Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
EuGH-Generalanwalt: Standardvertragsklauseln sind taugliche Rechtsgrundlage für internationale Datenübermittlung - Irische Datenschutzbehörde muss Facebooks Datenübermittlung in die USA untersuchen
Freitag, 27. Dezember 2019
Laut dem Generalanwalt am Europäischen Gerichtshof (EuGH) Henrik Saugmandsgaard Øe können Unternehmen die Übermittlung der Daten von EU-Bürgern ins Ausland auf sogenannte „Standardvertragsklauseln“ stützen. Es obliege den EU-Datenschutzbehörden, im Einzelfall zu überprüfen, ob es in den Zielländern Mängel im Datenschutz gibt. Damit schließt sich der Generalanwalt in seinem Schlussantrag vom 19. Dezember 2019 teilweise der Argumentation des österreichischen Datenschützers Maximilian Schrems an. Dieser versucht seit 2013 vergeblich, die irische Datenschutzbehörde zum Einschreiten gegen die Übermittlung seiner personenbezogenen Daten durch Facebook in die USA zu bewegen. Folgt der EuGH dem Schlussantrag, könnte die irische Behörde bald tätig werden müssen. Für das noch ausstehende Urteil und die Frage der generellen Zulässigkeit der Verarbeitung personenbezogener Daten von EU-Bürgern in den USA hat der Schlussantrag jedenfalls Signalwirkung.
Worum ging es?
In dem Verfahren hatte der irische High Court bereits ein zweites Mal Fragen dem EuGH vorgelegt. Schon 2015 erklärte der EuGH das Safe Harbor-Abkommen zwischen den USA und der EU für ungültig. Im Nachgang stellte sich Facebook auf den Standpunkt, personenbezogene Daten von EU-Bürgern auf Grundlage von Standardvertragsklauseln in die USA zu übermitteln. Bei Standardvertragsklauseln handelt es sich um durch die EU-Kommission mit Beschluss 2010/87 festgelegte Vertragsklauseln, welche die verantwortliche Stelle in der EU mit dem Auftragsverarbeiter im außereuropäischen Ausland abschließt. Mit diesen Klauseln soll ein mit der DSGVO gleichwertiges Schutzniveau bei der Datenverarbeitung gewährleistet werden. Dass die Datenübertragung von Facebook in die USA diesem Schutzniveau nicht genüge, argumentierte nun Schrems im Lichte der Enthüllungen Edward Snowdens zu Massenüberwachungen durch US-Nachrichtendienste. Daher beantragte Schrems auch bei der irischen Datenschutzbehörde die Aussetzung der Übermittlung in die USA.
Die irische Datenschutzbehörde argumentierte, sie sei für eine Überprüfung der Standardvertragsklauseln wegen der Überwachungspraktiken der USA nicht zuständig, diese müssten viel eher gerichtlich überprüft werden.
Was empfiehlt der Generalanwalt?
Der Generalanwalt hat in seinem Schlussantrag die Ansicht geäußert, dass das Unionsrecht auf die Übermittlung personenbezogener Daten ins EU-Ausland anwendbar sei und dem EuGH dazu geraten, den Beschluss 2010/87 und somit Standardvertragsklauseln für gültig anzuerkennen. Sie seien ein geeignetes Institut, um ein der DSGVO gleichwertiges Schutzniveau zwischen den Parteien zu vereinbaren. Ob dies auch bei der Datenübermittlung in das jeweilige Zielland aufgrund nationaler Regelungen der Fall ist, sei im Einzelfall durch die EU-intern zuständigen Datenschutzbehörden zu überprüfen. Diese Überprüfungsmöglichkeit sei in Artikel 4 der Standardvertragsklauseln auch vorgesehen. Es läge also in der Verantwortung der Behörden, bei Untätigkeit der für die Datenverarbeitung Verantwortlichen die Übermittlung ins Ausland auszusetzen oder zu verbieten.
Privacy Shield, das Nachfolgeabkommen des 2015 für unwirksam erklärten Safe Harbor Abkommens, hat der Generalanwalt nicht abschließend juristisch bewertet. Er erachtete dies nicht für entscheidungserheblich. Trotzdem äußerte er sich dahingehend, dass er im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Zweifel an der Gültigkeit des Privacy Shield-Beschlusses hat.
Was bedeutet dies nun für Facebook und andere Unternehmen?
Ein endgültiges Urteil des EuGH in dieser Sache wird in drei bis sechs Monaten erwartet. Die Anträge des Generalanwalts sind hierfür nicht bindend, aber oft richtungsweisend. Wenn sich der EuGH den Empfehlungen des Generalanwalts anschließt, muss die irische Datenschutzbehörde überprüfen, ob aufgrund US-Recht die Pflicht Facebooks aus den Standardvertragsklauseln nicht eingehalten werden können. Entscheidend hierfür könnte sein, dass Unternehmen, die in den USA personenbezogene Daten verarbeiten, diese unter Umständen an Sicherheitsbehörden herausgeben müssen und es hiergegen keinen Rechtsbehelf gibt. Kommt die Behörde zu dem Ergebnis, dass ein gleichwertiges Schutzniveau zur DSGVO nicht gewährleistet wird, muss sie Facebooks Datenübertragung in die USA verbieten. Auswirkungen wird das Urteil aber nicht nur für Facebook haben, denn es gilt gleichfalls für alle Dienste und Unternehmen, welche personenbezogene Daten von EU-Bürgern in die USA übermitteln.
Wenn Sie Fragen dazu haben, was bei der Übermittlung von personenbezogenen Daten ins außereuropäische Ausland zu beachten ist, beraten wir Sie hierzu gerne.
Unter folgendem Link sehen Sie die Pressemitteilung des EuGH vom 19.12.2019 ein: https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-12/cp19016...
