Die Zukunft des EU-US-Privacy-Shields: Schrems vor dem EuGH - Runde 2

Die Zukunft des EU-US-Privacy-Shields: Schrems vor dem EuGH - Runde 2

Der österreichische Jurist Max Schrems steht erneut vor dem EuGH. Wieder geht es um die Einhaltung des Datenschutzes eines amerikanischen Riesenkonzerns. Am gestrigen Tag hat zu diesem Rechtsstreit, auch bekannt unter Schrems II, der EU-Generalanwalt seine Schlussanträge gestellt.

Kurz vor Weihnachten wurde es noch einmal spannend. Gestern gegen 09:45 Uhr waren alle Augen nach Luxemburg gerichtet - alle warteten gespannt auf die Schlussanträge des EU-Generalanwalts. Schlussanträge, die eine erste Richtung in Bezug auf das Datenschutzabkommen zwischen der EU und den USA vorgeben werden. Ein bindendes Urteil wird erst in einigen Wochen erwartet, doch die Schlussanträge der Generalanwälte geben bereits eine kleine Tendenz vor, zu wessen Gunsten es ausfallen wird. Entscheidet sich der EU-Generalanwalt gegen die Zulässigkeit von Standardvertragsklauseln und dem Privacy-Shield müssten zentrale Absprachen zwischen Europa und den USA neu verhandelt werden.

Aber jetzt erst einmal zurück zum Anfang. Schließlich ist der Fall seit 6,5 Jahren anhängig und dementsprechend sehr komplex. Wir möchten Ihnen mit diesem Blogbeitrag einen kleinen, verständlichen Einblick in den umfassenden Rechtsstreit und in die Schlussanträgen EU-Generalanwalts geben.

Wie alles begann...

Um zum Anfang dieses Rechtsstreites zu gelangen, müssen wir weit zurückreisen. Genauer gesagt in das Jahr 2013 zu den Enthüllungen von Whistleblower Edward Snowden und somit zum ersten großen, öffentlich bekannten Datenskandal der letzten Jahre.

Edward Snowden legte offen, dass viele amerikanische Unternehmen, darunter auch Facebook, der US-Regierung Zugang zu europäischen Benutzerdaten ermöglichen müssen. Die USA rechtfertigte dieses Verhalten damit, dass die Daten zur Aufdeckung und Abschreckung bei der Bekämpfung von sämtlichen Straftaten wie beispielsweise Terrorismus genutzt werden.

Diese Enthüllungen nahm der Datenschutzaktivist Max Schrems zum Anlass bei der irischen Datenschutzbehörde Beschwerde gegen Facebook zu erheben. Die Datenschutzbehörde wies die Beschwerde zurück und Schrems klagte vor dem EuGH und gewann (Fall C-362/14 Schrems). Der EuGH argumentierte, dass die Massenüberwachung der USA die Grundrechte der europäischen Bürger verletzt. Als Folge dessen wurde zum 06. Oktober 2015 die „Safe-Harbour“-Entscheidung, die als Rechtsgrundlage für den transatlantischen Datentransfer diente, für ungültig erklärt. Zur damaligen Zeit eine äußerst ungünstige und missliche Situation - sowohl für Unternehmen in Europa als auch in den USA. Schließlich stellt die Übermittlung personenbezogener Daten einen notwendigen und integralen Bestandteil der transatlantischen Handelsbeziehung zwischen der EU und den USA dar. Eine Lösung musste dringend gefunden werden, auf die die Datenübermittlung weiterhin gestützt werden kann. So verständigte sich die Kommission in langen Verhandlungen mit den USA auf ein neues Datenschutzschild, das EU-US-Privacy-Shield, das Mitte 2016 als neue Rechtsgrundlage genutzt werden konnte. Herr Schrems steht dem Datenschutzschild seit dessen Einführung kritisch gegenüber, da seiner Ansicht nach das Privacy Shield eine minimal behübschte Version des illegalen Safe-Harbours sei. Außerdem ist er der Meinung, dass die USA nichts an ihren Überwachungsvorschriften geändert, geschweige denn verbessert habe.

Jetzt kommt bei Ihnen sicherlich die Frage auf, wieso dieser Rechtsstreit noch nicht beendet ist, obwohl es eine neue, zulässige und von der Kommission verhandelte Rechtsgrundlage für den Datentransfer gibt?

Facebook wollte seine Datenübermittlung nach der EuGH-Entscheidung gegen das „Safe-Harbour“-Abkommen und der laut gewordenen Kritik am neuen Privacy-Shield nicht mehr auf ein Datenschutzschild stützen, sondern behauptete, dass sie nun die Rechtsgrundlage aus den Standardvertragsklauseln verwenden werden. Standardvertragsklauseln sind vertragliche Vereinbarungen zwischen EU-Datenexporteur und US-Datenimporteur, die von der Kommission allgemein anerkannt sind. Die Standardvertragsklauseln verpflichten die jeweiligen Unternehmen zum Einhalten und Umsetzen bestimmter Datenschutzvorschriften. Die Standardvertragsklauseln wurden weit vor Einführung des neuen Datenschutzgesetzes (DSGVO) von der Kommission anerkannt.

Mit Einführung der DSGVO wurden die geltenden Datenschutzbestimmungen in Europa reformiert. Die DSGVO verlangt bei einer Übermittlung personenbezogener Daten in ein Drittland wie den USA, dass das Drittland bzw. im vorliegenden Fall Facebook ein ausreichendes Schutzniveau gewährleisten muss. Dieses hohe Schutzgut steht natürlich im Widerspruch mit den Überwachungsgesetzen in den USA. Ein Grund, warum dieser Rechtsstreit immer noch nicht abgeschlossen ist.

Aktuelle Lage

Herr Schrems forderte nach dem EuGH-Urteil im Jahr 2015 die irische Datenschutzbehörde auf, Facebook die Datenübermittlung von Europa in die USA zu untersagen. Facebook hätte aufgrund der Gesetzeslage in den USA weder durch das Privacy-Shield noch durch die Standardvertragsklauseln eine zulässige Rechtsgrundlage für die Übermittlung.

Die irische Datenschutzbehörde untersagte Facebook daraufhin nicht die Datenübermittlung, sondern reichte Klage (Fall C-311/18 Facebook Irland und Schrems) gegen Facebook und Max Schrems vor dem irischen High Court ein. Der irische High Court leitete die Klage an den EuGH weiter, der über die Gültigkeit der Standardvertragsklauseln und der Datenübermittlung von Facebook entscheiden soll.

Wie alles enden wird...?

Um ein mögliches Ende dieses Rechtstreites in Aussicht zu stellen, nahm der EU-Generalanwalt gestern in seinen Schlussanträgen Stellung zu der ganzen Situation. Wir möchten an dieser Stelle noch einmal betonen, dass die Schlussanträge rechtlich nicht binden sind, sondern eine Tendenz auf das bevorstehende Urteil geben. Unternehmen sollten sich aber trotzdem anhand der Schlussanträge bereits Gedanken über mögliche Auswirkungen eines bindenden Urteils machen. Aber jetzt kommen wir erst einmal zu den wichtigen Thesen seines Antrags:

  • Privacy Shield:
    Der EU-Generalanwalt teilt die Bedenken über die Zulässigkeit des Privacy-Shields mit Herrn Max Schrems. Er hält es zwar nicht für erforderlich, dass der EuGH in seinem Urteil zum Fall Schrems und Facebook über das Privacy-Shield selbst entscheide - das sei nicht Inhalt der Klage – das Urteil könnte aber erhebliche Auswirkungen auf weitere Fälle vor dem EuGH haben.
  • Auswirkungen:
    Wird das EU-US-Privacy-Shield in ferner Zukunft für ungültig erklärt, wird dies drastische Auswirkungen auf die Handelsbeziehung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika mit sich ziehen. Ein neuer Angemessenheitsbeschluss kann dann nicht mehr binnen eines Jahres erlassen werden. Während der Übergangszeit müssten Verträge neu verhandelt, sich auf andere Rechtsgrundlagen gestützt oder die Datenübermittlung komplett ausgesetzt werden.
  • Aufsichtsbehörden:
    Der EU-Generalanwalt betonte auch, dass Datenschutzbehörden in der Pflicht wären, Maßnahmen zu ergreifen, wenn sie eine berechtigte Beschwerde erhalten. Die irische Datenschutzbehörde wäre befugt, einen Datenfluss auszusetzen, wenn ein ausreichender Schutz durch das US-Recht nicht gewährleistet werden kann. Die Aufsichtsbehörde müsse jetzt handeln.
  • Standardvertragsklauseln:
    Nach Ansicht der Generalanwaltschaft sind die Standardvertragsklauseln weiterhin als Rechtsgrundlage zulässig und könnten nicht weltweit für ungültig erklärt werden.

Wenn der EuGH in einigen Monaten bei Urteilsverkündung dem Ansatz des Generalanwalts folgt, müssten Unternehmen, Organisationen oder Vereine erstmal nichts am Datenverkehr in die USA ändern. Die Datenströme könnten weiterhin normal verlaufen. Die EU-Aufsichtsbehörden werden aber explizit darauf hingewiesen, die Übermittlungen an jene US-Unternehmen zu untersagen, die dem FISA 702 (dem oben angesprochenen US-Überwachungsgesetz) unterliegen.

In der ausführliche Stellungnahme des EU-Generalanwalts können Sie sich über weitere Details zu dem Fall informieren. Es bleibt somit spannend. Wir sind auf das bindende Urteil gespannt und werden Sie natürlich auf dem Laufenden halten.

In diesem Sinne wünschen wir Ihnen nun ein besinnliches Weihnachtsfest und einen guten Start in das neue Jahr. Wir hoffen, Sie bleiben uns auch 2020 als Leser unseres Blogs erhalten.

SchremsII EU-US-Privacy-Shield Datenschutz Standardvertragsklauseln EU-Generalanwalt

Maren Kübler

Maren Kübler

Datenschutz­beauftragte

veröffentlicht am

20. Dezember 2019

Weitere Artikel lesen

In unserem Blog behandeln wir topaktuelle Themen rund um den Datenschutz und unsere Arbeit. Bleiben Sie immer informiert.

$title_de

29. November 2019

Höchstes deutsches Bußgeld verhängt: Fallanalyse der DSGVO-Rekordstrafe

$title_de

31. Oktober 2019

VELIT Consulting auf dem KFV-Businessabend

$title_de

20. September 2019

Bundesrat stimmt 2. DSAnpUG-EU zu

Alle Artikel im Überblick

Alle

Artikel im Überblick

Noch Fragen offen?

Sie haben Anmerkungen oder Fragen zum Thema? Oder benötigen Sie unsere Expertise? Kontaktieren Sie uns mit Ihrem Anliegen, wir freuen uns, Sie kennenzulernen.

VELIT Consulting GmbH & Co. KG