Die Social-Media-Plattform Facebook steht wegen ihrer Datenschutzpolitik und dem Umgang mit den persönlichen Daten ihrer User immer wieder in Kritik. Fast schon regelmäßig laufen gegen das Unternehmen Bußgeld- sowie Gerichtsverfahren und es wurden bereits mehrere Strafen gegen den Internetriesen verhängt. Mehr als einmal endeten Rechtsstreitigkeiten mit Facebook vor dem Europäischen Gerichtshof (EuGH).
Gegenstand des neuesten Gerichtsverfahrens gegen Facebook – genauer gesagt gegen die europäische Tochtergesellschaft Facebook Ireland Limited – war die Übermittlung personenbezogener Daten von Nutzern der Plattform auf Server in den Vereinigten Staaten von Amerika (USA) und die dortige Verarbeitung durch die Konzernmutter Facebook Inc. Die Entscheidung des EuGH hat erhebliche Auswirkung für die Datenübermittlung in die USA, denn der Gerichtshof erklärte das sog. US-Privacy-Shield für ungültig.
Hintergrund
Die irische Tochtergesellschaft Facebook Ireland Limited übermittelt personenbezogene Daten ihrer Plattformnutzer an ihre Muttergesellschaft, die Facebook Inc., in die USA. Die USA sind allerdings Drittland im Sinne der DS-GVO, weshalb für die Datenübermittlung die besonderen Vorschriften der Art. 44 ff. DS-GVO beachtet werden müssen. Über diese Regelungen soll sichergesellt werden, dass für personenbezogene Daten aus der EU bzw. dem EWR auch außerhalb des unmittelbaren Geltungsbereichs der DS-GVO ein Schutzniveau gewährleistet ist, das dem durch die Verordnung gewährten gleichwertig ist.
Ob in den USA ein solch angemessenes Datenschutzniveau herrscht, ist seit Jahren umstritten. Allerdings konnten (bis zum 16.07.2020) auf Basis des EU-US-Datenschutzabkommens (EU-US Privacy-Shield, Beschluss 2016/1250) Daten aus der EU ohne weitere Genehmigung der Aufsichtsbehörden an zertifizierte Unternehmen in den USA transferiert werden. Das Abkommen bescheinigte den USA ein ausreichendes Datenschutzniveau.
Der Ausgangsfall und seine Vorgeschichte
Der Rechtsstreit zwischen dem aus Österreich stammenden Juristen Maximilian Schrems und der Facebook Ireland Limited begann bereits im Juni 2013, als dieser bei der irländischen Datenschutz-Aufsichtsbehörde bzw. dessen Leiter, dem Data Protection Commissioner (DPC), Beschwerde gegen das Unternehmen einreichte. Der DPC sollte Facebook die Übermittlung personenbezogener Daten von Herrn Schrems (im Rahmen seiner Befugnisse) in die USA untersagen mit der Begründung, dass das dort herrschende Datenschutzniveau nicht angemessen sei. Seine Aussage begründete er mit den von Edward Snowden enthüllten Tätigkeiten der US-amerikanischen Nachrichtendienste.
Die Beschwerde wurde vom DPC mit Berufung auf die „Safe Harbour“-Entscheidung abgewiesen, bei der die EU-Kommission festgestellt hat, dass in den USA als Drittland ein angemessenes Datenschutzniveau herrscht. Daraufhin reichte Herr Schrems beim High Court, dem obersten Zivil- und Strafgericht Irlands, Klage gegen die Facebook-Tochter ein. Das Gericht wendete sich ebenfalls an den EuGH, der unter anderem die „Safe Harbour“-Entscheidung für ungültig erklärte (Urteil „Schrems I“, Az.: C 362/14). Nach diesem Urteil des EuGH hob der High Court die Entscheidung des DPC auf, mit der dieser die Beschwerde zurückgewiesen hatte, und forderte die Aufsichtsbehörde zu einer erneuten Prüfung auf.
Die Aufsichtsbehörde forderte Herrn Schrems nach Eröffnung der Untersuchung auf, seine Beschwerde umzuformulieren und dabei die Ungültigkeit der „Safe Harbour“-Entscheidung zu berücksichtigen. Als der Beschwerdeführer daraufhin bei der Facebook Ireland Limited Auskunft über die Rechtsgrundlage der Datenübermittlung in die USA verlangte, verwies das Unternehmen auf eine zwischen den Konzernunternehmen geschlossene Vereinbarung zur Datenübermittlung und -verarbeitung („data transfer processing agreement“), ohne die Anfrage genau zu beantworten.
In seiner umformulierten Beschwerde machte Herr Schrems anschließend geltend, dass diese Vereinbarung unzureichend sei, da die Klauseln nicht den Standardvertragsklauseln (SVK) der EU-Kommission (Beschluss 2010/87) entsprechen. Zudem liefern die Standardvertragsklauseln keine geeignete Rechtsgrundlage für die Datenübermittlung, da durch die Weitergabe der Daten an amerikanische Behörden die Rechte der Betroffenen eingeschränkt werden. Der DPC stellte im Rahmen seiner Untersuchungen fest, dass das amerikanische Recht den Betroffenen keine ausreichenden Rechtsbehelfe liefert und dass dieser Mangel durch die Verwendung der Standardvertragsklauseln nicht behoben wird, da die rein vertragliche Verpflichtung Behörden nicht bindet.
Da die Aufsichtsbehörde keine Entscheidung treffen konnte, ohne zu wissen, ob die SVK-Beschlüsse der EU-Kommission überhaupt gültig sind, wendete sich der DPC erneut an den High Court. Da das Gericht die Zweifel der Aufsichtsbehörde teilte, übergab es die Fragestellung an den EuGH.
Die Entscheidung des EuGH
Der EuGH stimmt mit der Einschätzung von Herrn Schrems, dem DPC sowie dem High Court überein und die Luxemburger Richter erklärten in ihrem Urteil vom 16.07.2020 („Schrems II“, Az.: C‑311/18) das EU-US Privacy-Shield für ungültig. Der Gerichtshof begründete seine Entscheidung damit, dass aufgrund der Zugriffsmöglichkeiten der US-Behörden die Anforderungen an den Datenschutz nicht gewährleistet sind. Überwachungsprogramme von Regierungsbehörden müssen den Grundsatz der Verhältnismäßigkeit erfüllen und auf das „zwingend erforderliche Maß“ beschränkt werden, was in den USA nach Einschätzung des EuGH nicht der Fall ist. Zudem stehen Betroffenen keine ausreichenden Rechtsmittel zur Verfügung, um ihre Rechte in den USA gegenüber den Behörden durchsetzen zu können.
Auf Basis der Standardvertragsklauseln können allerdings weiterhin personenbezogene Daten aus der EU in die USA übermittelt werden. Dass die Standardvertragsklauseln nur die Vertragsparteien, nicht aber Behörden binden, steht ihrer Zulässigkeit nicht grundsätzlich entgegen. Verantwortliche Stellen müssen allerdings dafür Sorge tragen, dass für die von ihnen übermittelten Daten und die Betroffenen auch beim Empfänger ein angemessenes Schutzniveau geboten ist. Das heißt, die Vertragsparteien müssen die Umsetzung der Klauseln in der Praxis vorab prüfen sowie sie ggf. erweitern und geeignete Garantien ergänzen, sodass ein angemessenes Datenschutzniveau sichergestellt ist. Kann allerdings auch durch weitere Maßnahmen kein ausreichendes Schutzniveau gewährleistet werden, beispielsweise weil der Erfüllung der vertraglichen Vereinbarung gesetzliche Regelungen im Land des Empfängers entgegenstehen, ist die Datenübermittlung trotz Abschluss der SVK unzulässig.
Der EuGH erklärt zudem eindeutig, dass Aufsichtsbehörden den Datentransfer in ein Drittland aussetzen oder verbieten müssen, wenn sich herausstellt, dass die Standardvertragsklauseln in dem betreffenden Land nicht eingehalten werden (können) und das geforderte Schutzniveau auch nicht durch andere Mittel sichergestellt wird.
Offengelassen hat der EuGH allerdings die Frage, ob die von Facebook verwendete Vereinbarung ein ausreichendes Schutzniveau garantiert. Es bleibt abzuwarten, welche Entscheidung der High Court nun basierend auf dem Urteil des EuGH trifft.
Stellungnahmen zuständiger Behörden
Folgen der Entscheidung des EuGH
Das Urteil des EuGH stellt einen Großteil der europäischen Unternehmen vor große Herausforderungen, denn sämtliche Datentransfers in die USA auf Basis des Privacy Shields sind nun zunächst einmal unzulässig. Die betroffenen Unternehmen müssen mit allen Partnern in den USA unverzüglich neue Vereinbarungen schließen und zusätzliche Maßnahmen ergreifen. Aber auch in Bezug auf die Standardvertragsklauseln herrscht momentan große Rechtsunsicherheit, ob es einen Weg gibt, über deren Abschluss ein angemessenes Schutzniveau für die übermittelten Daten zu gewährleisten.
Der EuGH konnte lediglich feststellen, dass anhand der Grundrechtecharta der EU nichts dagegenspricht. Es spricht aber sehr vieles dafür, dass aufgrund der weitreichenden Zugriffsmöglichkeiten der US-Nachrichtendienste bspw. nach Section 702 FISA und Executive Order 12333 auch erweiterte Standardvertragsklauseln kein ausreichendes Datenschutzniveau gewährleisten werden können. Die amerikanischen Unternehmen unterliegen in ihrem Tätigkeitsbereich den amerikanischen Gesetzen und müssen diese befolgen. Sie werden daher die im Kern erforderlichen vertraglichen Regelungen für eine datenschutzkonforme Datenübermittlung und -verarbeitung nicht erfüllen können.
Dies zeigen auch die Stellungnahmen der deutschen Aufsichtsbehörden, die im Hinblick auf die Prüfpflicht zwar teilweise unterschiedliche Meinungen vertreten, sich in einem Punkt aber einig sind: Die Standardvertragsklauseln allein bieten kein den Anforderungen der DS-GVO entsprechendes Datenschutzschutzniveau für Daten, die in die USA übermittelt werden. Es bleibt abzuwarten, wie die EU-Kommission auf das Urteil des EuGH reagiert und ob die Aufsichtsbehörden praxistaugliche Lösungen finden. Die Forderung, sämtliche Datenübermittlungen in die USA einzustellen, ist zwar konsequent und aus der Perspektive des europäischen Datenschutzrechts die einzig richtige Lösung, aufgrund der Monopolstellung der amerikanischen Unternehmen in vielen technischen Bereichen aber kaum umsetzbar, ohne die Existenz vieler Unternehmen ernsthaft zu gefährden. Ein Verzicht auf die elementaren Anwendungen ist im Betriebsalltag schlicht unmöglich ebenso wie die Nutzung der Anwendungen ohne Übermittlung personenbezogener Daten.
Was Verantwortliche tun sollten
Auch wenn derzeit noch unklar ist, ob und unter welchen Voraussetzungen eine Datenübermittlung in die USA überhaupt noch zulässig ist, dürfen Daten in jedem Fall nicht mehr auf Basis des US-Privacy-Shields transferiert werden. Zudem muss bei Empfängern in den USA geprüft werden, ob die Daten dort angemessen geschützt sind, wobei hier die Wertungen des EuGH-Urteils zu berücksichtigen sind. Die Aufsichtsbehörden empfehlen, dies auch für Datentransfers in andere Drittländer, für die kein Angemessenheitsbeschluss vorliegt, zu tun.