Schutzlos trotz Schutzschild! Privacy Shield - Schrems II (facebook)
Gespeichert von Prof. Dr. Katrin Blasek, LL.M. am
Von vergleichbaren Schutzniveaus, geeigneten Garantien, privacy shield und anderen interessanten Feststellungen – Schrems II
In seinem Urteil (C‑311/18) v. 16.07.2020 hat der EuGH einige interessante Ausführungen zu dem in der EU nicht vergleichbaren Datenschutzniveau in den USA und den damit verbundenen Pflichten der Verantwortlichen, Auftragsverarbeiter und Datenschutzbehörden bzgl. der Übermittlung von Daten in die USA gemacht. Im Zusammenhang damit stehen einige interessante Ausführungen zum Anwendungsbereich der DSGVO, zum Verhältnis nationalen und EU-Recht (Solange-Rechtsprechung des BVerfG und des EZB-Entscheidung lassen grüßen!?) und zur Rechtsstaatlichkeit. Auch die Bindung der EU-Datenschutzbehörden sowie Drittland-Behörden an die Standarddatenschutzklauseln der Kommission wird beleuchtet.
Das Urteil ist hier abrufbar: http://curia.europa.eu/juris/document/document.jsf?text=schrems&docid=22...
(((Aktualisierung: Wenige Tage nach diesem Blog-Beitrag hat EDPB (European Data Protection Board) als Reaktion zu Schrems II folgende FAQs erlassen, auf die ich hier momentan nur unkommentiert hinweisen kann: https://edpb.europa.eu/news/news/2020/european-data-protection-board-pub...)))
Sachverhalt zur EuGH-Entscheidung:
Alle im Unionsgebiet wohnhaften Personen (Betroffene), die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland (Verantwortlicher in der EU) abschließen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc. (Empfänger), die sich in den Vereinigten Staaten (Drittland) befinden, übermittelt und dort verarbeitet. Wesentlich ist, dass der betroffene Nutzer Schrems im Jahre 2013 die irische Datenschutzbehörde aufforderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Dabei machte er geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. In der Folge war der High Court Irlands mit der Sache befasst, der diese dann wiederum dem EuGH mit 11 Fragen vorlegte.
Bzgl. der weiteren komplizierten Sachverhaltsdetails, die durchaus für den Umfang des Prüfmandats des EuGH interessant sind, verweise ich auf das Urteil!
Zur (Un)Gültigkeit des sogenannten „Privacy Shields“-Angemessenheitsbeschlusses der EU-Kommission:
Der EuGH bestätigt die Bedenken der Kritiker, die kein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten in den USA basierend auf den Privacy Shield-Grundsätzen sehen. Insbesondere der fehlende Zugang Betroffener zu unabhängigen Gerichten, die fehlende Verhältnismäßigkeit staatlicher Eingriffe in die Privatsphäre der Betroffenen in den USA lässt auch den EuGH an der Vergleichbarkeit des Datenschutzniveaus in den USA und der Europäischen Union und damit am Vorhandensein eines angemessenen Schutzniveaus zweifeln.
So sehen die Privacy Shield-Grundsätze ausnahmsweise vor, dass die Empfänger (in den USA) personenbezogener Daten „ohne jede Einschränkung verpflichtet sind diese Grundsätze unangewendet zu lassen, wenn sie in Widerstreit zu (den) Erfordernissen der nationalen Sicherheit des öffentlichen Interesses oder der Durchführung von Gesetzen stehen und sich deshalb als mit Ihnen unvereinbar erweisen.“ (Rdn. 164). Diese Ausnahme betrifft Eingriffe amerikanischer Behörden auf die in die USA übermittelten personenbezogenen Daten im Rahmen verschiedener Überwachungsprogramme (z.B. PRISM, UPSTREAM, etc., Rdn. 165 f.). Die den Eingriffen zugrundeliegenden Rechtsgrundlagen stellen jedoch nicht sicher, dass das der „Eingriff auf das absolut Notwendige beschränkt wird“ (Rdn. 176 sowie zu den Einzelheiten Rdn. 179, 180, 183, 184), was „umso bedeutsamer ist, wenn personenbezogene Daten automatisch verarbeitet werden.“ (Rdn. 176).
Hinzu kommt, dass den betroffenen Personen bei verschiedene Überwachungsmaßnahmen der amerikanischen Behörden keine Rechte zustehen bzw. solche Maßnahmen nicht gerichtlich überprüfbar sind. (Rdn. 181, 183). Dies widerspricht nicht nur Art. 45 Absatz 2a der DSGVO sondern auch Art. 47 GRCh (auch zum Wesen eines Rechtsstaats Rdn. 187). Hieran ändere auch der Ombudsmann-Mechanismus nichts. Denn der Ombudsmann solle zwar von Nachrichtendiensten unabhängig agieren, sei aber unmittelbar dem Außenminister unterstellt, werde von diesem ernannt, wobei jeder Hinweis fehle, dass ihre Abberufung oder der Widerruf ihrer Ernennung mit besonderen Garantien versehen werde, was Zweifel daran weckt, ob sie von der Exekutive unabhängig ist. (Rdn. 193, 195) Es fehle zudem jeder Hinweis, dass die Ombudsperson gegenüber Nachrichtendiensten verbindlichen Entscheidungen treffen könne. Auch enthält Privacy-Shield keine Rechtsschutz-Garantien für den Betroffenen, die denen von Art. 47 GRCh gleichwertig wären. (Rdn. 196, 197)
Angemessenheitsbeschluss ab sofort komplett ungültig!
Der Angemessenheitsbeschluss nebst aller Anhänge ist daher mangels eines angemessenen Schutzniveaus in den USA ab sofort ungültig. Mangels eines rechtlichen Vakuums für die Übermittlung personenbezogener Daten in Drittstaaten (in Anbetracht von Art. 49 DSGVO) muss der Beschluss in seinen Wirkungen auch nicht aufrechterhalten werden (Rdn. 199, 200, 202).
Facebook müsste also den Datentransfer in die USA stoppen!
Was müssen/können Aufsichtsbehörden tun, wenn sie den Beschluss für rechtswidrig halten!
Bleibt noch darauf hinzuweisen, dass Aufsichtsbehörden bei Vorliegen eines Angemessenheitsbeschlusses eine Übermittlung, nicht mit der Begründung aussetzen oder verbieten dürfen das die Rechtsvorschriften im Drittland kein angemessenes Schutzniveau gewährleisten (Rdn. 157). Allerdings müsse die zuständige Aufsichtsbehörde in voller Unabhängigkeit prüfen, ob bei der Übermittlung die in der DS GVO aufgestellten Anforderungen gewahrt werden und gegebenenfalls Klage vor den nationalen Richtgerichten erheben, damit dieser den EuGH um Vorabentscheidung über die Gültigkeit ersucht. (Rdn. 156, 157)
Rolle von Aufsichtsbehörden, Drittland-Behörden, Verantwortlichen und Auftragsverarbeitern bei Verwendung von Standarddatenschutzklauseln?
Für den Datentransfer in Drittländer hat die europäische Kommission verschiedene „Muster“-Standard- Datenschutzklauseln (SDK) erlassen, die den Verantwortlichen (Facebook) oder deren Auftragsverarbeitern eine Hilfestellung sein sollen. (hier abrufbar: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087). SDK ist ein Vehicle (geeignete Garantie), mit dem man mangels Angemessenheitsbeschluss die Datenübermittlung in Drittländer bewerkstelligen kann, wenn zu dieser Garantie noch die in Art. 46 Abs. 1 DSGVO genannten Rechte und wirksame Rechtsbehelfe der Betroffenen (also z.B. Herr Schrems) hinzukommen.
Da Behörden eines Drittlands nicht Vertragsparteien der SDK sind, sind sie bei Eingriffen in die Rechte der Betroffenen auch nicht bindend. (Rdn. 125, 126). Dies führt jedoch nicht dazu, dass der dem Erlass der SdK zugrundeliegende Beschluss der Kommission unwirksam ist. Seine Gültigkeit hängt vielmehr davon ab, ob er wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird oder das auf den Klauseln der SDK gestützte Übermittlungen ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. (Rdn. 137 sowie 139 ff. zu den Mechanismen des SDK-Beschlusses). Zu diesen Mechanismen gehört unter anderem, dass die zuständige Aufsichtsbehörde nicht daran gehindert ist eine auf die SdK gestützt Übermittlung auszusetzen oder zu verbieten. Die DSGVO enthält zudem Regeln, wonach divergierende Entscheidungen von Aufsichtsbehörden unterschiedlicher Mitgliedstaaten verbindlich auflöst werden können. (Rdn. 146, 147).
Der EuGH nimmt auch den Verantwortlichen (Facebook) bzw. den Auftragsverarbeiter in die Pflicht: der in Art. 46 Absatz 2C DS GVO vorgesehene vertragliche Mechanismus beruhe auf dem Verantwortungsbewusstsein des in der Union ansässigen Verantwortlichen bzw. seines dort ansässigen Auftragsverarbeiters. Diese müssten in jedem Einzelfall prüfen, ob das Recht des Drittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz gewährleistet und erforderlichenfalls mehr Garantien als die durch die Klauseln gebotenen, gewähren. Kann ein vergleichbares Schutzniveau nicht gewährleistet werden, so sei der Verantwortliche oder sein Auftragsverarbeiter verpflichtet die Übermittlung auszusetzen und zu beenden. Dies ist insbesondere dann der Fall, wenn das Recht des Drittlands dem Empfänger Verpflichtungen auferlegt, die den genannten Klauseln widersprechen und daher geeignet sind, die vertragliche Garantie zu untergraben, dass ein angemessener Schutz vor dem Zugang der Behörden des Drittlands zu den Daten besteht (Rdn. 134, 135).
Verhältnis Unionsrecht - nationales Recht:
Der High Court ersuchte den EuGH zudem um Auskunft darüber ob die das gleichwertige Schutzniveau anhand des Unionsrechts, insbesondere der Grundrechtecharta und oder anhand der EMRK oder anhand des nationalen Rechts der Mitgliedstaaten zu bestimmen sei. Die Frage beantwortete der EuGH dahingehend, dass das nach Art. 46 Abs. 1 DSGVO erforderliche Niveau des Grundrechtsschutzes auf der Grundlage der Bestimmungen dieser Verordnung im Lichte der durch die Grundrechte Charta verbürgten Grundrechte zu ermitteln sei (Rdn. 101).
Im Hinblick auf die Solange-Rechtsprechung des BVerfG und möglicherweise auch seinen kürzlich ergangenen, seitens der EU kritisch gesehenen EZB-Beschluss ist auf folgenden Passus des Urteils hinzuweisen: „Im Übrigen entspricht es ständiger Rechtsprechung, dass die Gültigkeit unionsrechtlicher Bestimmungen und ihre Auslegung nicht anhand des nationalen Rechts zu beurteilen sind, selbst wenn es im Verfassungsrang steht, insbesondere nicht anhand der Grundrechte wie sie in den nationalen Verfassungen der Mitgliedstaaten ausgestaltet sind.“(Rdn. 100)