Fachinfos - Judikaturauswertungen 06.10.2020

Internationaler Datentransfer

Schutzniveau des EU-US-Datenschutzschilds unangemessen. EuGH 16.7.2020, C-311/18, Facebook Ireland & Maximillian Schrems (6. Oktober 2020)

Sachverhalt

Der österreichische Staatsbürger Maximilian Schrems ist seit 2008 Nutzer von Facebook. Für sämtliche in der EU ansässigen Nutzer/innen ist die irische Tochtergesellschaft Facebooks (Facebook Ireland) zuständig, welche die von Nutzer/inne/n gelieferten Daten zur Gänze oder teilweise an in den USA befindliche Server der Facebook Inc. übermittelt. Nachdem der Gerichtshof der Europäischen Union (EuGH) durch eine von Herrn Schrems angestrengte Beschwerde die „Safe-Harbor-Regelung“ zum Datentransfer zwischen (Mitgliedsstaaten) der EU und den USA 2015 für ungültig erklärt hatte (EuGH 6.12.2015, C-362/14, Schrems gg. Data Protection Commissioner), brachte Facebook Ireland im folgenden Verfahren vor der irischen Aufsichtsbehörde (Data Protection Commissioner) vor, dass die Übermittlung von Daten zum Großteil gestützt auf die bereits 2010 von der EU-Kommission beschlossenen Standarddatenschutzklauseln (im Urteil: SDK-Beschluss) erfolge.

Dagegen erhob Schrems eine Beschwerde vor dem irischen Data Protection Commissioner. Dieser strengte im Frühjahr 2016 ein Verfahren beim irischen High Court an, um wiederum ein Vorabentscheidungsverfahren vor dem EuGH zur Beurteilung der Gültigkeit dieser Standarddatenschutzklauseln (SDK) sowie der Pflichten von Aufsichtsbehörden zu erreichen. Zur selben Zeit erließ die EU-Kommission nach Prüfung der amerikanischen Rechtslage einen Angemessenheitsbeschluss iSd Art. 25 Abs. 6 der Datenschutz-Richtlinie 95/46/EG (DS-RL; nunmehr Art. 45 Abs. 3 Datenschutz-Grundverordnung [DSGVO], im Urteil: DSS-Beschluss) betreffend ein „EU-US-Datenschutzschild“ (DSS). Dieser Beschluss konstatierte ein – im Hinblick auf das europäische Datenschutzregime – angemessenes Schutzniveau in den USA. Der irische High Court befasste den EuGH schließlich 2018 mittels Vorabentscheidungsersuchen sowohl mit den vom Data Protection Commissioner aufgeworfenen Fragen als auch mit Fragen nach der grundsätzlichen Anwendbarkeit der DSGVO, der Bindungswirkung von Feststellungen der EU-Kommission auf nationale Aufsichtsbehörden sowie der Gültigkeit des DSS.

Entscheidung des Gerichtshofs der Europäischen Union

Die Entscheidung des EuGH betrifft insbesondere folgende Punkte:

Zulässigkeit, Anwendbarkeit der DSGVO und Charakteristika des Schutzniveaus

In seinem Urteil hielt der EuGH zunächst fest, dass die auf die DS-RL bezogenen Vorlagefragen zulässig sind. Im Unterschied zu den Fällen Google (EuGH, 24.9.2019, C-507/17) bzw. Planet49 (EuGH, 1.10.2019, C-673/17) sei das Vorabentscheidungsersuchen aber anhand der Bestimmungen der DSGVO zu beantworten, weil die irische Aufsichtsbehörde vor Aufhebung der DS-RL durch Inkrafttreten der DSGVO am 25. Mai 2018 noch keine endgültige Entscheidung getroffen hatte.

Ebenso wurde einleitend klargestellt, dass die DSGVO auf eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken in ein Drittland auch dann anzuwenden sei, wenn die Daten bei der Übermittlung oder in weiterer Folge von Behörden dieses Drittlandes für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden. Eine der eng auszulegenden Ausnahmen vom sachlichen Anwendungsbereich der DSGVO sei nicht gegeben (in Betracht gezogen wurden Art. 2 Abs. 2 lit. a, b bzw. d. DSGVO).

Der EuGH führte im Hinblick auf das verlangte Schutzniveau allgemein aus, dass bei Fehlen eines Angemessenheitsbeschlusses iSd Art. 45 Abs. 4 DSGVO personenbezogene Daten nur im Fall von „geeigneten Garantien“, „durchsetzbare[n] Rechte und wirksame[n] Rechtsbehelfen“ in ein Drittland übermittelt werden dürften, wobei die geeigneten Garantien u.a. in von der Kommission erlassenen SDK bestehen können (Rn. 91). Der Ausdruck „angemessenes Schutzniveau“, welcher in Art. 45 Abs. 1 DSGVO angeführt wird, schreibe nicht vor, dass das Schutzniveau im betreffenden Drittland „identisch“ mit dem der EU sein muss, jedoch müsse „tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet [sein], das dem in der Union […] garantierten Niveau der Sache nach gleichwertig ist“ (Rn. 94).

Die Beurteilung des gebotenen bzw. tatsächlichen Niveaus des Grundrechtsschutzes sei zum einen anhand der DSGVO vorzunehmen, welche im Lichte der Charta der Grundrechte der EU (EU-GRC) auszulegen sei, zum anderen anhand der vertraglichen Regelungen zwischen Datenexporteur und ‑importeur bzw. den maßgeblichen Elementen der Rechtsordnung dieses Drittlandes.

Befugnisse von nationalen Aufsichtsbehörden

Im Hinblick auf die weitreichenden Untersuchungsbefugnisse und zur Verfügung stehenden Abhilfebefugnisse von Aufsichtsbehörden wies der EuGH darauf hin, dass diese auch gemäß Art. 58 Abs. 2 lit. f und j DSGVO verpflichtet sind, Übermittlungen von personenbezogenen Daten in ein Drittland zu verbieten bzw. auszusetzen, wenn geeignete Garantien nicht eingehalten werden (können) und der gebotene Datenschutz nicht durch andere Mittel gewährleistet werden kann. Selbst ein erlassener Angemessenheitsbeschluss, der sämtliche Organe der EU-Mitgliedsstaaten bis zu seiner Ungültigerklärung durch den EuGH in allen Teilen bindet, vermindere nicht das Recht und die Pflicht nationaler Datenschutzbehörden, die Rechtmäßigkeit von Datenverarbeitungen „in völliger Unabhängigkeit“ zu prüfen und bei Zweifeln darüber Klage vor nationalen Gerichten zu erheben, um so letztlich die Klärung der Gültigkeit eines solchen Angemessenheitsbeschlusses durch den EuGH zu erwirken (Rn. 120, vgl. auch EuGH 6.12.2015, C-362/14, Schrems gg. Data Protection Commissioner, Rn. 57 und 65).

Gültigkeit der SDK

Das vorlegende Gericht begründete seine Zweifel an der Gültigkeit insb. damit, dass die SDK aufgrund ihres Vertragscharakters drittstaatliche Behörden nicht binden würden. Der EuGH pflichtete zwar bei, dass Vertragsklauseln kein ausreichendes Mittel für einen effektiven Datenschutz darstellen, wenn die Rechtsordnung eines Drittstaates seinen Behörden Eingriffe erlaubt. Es müssten „aber nicht sämtliche Garantien zwangsläufig in […] dem SDK-Beschluss vorgesehen sein“ (Rn. 128). Es liege vielmehr in der Eigenverantwortlichkeit von Verantwortlichen bzw. Empfänger/inne/n (sowie in einem zweiten Schritt von nationalen Aufsichtsbehörden), zusätzliche Maßnahmen zur Einhaltung eines gleichwertigen Schutzniveaus zu ergreifen. Die Gültigkeit des SDK-Beschlusses bestimme sich nach dem Vorliegen von „wirksame[n] Mechanismen […], die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und […] Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist.“ (Rn. 137).

Der EuGH sah in den Klauseln des SDK-Beschlusses eine Reihe solch wirksamer Mechanismen festgelegt. Nach eingehender Auseinandersetzung mit verschiedenen Aspekten kam er zum Ergebnis, dass sich „nichts ergeben“ hätte, was die Gültigkeit des SDK-Beschlusses berühre (Rn 149).

Gültigkeit des DSS

Im Hinblick auf den DSS stellte der EuGH fest, dass „Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“ eine Beschränkung der Grundsätze des DSS ermöglichen und diesen Erfordernissen daher Vorrang vor dem gebotenen Datenschutz eingeräumt wird (Rn. 164). In der Folge beurteilte der EuGH die Eingriffe in die Art. 7 und 8 EU-GRC durch US-Überwachungsprogramme im Rahmen einer Verhältnismäßigkeitsprüfung als nicht auf das zwingend erforderliche Maß beschränkt.

Auch das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht (Art. 47 EU-GRC) sei nicht gleichwertig verwirklicht, da betroffenen Personen, die nicht US-amerikanische Staatsbürger/innen sind, keine gegenüber amerikanischen Behörden gerichtlich durchsetzbaren Rechte und somit kein wirksamer Rechtsbehelf gewährt werden. Die dem US-Außenminister direkt unterstehende Ombudsperson sei zwar als „unabhängig“, „objektiv und frei von unzulässiger Einflussnahme“ beschrieben. Aus Sicht des EuGH gibt es aber darüber hinaus keine Hinweise auf besondere Garantien zu Abberufung etc., „was Zweifel daran weckt, ob sie von der Exekutive unabhängig ist“. Auch könne die Ombudsperson keine gegenüber den für die Überwachungsprogramme zuständigen Nachrichtendiensten verbindlichen Entscheidungen treffen, weswegen dieser Mechanismus „keinen Rechtsweg zu einem Organ [eröffnet], das […] Garantien böte, die […] der Sache nach gleichwertig wären“ (Rn. 197).

Da Art. 1 des DSS-Beschlusses nicht mit dem grundrechtskonform ausgelegten Art. 45 Abs. 1 DSGVO vereinbar sei, sei – aufgrund seiner untrennbaren Verbindung mit sämtlichen anderen DSS-Artikeln – der gesamte DSS-Beschluss ungültig (Rn. 199 ff).

Zuletzt hielt der EuGH noch fest, dass die Wirkungen des DSS-Beschlusses auch nicht zur Vermeidung eines rechtlichen Vakuums aufrechterhalten werden müssen, da Art. 49 DSGVO für den Fall, dass weder ein Angemessenheitsbeschluss noch geeignete Garantien bestehen, vorsorgt (Rn. 202).

Anmerkung: Weiterführende Informationen zum Urteil und seinen Folgen, insbesondere die diesbezügliche Stellungnahme des EDSA sowie FAQs, finden Sie auf der Website der österreichischen Datenschutzbehörde: https://www.dsb.gv.at/aufgaben-taetigkeiten/internationaler-datenverkehr.html

Vgl. zu diesem Verfahren die Pressemitteilung und den Volltext der Entscheidung.