Datenübertragung in die USA: EuGH kippt Privacy Shield

Personenbezogene Daten dürfen laut der DSGVO nur unter bestimmten Umständen in Drittländer wie die USA übermittelt werden. Wichtig ist: Das jeweilige Land muss ein angemessenes Schutzniveau dieser Daten gewährleisten. Das kann auf verschiedene Weisen festgestellt werden. Eine davon ist der sogenannte Privacy Shield, zu Deutsch EU-US-Datenschutzschild. Dieser Schild allerdings wurde nun vom Europäischen Gerichtshof (EuGH) für ungültig erklärt (Urteil v. 16.07.2020, Az. C-311/18). Hintergrund ist eine Beschwerde von Datenschützer Max Schrems, der die Übermittlung seiner Daten von Facebook Irland zum US-Mutterkonzern beanstandete. 

Streitpunkt: Rechtliche Grundlage für die Übermittlung in die USA

Um ein angemessenes Datenschutzniveau zu gewährleisten und damit die Übermittlung zu Orten außerhalb der EU DSGVO-konform zu machen, gibt es verschiedene Wege, bzw. unterschiedliche Stufen. 

So sieht die DSGVO vor, dass die EU-Kommission feststellen kann, dass ein solches Drittland außerhalb der EU mit seinen eigenen Rechtsvorschriften oder seinen internationalen Verpflichtungen dieses Niveau gewährleistet. Das gilt quasi als erste Stufe. 

Gibt es einen solchen Beschluss nicht, ist eine Übermittlung möglich, wenn der Empfänger der Daten mittels geeigneter Garantien darlegen kann, dass das angemessene Schutzniveau sichergestellt wird. Diese können sich aus den sog. Standarddatenschutzklauseln ergeben, die ebenfalls die Kommission erarbeitet hat. Gleichzeitig müssen Rechte der betroffenen Person auch wirksam durchsetzbar sein. Das gilt als Stufe Zwei.

Wenn die Übermittlung über diese Stufen nicht gerechtfertigt werden kann, weil etwa die Voraussetzungen nicht gegeben sind, dann gibt es auf einer dritten Stufe noch Ausnahmen für bestimmte Fälle, die Art. 49 DSGVO regelt. 

Mit dem Privacy Shield gab es eine solche Feststellung der EU-Kommission. Ein angemessenes Datenschutzniveau gewährleistet er allerdings nicht, wie die Richter des EuGH nun urteilten. 

Weitgehende Zugriffsrechte für US-Behörden

Hinter der Entscheidung steht eine Beschwerde des Juristen und Datenschützers Max Schrems bei der irischen Datenschutzbehörde, dabei geht es um die Übertragung der Daten durch Facebook in die USA. Dort, so machte Schrems geltend, gäbe es eben keinen ausreichenden Schutz der Daten, aus rechtlicher und praktischer Sicht.

Dort ansässige Behörden wie die National Security Agency (NSA) und andere könnten auf die Daten zugreifen, ohne dass der Betroffene dagegen vorgehen kann. „Die USA beschränken die meisten Schutzmaßnahmen auf 'US-Personen', schützen aber nicht die Daten ausländischer Kunden von US-Unternehmen vor der NSA. Da es keine Möglichkeit gibt, herauszufinden, ob Sie oder Ihr Unternehmen überwacht werden, haben die Menschen auch keine Möglichkeit, vor Gericht zu gehen“ teilt Schrems in seiner Reaktion auf das Urteil mit. 

Das mit der Sache befasste irische Gericht wollte nun vom EuGH wissen, ob der Privacy Shield bzw. die Standardvertragsklauseln dem europäischen Datenschutzniveau gerecht werden. 

EuGH: Privacy Shield ungültig, Standardsvertragsklauseln bleiben

Die Standardvertragsklauseln, über welche die Übermittlung grundsätzlich ebenfalls laufen kann und welche als Grundlage offenbar auch gebräuchlicher sind, hält das Gericht für zulässig. Während es mit Blick auf die Charta der Grundrechte keine Zweifel an der Wirksamkeit der Standardvertragsklauseln gebe, liegt der Fall beim Beschluss des Privacy Shields anders. Diesen erklärte der EuGH für ungültig. Das europäische Datenschutzniveau könne wegen der weitgehenden Zugriffsmöglichkeiten US-amerikanischer Behörden, die auch nicht auf das notwendige Maß beschränkt seien, durch den Privacy-Shield-Beschluss nicht eingehalten werden, heißt es in der Pressemitteilung des Gerichts. 

Mit dem Urteil hat der EuGH nicht über den konkreten Fall geurteilt, sondern lediglich rechtliche Fragen des nationalen Gerichts im Hinblick auf das Unionsrecht beantwortet. Der Fall selbst muss nun in Irland entschieden werden. 

Welche konkrete Wirkung das Urteil des EuGH hat, lässt sich zum jetzigen Zeitpunkt nicht eindeutig sagen. Eine Datenübermittlung in die USA unter Rechtfertigung des Privacy Shields wird künftig wohl nicht mehr in Frage kommen.