Das Ende von Privacy Shield- EuGH kippt Privacy Shield Beschluss
Der EuGH hat heute mit Urteil vom 16.07.2020 den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutz (sog. Privacy Shield) für ungültig, den Beschluss über Standardvertragklauseln für gültig erklärt.
Was vielerseits bereits befürchtet wurde, ist nun eingetreten. Der EuGH hat heute im Rahmen seines Urteils zu Aktenzeichen C-311/18 (Data Protection Commissioner / Maxmilllian Schrems und Facebook Ireland) den Schutz über den sog. Privacy Shield Beschluss gekippt. Damit ist eine Datenübermittlung an Unternehmen in den Vereinigten Staaten ohne weitere Garantien wie bspw. Standardvertragsklauseln nicht mehr erlaubt. Betroffen sind damit u.a. zahlreiche Dienste US-amerikanischer Dienste wie Google und Facebook.
Die Ausgangslage:
Die Datenschutzgrundverordnung sieht vor, dass personenbezogene Daten grundsätzlich nur in ein Drittland (bspw. die USA) übermittelt werden dürfen, wenn das betreffende Land ein angemessenes Schutzniveau für die Daten gewährleistet. Dies ist grundsätzlich über Angemessenheitsbeschlüsse der EU-Kommission möglich. Liegt kein Angemessenheitsbeschluss vor, ist die Datenübermittlung nur unter engen Voraussetzungen erlaubt. Unternehmen in den USA bedienten sich bis dato der sog. Privacy Shield Zertifizierung, d.h. sie unterwarfen sich den Anforderungen des Privacy Shield Beschlusses und erwarben insoweit eine Zertifizierung, die ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten sollte.
Diese Vorgehensweise ist mit dem Urteil des EuGH nun hinfällig geworden. Datenübermittlungen allein auf Basis von Privacy Shield sind damit rechtswidrig. Es bedarf vielmehr anderweitiger Instrumentarien wie Standardvertragsklauseln.
Der Rechtsstreit:
Geklagt hatte der österreichische Staatsbürger Maximillian Schrems, der seit 2008 Nutzer von Facebook ist. Facebook Ireland übermittelt bei der Nutzung seines sozialen Netzwerkes personenbezogene Daten an Server der Facebook Inc. mit Sitz in den Vereinigten Staaten. Herr Schrems legte gegen diese Datenübermittlung bei der zuständigen irischen Aufsichtsbehörde Beschwerde ein, die darauf abzielte diese Datenübermittung in die USA zu verbieten. Nachdem Safe-Harbour gekippt wurde, formulierte Herr Schrems seine Beschwerde um und bezog diese nun auf den Privacy Shield Beschluss, der ein angemessenes Schutzniveau amerikanischer Datenverarbeitung attestieren sollte.
Im Rahmen des Urteils erklärte der EuGH nun den Privacy Shield Beschluss 2016/1250 für ungültig. Er stellt insoweit fest, dass den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechtes dem Privacy Shield Beschluss Vorrang eingeräumt werde und damit nicht mit europäischen Standards in Einklang zu bringen sei. So dürften amerikanische Behörden nach dem Recht der Vereinigten Staaten auf europäische Daten zugreifen, ohne die Anforderungen des Grundsatzes der Verhältnismäßigkeit zu achten. Damit böte Privacy Shield keine Garantien zum Schutz personenbezogener Daten.
Im Hinblick auf den Beschluss 2010/87 über Standandardvertragsklauseln erklärte der EuGH hingegen, dass keinerlei Bedenken gegen die Gültigkeit bestünden. Der Beschluss sehe wirksame Mechanismen vor, die in der Praxis die Einhaltung des Schutzniveaus gewährleisteten.
Quelle: Pressemitteilung Nr. 91/20
Konsequenz:
Unternehmen, die sich US-amerikanischer Dienste wie Google, Facebook, etc. bedienen, dürfen personenbezogene Daten von EU-Bürgern nur noch mit zusätzlichen Garantien zur Einhaltung des Datenschutzniveaus (bspw. Standardvertragsklauseln) in die USA übermitteln. Allein die Tatsache, dass ein Unternehmen Privacy Shield zertifiziert ist, genügt nicht mehr. Eine derartige Datenübermittlung ist rechtswidrig und damit auch bußgeldbewehrt.