EuGH, Urt. 16.7.2020 - C-311/18
Unzulässige Datenübermittlung in die USA auf Grundlage des Privacy Shields
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 08/2020
Aus: IT-Rechtsberater, Heft 08/2020
Nach Art. 58 Abs. 2 Buchst. f und j DSGVO ist die Aufsichtsbehörde bei ungültigem Angemessenheitsbeschluss verpflichtet, eine auf Standardvertragsklauseln gestützte Datenübermittlung in ein Drittland zu verbieten, wenn die Klauseln nicht eingehalten werden können und der nach dem EU-Recht erforderliche Schutz nicht mit anderen Mitteln gewährleistet werden kann.
GRC Art. 7, 8, 47, 52; DSGVO Art. 2 Abs. 2, 45 Abs. 2 Buchst. a, 46 Abs. 1, Abs. 2 Buchst. c
Schrems forderte daraufhin vom zuständigen irischen Datenschutzbeauftragten ein Übermittlungsverbot, da Facebook Inc. im Rahmen verschiedener Überwachungsprogramme zur massenhaften Weiterübermittlung etwa an NSA und FBI ohne mit Art. 7, 8 und 47 GRC vergleichbaren Schutz verpflichtet sei. Der dem EuGH vorlegende High Court Ireland verwies auf Erkenntnisse aus einem anderen Verfahren, nach denen für die Überwachungsprogramme PRISM bzw. UPSTREAM der Zugriff auf Inhalts- und Verkehrsdaten außerhalb des Hoheitsgebiets sich aufhaltender Nicht-US-Staatsbürger auf Section 702 FISA gestützt wird. Den nicht dem FISA unterliegenden Zugriff der NSA auf Datenströme über Seekabel außerhalb des US-Hoheitsgebiets erlaubt das Präsidialdekret E.O. 12333 ohne jede gerichtliche Kontrolle.
Aufrechterhaltung des Schutzniveaus durch Standardvertragsklauseln: Nach Art. 46 Abs. 1, Abs. 2 Buchst. c DSGVO dürfe ein Verantwortlicher oder Auftragsverarbeiter, falls kein gem. Art. 45 Abs. 3 DSGVO ergangener Angemessenheitsbeschluss vorliege, eine Übermittlung in ein Drittland außerhalb des EWR nur vornehmen, wenn „geeignete Garantien“ etwa als Standardvertragsklauseln, „durchsetzbare Rechte und wirksame Rechtsbehelfe“ zur Verfügung stünden, um das nach der Übermittlung gefährdete Schutzniveau aufrechtzuerhalten (Art. 44, Erwgrd. 6, 107, 108 DSGVO).
Maßstab des Schutzniveaus bei Standardvertragsklauseln: Das nach Art. 46 Abs. 1 DSGVO erforderliche Schutzniveau orientiere sich an der DSGVO im Licht der GRC. Zu berücksichtigen seien entsprechend Art. 45 Abs. 2 DSGVO die vertraglichen Regelungen zwischen Datenexporteur und Empfänger sowie der behördliche Datenzugriff im Drittland.
Übermittlungsverbot durch Aufsichtsbehörde: Gemäß Art. 8 Abs. 3 GRC sowie Art. 51 Abs. 1, 57 Abs. 1 Buchst. a DSGVO habe die nationale Aufsichtsbehörde die Einhaltung des Datenschutzes insb. bei Drittlandübermittlungen wegen problematischer Rechtsschutzmöglichkeiten von Betroffenen und Aufsichtsbehörden im Drittland zu kontrollieren (vgl. Erwgrd. 116 DSGVO). Sie müsse eine Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO mit aller gebotenen Sorgfalt bearbeiten. Dazu bestünden weitreichende Untersuchungs- und Abhilfebefugnisse nach Art. 58 Abs. 1 und 2 DSGVO und gerichtliche Rechtsbehelfe bei Untätigkeit nach Art. 78 Abs. 1 und 2 DSGVO (vgl. Erwgrd. 141 DSGVO). Die Aufsichtsbehörde sei nach Art. 58 Abs. 2 Buchst. f und j DSGVO ggf. zu Aussetzung oder Verbot der Drittlandübermittlung verpflichtet.
Keine Ausnahmebefugnisse: Art. 4 Standardvertragsklausel-Beschluss beschränke abweichend von seiner Vorgängerfassung Aussetzung oder Verbot nicht mehr auf Ausnahmefälle. I.Ü. berechtige die Durchführungsbefugnis für den Erlass von Standardsvertragsklauseln nicht zur Beschränkung der Abhilfebefugnisse (vgl. Erwgrd. 5 Durchführungsbeschluss (EU) 2016/2297).
Funktion der Standardvertragsklauseln: Nach Art. 1 Standardvertragsklausel-Beschluss gälten die Klauseln entsprechend den Anforderungen von Art. 26 Abs. 2 RL 95/46/EG (jetzt Art. 46 Abs. 1, Abs. 2 Buchst. c DSGVO) als angemessene Datenschutzgarantien. Im Gegensatz zum Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO könne beim Standardvertragsklausel-Beschluss, der kein spezielles Drittland betreffe, keine Angemessenheitsprüfung abgeleitet werden. Es sei Sache des Datenexporteurs, bei fehlendem Angemessenheitsbeschluss geeignete Garantien vorzusehen (Erwgrd. 108, 114 DSGVO). Die Klauseln sollten sein Verantwortungsbewusstsein wecken, erforderlichenfalls Ergänzungen vorzusehen (vgl. Erwgrd. 109 DSGVO).
Keine Ungültigkeit des Standardvertragsklausel-Beschlusses: Sofern dies wegen entgegenstehenden Rechts des Drittlandes nicht möglich sei, müssten Verantwortlicher bzw. Auftragsverarbeiter und sekundär die Aufsichtsbehörde die Übermittlung aussetzen oder beenden (vgl. Art. 4 Standardvertragsklausel-Beschluss und Erwgrd. 5 Durchführungsbeschluss (EU) 2016/2297). Die Gültigkeit des Standardvertragsklausel-Beschlusses selbst werde hiervon aber nicht berührt. Divergierende Entscheidungen in den Mitgliedstaaten würden ggf. durch einen verbindlichen Beschluss des Europäischen Datenschutzausschusses (EDSA) im Kohärenzverfahren nach Art. 65 Abs. 1 Buchst. c, Abs. 2 DSGVO vermieden.
Bindungswirkung des Privacy-Shield-Beschlusses: Der nach Klageerhebung im Ausgangsverfahren ergangene Privacy-Shield-Beschluss zur Angemessenheit des Datenschutzniveaus der USA i.S.v. Art. 45 Abs. 1 DSGVO sei relevant für die Beurteilung von Aussetzung oder Verbot der aufgrund von Standardvertragsklauseln erfolgenden Datenübermittlung. Das angemessene Schutzniveau bestehe nach Art. 1 Abs. 3 Privacy-Shield-Beschluss für eine Übermittlung an die in der „Datenschutzschild-Liste“ aufgeführten Organisationen. Nach Art. 288 Abs. 4 AEUV hindere der Beschluss die Aufsichtsbehörden an Aussetzung oder Verbot der Datenübermittlung, solange er vom EuGH nicht für ungültig erklärt werde (vgl. Erwgrd. 103 DSGVO).
Klagepflicht der Aufsichtsbehörde: Er hindere aber nicht das Beschwerderecht des Betroffenen nach Art. 77 Abs. 1 DSGVO und beschränke nicht die Befugnisse der Aufsichtsbehörde nach Art. 8 Abs. 3 GRC sowie Art. 51 Abs. 1, 57 Abs. 1 Buchst. a DSGVO. Sie müsse – wie vorliegend geschehen – ggf. Klage erheben, damit nationale Gerichte eine Entscheidung durch den EuGH herbeiführen könnten.
Schutzniveau bei Angemessenheitsprüfung: Die Datenweitergabe stelle unabhängig von der späteren Datenverwendung einen Eingriff in Art. 7 und 8 GRC dar. Das Erfordernis einer verhältnismäßigen und den Grundrechtswesensgehalt wahrenden gesetzlichen Grundrechtsschranke gem. Art. Art. 8 Abs. 2, 52 Abs. 1 Satz 2 GRC verlange, dass der auf das absolut Notwendige beschränkte Umfang des Eingriffs gesetzlich selbst, klar und präzise festgelegt sein müsse. Erforderliche Garantien gegen Missbrauchsgefahren seien umso bedeutsamer bei automatisierter Datenverarbeitung. Nach Art. 45 Abs. 2 Buchst. a DSGVO seien bei der Drittlandübermittlung wirksame und durchsetzbare Betroffenenrechte zu berücksichtigen.
Keine Verhältnismäßigkeit: Section 702 FISA lasse keine Einschränkungen der Überwachungsprogramme oder Garantien für Nicht-US-Personen erkennen (so sogar die Kommission in ihrem Erwgrd. 109 Privacy-Shield-Beschluss). PPD-28 verleihe keine gegenüber den amerikanischen Behörden gerichtlich durchsetzbaren Rechte (a.A. Erwgrd. 67, 77 Privacy-Shield-Beschluss). Das Präsidialdekret E.O. 12333 unterfalle überhaupt keiner gerichtlichen Kontrolle. Für die behördliche Sammelerhebung bestünde keine hinreichend klare und präzise Eingrenzung auf das zwingend erforderliche Maß (a.A. Erwgrd. 140 Privacy-Shield-Beschluss). Es gebe somit in den USA keine Art. 52 Abs. 1 GRC gleichwertigen Anforderungen.
Kein gleichwertiger Rechtsschutz: Es gebe keine berücksichtigungsfähigen wirksamen Rechtsbehelfe i.S.v. Art. 45 Abs. 2 Buchst. a DSGVO (vgl. Erwgrd. 104 DSGVO). Sie seien bei Drittlandübermittlungen besonders wichtig, weil in den Mitgliedstaaten entsprechende Befugnisse mit Wirkung im Drittland nicht zur Verfügung stünden (Erwgrd. 116 DSGVO). Gleichwertigen Rechtsschutz biete auch nicht die vorgesehene Ombudsperson (a.A. Erwgrd. 115 und 116 Privacy-Shield-Beschluss). Da sie dem US-Außenminister unterstehe und nicht zu verbindlichen Entscheidungen gegenüber den Nachrichtendiensten berechtigt sei, fehle es an der Gleichwertigkeit zu Art. 47 Abs. 1, Abs. 2 GRC.
GRC Art. 7, 8, 47, 52; DSGVO Art. 2 Abs. 2, 45 Abs. 2 Buchst. a, 46 Abs. 1, Abs. 2 Buchst. c
Das Problem
Nachdem sich der österreichische Datenschutzaktivist Schrems erfolgreich gegen die Übermittlung seiner personenbezogenen Daten von Facebook Ireland an Server der Facebook Inc. in den USA auf Grundlage des vom EuGH für ungültig erklärten Safe-Harbor-Abkommens 2000/520/EG der Kommission gewendet hatte (EuGH v. 6.10.2015 – C-362/14 – Schrems, CR 2015, 633), stützte Facebook die Datenübermittlung nicht auf den ablösenden Angemessenheitsbeschluss Privacy Shield der Kommission (EU) 2016/1250, sondern auf die im Beschluss zu Standardvertragsklauseln 2010/87/EU enthaltenen Klauseln.Schrems forderte daraufhin vom zuständigen irischen Datenschutzbeauftragten ein Übermittlungsverbot, da Facebook Inc. im Rahmen verschiedener Überwachungsprogramme zur massenhaften Weiterübermittlung etwa an NSA und FBI ohne mit Art. 7, 8 und 47 GRC vergleichbaren Schutz verpflichtet sei. Der dem EuGH vorlegende High Court Ireland verwies auf Erkenntnisse aus einem anderen Verfahren, nach denen für die Überwachungsprogramme PRISM bzw. UPSTREAM der Zugriff auf Inhalts- und Verkehrsdaten außerhalb des Hoheitsgebiets sich aufhaltender Nicht-US-Staatsbürger auf Section 702 FISA gestützt wird. Den nicht dem FISA unterliegenden Zugriff der NSA auf Datenströme über Seekabel außerhalb des US-Hoheitsgebiets erlaubt das Präsidialdekret E.O. 12333 ohne jede gerichtliche Kontrolle.
Die Entscheidung des Gerichts
In den USA bestehe entgegen der Feststellung der Kommission in ihrem vorbehaltlos nichtigen Privacy-Shield-Beschluss kein angemessenes Datenschutzniveau. Dessen Gewährleistung ggf. durch Standardvertragsklauseln sei von Datenexporteur bzw. Aufsichtsbehörde zu verantworten.Aufrechterhaltung des Schutzniveaus durch Standardvertragsklauseln: Nach Art. 46 Abs. 1, Abs. 2 Buchst. c DSGVO dürfe ein Verantwortlicher oder Auftragsverarbeiter, falls kein gem. Art. 45 Abs. 3 DSGVO ergangener Angemessenheitsbeschluss vorliege, eine Übermittlung in ein Drittland außerhalb des EWR nur vornehmen, wenn „geeignete Garantien“ etwa als Standardvertragsklauseln, „durchsetzbare Rechte und wirksame Rechtsbehelfe“ zur Verfügung stünden, um das nach der Übermittlung gefährdete Schutzniveau aufrechtzuerhalten (Art. 44, Erwgrd. 6, 107, 108 DSGVO).
Maßstab des Schutzniveaus bei Standardvertragsklauseln: Das nach Art. 46 Abs. 1 DSGVO erforderliche Schutzniveau orientiere sich an der DSGVO im Licht der GRC. Zu berücksichtigen seien entsprechend Art. 45 Abs. 2 DSGVO die vertraglichen Regelungen zwischen Datenexporteur und Empfänger sowie der behördliche Datenzugriff im Drittland.
Übermittlungsverbot durch Aufsichtsbehörde: Gemäß Art. 8 Abs. 3 GRC sowie Art. 51 Abs. 1, 57 Abs. 1 Buchst. a DSGVO habe die nationale Aufsichtsbehörde die Einhaltung des Datenschutzes insb. bei Drittlandübermittlungen wegen problematischer Rechtsschutzmöglichkeiten von Betroffenen und Aufsichtsbehörden im Drittland zu kontrollieren (vgl. Erwgrd. 116 DSGVO). Sie müsse eine Beschwerde nach Art. 57 Abs. 1 Buchst. f DSGVO mit aller gebotenen Sorgfalt bearbeiten. Dazu bestünden weitreichende Untersuchungs- und Abhilfebefugnisse nach Art. 58 Abs. 1 und 2 DSGVO und gerichtliche Rechtsbehelfe bei Untätigkeit nach Art. 78 Abs. 1 und 2 DSGVO (vgl. Erwgrd. 141 DSGVO). Die Aufsichtsbehörde sei nach Art. 58 Abs. 2 Buchst. f und j DSGVO ggf. zu Aussetzung oder Verbot der Drittlandübermittlung verpflichtet.
Keine Ausnahmebefugnisse: Art. 4 Standardvertragsklausel-Beschluss beschränke abweichend von seiner Vorgängerfassung Aussetzung oder Verbot nicht mehr auf Ausnahmefälle. I.Ü. berechtige die Durchführungsbefugnis für den Erlass von Standardsvertragsklauseln nicht zur Beschränkung der Abhilfebefugnisse (vgl. Erwgrd. 5 Durchführungsbeschluss (EU) 2016/2297).
Funktion der Standardvertragsklauseln: Nach Art. 1 Standardvertragsklausel-Beschluss gälten die Klauseln entsprechend den Anforderungen von Art. 26 Abs. 2 RL 95/46/EG (jetzt Art. 46 Abs. 1, Abs. 2 Buchst. c DSGVO) als angemessene Datenschutzgarantien. Im Gegensatz zum Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO könne beim Standardvertragsklausel-Beschluss, der kein spezielles Drittland betreffe, keine Angemessenheitsprüfung abgeleitet werden. Es sei Sache des Datenexporteurs, bei fehlendem Angemessenheitsbeschluss geeignete Garantien vorzusehen (Erwgrd. 108, 114 DSGVO). Die Klauseln sollten sein Verantwortungsbewusstsein wecken, erforderlichenfalls Ergänzungen vorzusehen (vgl. Erwgrd. 109 DSGVO).
Keine Ungültigkeit des Standardvertragsklausel-Beschlusses: Sofern dies wegen entgegenstehenden Rechts des Drittlandes nicht möglich sei, müssten Verantwortlicher bzw. Auftragsverarbeiter und sekundär die Aufsichtsbehörde die Übermittlung aussetzen oder beenden (vgl. Art. 4 Standardvertragsklausel-Beschluss und Erwgrd. 5 Durchführungsbeschluss (EU) 2016/2297). Die Gültigkeit des Standardvertragsklausel-Beschlusses selbst werde hiervon aber nicht berührt. Divergierende Entscheidungen in den Mitgliedstaaten würden ggf. durch einen verbindlichen Beschluss des Europäischen Datenschutzausschusses (EDSA) im Kohärenzverfahren nach Art. 65 Abs. 1 Buchst. c, Abs. 2 DSGVO vermieden.
Bindungswirkung des Privacy-Shield-Beschlusses: Der nach Klageerhebung im Ausgangsverfahren ergangene Privacy-Shield-Beschluss zur Angemessenheit des Datenschutzniveaus der USA i.S.v. Art. 45 Abs. 1 DSGVO sei relevant für die Beurteilung von Aussetzung oder Verbot der aufgrund von Standardvertragsklauseln erfolgenden Datenübermittlung. Das angemessene Schutzniveau bestehe nach Art. 1 Abs. 3 Privacy-Shield-Beschluss für eine Übermittlung an die in der „Datenschutzschild-Liste“ aufgeführten Organisationen. Nach Art. 288 Abs. 4 AEUV hindere der Beschluss die Aufsichtsbehörden an Aussetzung oder Verbot der Datenübermittlung, solange er vom EuGH nicht für ungültig erklärt werde (vgl. Erwgrd. 103 DSGVO).
Klagepflicht der Aufsichtsbehörde: Er hindere aber nicht das Beschwerderecht des Betroffenen nach Art. 77 Abs. 1 DSGVO und beschränke nicht die Befugnisse der Aufsichtsbehörde nach Art. 8 Abs. 3 GRC sowie Art. 51 Abs. 1, 57 Abs. 1 Buchst. a DSGVO. Sie müsse – wie vorliegend geschehen – ggf. Klage erheben, damit nationale Gerichte eine Entscheidung durch den EuGH herbeiführen könnten.
Schutzniveau bei Angemessenheitsprüfung: Die Datenweitergabe stelle unabhängig von der späteren Datenverwendung einen Eingriff in Art. 7 und 8 GRC dar. Das Erfordernis einer verhältnismäßigen und den Grundrechtswesensgehalt wahrenden gesetzlichen Grundrechtsschranke gem. Art. Art. 8 Abs. 2, 52 Abs. 1 Satz 2 GRC verlange, dass der auf das absolut Notwendige beschränkte Umfang des Eingriffs gesetzlich selbst, klar und präzise festgelegt sein müsse. Erforderliche Garantien gegen Missbrauchsgefahren seien umso bedeutsamer bei automatisierter Datenverarbeitung. Nach Art. 45 Abs. 2 Buchst. a DSGVO seien bei der Drittlandübermittlung wirksame und durchsetzbare Betroffenenrechte zu berücksichtigen.
Keine Verhältnismäßigkeit: Section 702 FISA lasse keine Einschränkungen der Überwachungsprogramme oder Garantien für Nicht-US-Personen erkennen (so sogar die Kommission in ihrem Erwgrd. 109 Privacy-Shield-Beschluss). PPD-28 verleihe keine gegenüber den amerikanischen Behörden gerichtlich durchsetzbaren Rechte (a.A. Erwgrd. 67, 77 Privacy-Shield-Beschluss). Das Präsidialdekret E.O. 12333 unterfalle überhaupt keiner gerichtlichen Kontrolle. Für die behördliche Sammelerhebung bestünde keine hinreichend klare und präzise Eingrenzung auf das zwingend erforderliche Maß (a.A. Erwgrd. 140 Privacy-Shield-Beschluss). Es gebe somit in den USA keine Art. 52 Abs. 1 GRC gleichwertigen Anforderungen.
Kein gleichwertiger Rechtsschutz: Es gebe keine berücksichtigungsfähigen wirksamen Rechtsbehelfe i.S.v. Art. 45 Abs. 2 Buchst. a DSGVO (vgl. Erwgrd. 104 DSGVO). Sie seien bei Drittlandübermittlungen besonders wichtig, weil in den Mitgliedstaaten entsprechende Befugnisse mit Wirkung im Drittland nicht zur Verfügung stünden (Erwgrd. 116 DSGVO). Gleichwertigen Rechtsschutz biete auch nicht die vorgesehene Ombudsperson (a.A. Erwgrd. 115 und 116 Privacy-Shield-Beschluss). Da sie dem US-Außenminister unterstehe und nicht zu verbindlichen Entscheidungen gegenüber den Nachrichtendiensten berechtigt sei, fehle es an der Gleichwertigkeit zu Art. 47 Abs. 1, Abs. 2 GRC.