EuGH und Facebook: Weitergabe Personenbezogener Daten an die USA

Mehr Klarheit zur Anwendung der DSGVO: Der EuGH hat heute ein bemerkenswertes Urteil im langjährigen Rechtsstreit des Österreichers Schrems um die Weitergabe der personenbezogenen Daten von Facebook Irland in die USA getroffen. Den USA wurde heute der sogenannte Privacy Shield für Personenbezogene Daten aberkannt – ein Urteil mit Relevanz für alle wirtschaftlichen Verbindungen zu den USA .

Das heutige Urteil des EuGH bringt mehr Klarheit in die Anwendung der Europäischen Datenschutzgrundverordnung (DSGVO) und den Schutz personenbezogener Daten. Gleichzeitig hat es eine Relevanz für alle wirtschaftlichen Verbindungen zu den USA, denn es geht um alle personenbezogene Daten, die aus der EU in die USA weiter gegeben werden, auch diejenigen zu rein gewerblichen Zwecken.

Laut dem EuGH Urteil ist die DSGVO auch dann auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten in ein Drittland anzuwenden, wenn sie von den Geheimdiensten des Landes verwendet werden. Vor allem aber ist das Schutzniveau der USA für personenbezogene Daten gemäß Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (DSS-Beschluss, auch „Privacy Shield“ genannt) heute für ungültig erklärt worden. Den USA wird damit ein standardisiertes angemessenes Schutzniveau für Personenbezogene Daten aberkannt.

Es gab bereits eine Regelung vor dem DSS-Beschluss („Safe Habour“ genannt), die ebenfalls in dem Rechtsstreit Schrems vs. Facebook vom EuGH bereits vor Jahren für ungültig erklärt worden war. Innerhalb weniger Monate wurde daraufhin als Ersatz der DSS-Beschluss zwischen EU Kommission und USA ausgehandelt.

Öffentlich beachteter Rechtsstreit Schrems vs. Facebook Irland

Vor inzwischen 7 Jahren begann ein öffentlich viel beachteter Rechtsstreit zwischen Herrn Schrems und Facebook, in dem Herr Schrems im Wesentlichen forderte, Facebook Irland müsse die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten untersagt werden.

Er machte geltend, dass die Facebook Inc. nach amerikanischem Recht verpflichtet sei, die ihr übermittelten personenbezogenen Daten amerikanischen Behörden wie der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.

Facebook Ireland erklärte, dass ein großer Teil der personenbezogenen Daten auf der Grundlage der im Anhang des SDK-Beschlusses enthaltenen Standarddatenschutzklauseln an die Facebook Inc. übermittelt werde. Der SDK-Beschluss (Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46) gilt seit 2010 und regelt die Übermittlung von personenbezogenen Daten an Drittländer.

Dem widersprach Herr Schrems und verwies auf die Charta der Grundrechte der Europäischen Union, aufgrund dessen der SDK-Beschluss die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten nicht rechtfertigen könne.

In seinem heutigen Urteil entschied daher das höchste Europäische Gericht (EuGH) über die Auslegung und Gültigkeit des SDK-Beschlusses im Zusammenhang mit dem Beschluss der EU über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (DSS-Beschluss).

Komplizierter wird die Rechtslage auch durch die inzwischen in Kraft getretene Europäische Datenschutzgrundverordnung (DSGVO). Denn eigentlich wurde die Richtlinie 95/46 mit Wirkung vom 25. Mai 2018 durch die DSGVO aufgehoben und ersetzt. Daher, so führte der EuGH heute aus, seien die Vorlagefragen anhand der Bestimmungen der DSGVO und nicht der Richtlinie 95/46 zu beantworten, auch wenn sie sich auf die Bestimmungen der Richtlinie 95/46 beziehen.

Vorlagefragen: Gültigkeit des SDK-Beschluss und DSS-Beschluss unter DSGVO

Insbesondere war die Frage zu beantworten, ob personenbezogene Daten aufgrund des SDK-Beschlusses auch von einem privaten Unternehmen aus einem Mitgliedstaat der Union zu einem gewerblichen Zweck an ein privates Unternehmen in einem Drittland übermittelt werden können – und ob das auch unter die Bestimmungen der DSGVO falle. Das heutige Urteil ist umso wichtiger, als die nationalen Aufsichtsbehörden der EU Mitgliedstaaten zu der Prüfung befugt sind, ob bei einer Übermittlung personenbezogener Daten aus ihrem Mitgliedstaat in ein Drittland die in der DSGVO aufgestellten Anforderungen eingehalten werden.

Die irische Datenschutzbehörde DPC, zuständig für Datenfluss von Facebook Inc., ist bisher wohlwollend und zurückhaltend gegenüber den US Unternehmen. Gleichzeitig soll aber ein Durcheinander von sich widersprechenden Einschätzungen der nationalen Datenschutzbehörden vermieden werden.

Die Vorlagefragen betrafen daher auch die Frage, welches Schutzniveau durch Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c der DSGVO verlangt wird, wenn personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden. Auch sollte das Gericht entscheiden, ob die zuständige nationale Aufsichtsbehörde verpflichtet ist, eine auf Standarddatenschutzklauseln (wie SDK- und DSS-Beschluss) gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie einen Verstoß gegen die Anforderungen aus der DSGVO feststellt.

EuGH: Drittländer müssen angemessenes Schutzniveau sicherstellen

Der EuGH bejahte die letztgenannte Frage. Nationale Aufsichtsbehörden müssten tätig werden und die Übermittlung von personenbezogenen Daten verbieten, wenn gegen die Anforderungen aus der DSGVO verstoßen werde. Aber dies gelte nur für Drittländer, die kein angemessenes Schutzniveau bieten.

Damit ist es aber auch eine Schlüsselfrage, ob im Sinne der DSGVO der DSS-Beschluss gültig ist, der den Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten attestiert.

Es müsse ein Schutzniveau der durchsetzbaren Rechte vorliegen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist, erläuterte der EuGH. In der Praxis sei es zwar womöglich nicht möglich, den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten, wenn das Recht dieses Drittlands dessen Behörden bezüglicher dieser Daten Eingriffe in die Rechte der betroffenen Personen erlaubt.

SDK-Beschluss ist gültig

Dies aber ist gemäß dem SDK-Beschluss geregelt. Der in der Union ansässige Verantwortliche und der Empfänger der Übermittlung personenbezogener Daten ist verpflichtet, vorab zu prüfen, ob im betreffenden Drittland das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Der Empfänger der Übermittlung ist nach Klausel 5 Buchst. b des Anhangs des SDK-Beschlusses gegebenenfalls verpflichtet, dem Verantwortlichen mitzuteilen, dass er die Klauseln nicht einhalten kann, woraufhin der Verantwortliche die Datenübermittlung aussetzen und/oder vom Vertrag zurücktreten muss. Der EuGH erläuterte, der SDK-Beschluss biete daher wirksame Mechanismen bei Verstoß gegen die Anforderungen aus der DSGVO.

Der SDK-Beschluss sei gültig, auch in Bezug zur Charta der Grundrechte in der EU, urteilte der EuGH.

EuGH erklärt DSS-Beschluss für ungültig

Anders dagegen beurteilte der EuGH den DSS-Beschluss. Die Praxis der USA, eine Sammelerhebung der personenbezogenen Daten auch an seine Geheimdienste weiterzuleiten, entspreche tatsächlich nicht dem europäischen Schutzniveau, bestätigte das Gericht. Andererseits verfüge jeder Einzelne aufgrund des amerikanischen Ombudsmechanismus über die Möglichkeit, Rechtsbehelfe vor einem unabhängigen und unparteiischen Gericht einzulegen, um Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen oder die Berichtigung oder Löschung solcher Daten zu erwirken – in den USA.

Dies aber böte keine Garantien, die den nach Art. 47 der Charta erforderlichen Garantien der Sache nach gleichwertig wären. Daher erklärte der EuGH den DSS-Beschluss für ungültig, der den Vereinigten Staaten bisher ein angemessenes Schutzniveau für personenbezogene Daten bestätigte.

Unterstützung im gesamten Gewerblichen Rechtsschutz

Unsere Anwälte verfügen über langjährige Expertise im Patent- und Markenrecht sowie im gesamten Gewerblichen Rechtsschutz, ebenso auch im Erstellen von Lizenzvereinbarungen.
Wir sind berechtigt, Sie vor jedem Gericht zu vertreten – in Deutschland und auch international.
Nehmen Sie bei Interesse gerne Kontakt auf.

Quellen: 

Urteil EuGH zu Schrems vs. Facebook Ireland, EU:C:2020:559

Bild:

Simon | pixabay.com | CCO License