aber "umso besser".

Die NJW-Vorschau:

In der vorvergangenen Woche hat der EuGH das „Privacy Shield“ gekippt. Dabei handelt es sich um das Abkommen zwischen der EU und den USA über den transatlantischen Datentransfer. Die Entscheidung aus Luxemburg lässt nur wenig Spielraum für einen legalen Datenaustausch über den Atlantik und hat dementsprechend die Wirtschaft aufgeschreckt. Einen ersten Versuch, die Rechtsunsicherheit zu beseitigen, hat der Europäische Datenschutzausschuss (EDSA) unternommen, der sich auf „Antworten zu den wichtigsten Fragen zu den Konsequenzen“ geeinigt hat. Allerdings mit der Einschränkung, dass es sich um „ein lebendes Dokument“ handele, das noch ergänzt werde. Und dem Hinweis, dass die bislang als praxistaugliche Alternative gehandelte „Standarddatenschutzklausel“ allein nicht mehr ausreicht. Nicht nur Unternehmensjuristen sind daher noch immer einigermaßen ratlos, wie sie auf das Urteil des EuGH reagieren sollen.

Die LTO-Presseschau:

EuGH zu Privacy Shield: Die Rechtsprofessorin Francesca Bignami schreibt auf Verfassungsblog (in englischer Sprache) über das kürzlich ergangene Urteil des Europäischen Gerichtshofes zum EU-USA-Datenschutzabkommen. Sie meint, bei allen Gemeinsamkeiten mit der EuGH-Entscheidung von 2015 zum Vorgängerabkommen ergehe die jetzige Entscheidung doch in einer politisch fundamental veränderten Welt. Die "Privacy Shield"-Entscheidung reagiere auf einige der politischen Entwicklungen, die zu einer unstabilen und oftmals illiberalen politischen Landschaft geführt hätten. 

Kommentar hinzufügen