Die Social-Media-Plattform Facebook steht wegen ihrer Datenschutzpolitik und dem Umgang mit den persönlichen Daten ihrer User immer wieder in Kritik. Fast schon regelmäßig laufen gegen das Unternehmen Bußgeld- sowie Gerichtsverfahren und es wurden bereits mehrere Strafen gegen den Internetriesen verhängt. Mehr als einmal endeten Rechtsstreitigkeiten mit Facebook vor dem Europäischen Gerichtshof (EuGH).

Gegenstand des neuesten Gerichtsverfahrens gegen Facebook – genauer gesagt gegen die europäische Tochtergesellschaft Facebook Ireland Limited – war die Übermittlung personenbezogener Daten von Nutzern der Plattform auf Server in den Vereinigten Staaten von Amerika (USA) und die dortige Verarbeitung durch die Konzernmutter Facebook Inc. Die Entscheidung des EuGH hat erhebliche Auswirkung für die Datenübermittlung in die USA, denn der Gerichtshof erklärte das sog. US-Privacy-Shield für ungültig.

Hintergrund

Die irische Tochtergesellschaft Facebook Ireland Limited übermittelt personenbezogene Daten ihrer Plattformnutzer an ihre Muttergesellschaft, die Facebook Inc., in die USA. Die USA sind allerdings Drittland im Sinne der DS-GVO, weshalb für die Datenübermittlung die besonderen Vorschriften der Art. 44 ff. DS-GVO beachtet werden müssen. Über diese Regelungen soll sichergesellt werden, dass für personenbezogene Daten aus der EU bzw. dem EWR auch außerhalb des unmittelbaren Geltungsbereichs der DS-GVO ein Schutzniveau gewährleistet ist, das dem durch die Verordnung gewährten gleichwertig ist.

Ob in den USA ein solch angemessenes Datenschutzniveau herrscht, ist seit Jahren umstritten. Allerdings konnten (bis zum 16.07.2020) auf Basis des EU-US-Datenschutzabkommens (EU-US Privacy-Shield, Beschluss 2016/1250) Daten aus der EU ohne weitere Genehmigung der Aufsichtsbehörden an zertifizierte Unternehmen in den USA transferiert werden. Das Abkommen bescheinigte den USA ein ausreichendes Datenschutzniveau.

Mehr Informationen zum Drittland

Was genau unter einem Drittland im Sinne der DS-GVO zu verstehen ist und welche Anforderungen für die Datenübermittlung in ein Drittland beachtet werden müssen, können Sie auch in unserem Datenschutz-ABC nachlesen.

Der Ausgangsfall und seine Vorgeschichte

Der Rechtsstreit zwischen dem aus Österreich stammenden Juristen Maximilian Schrems und der Facebook Ireland Limited begann bereits im Juni 2013, als dieser bei der irländischen Datenschutz-Aufsichtsbehörde bzw. dessen Leiter, dem Data Protection Commissioner (DPC), Beschwerde gegen das Unternehmen einreichte. Der DPC sollte Facebook die Übermittlung personenbezogener Daten von Herrn Schrems (im Rahmen seiner Befugnisse) in die USA untersagen mit der Begründung, dass das dort herrschende Datenschutzniveau nicht angemessen sei. Seine Aussage begründete er mit den von Edward Snowden enthüllten Tätigkeiten der US-amerikanischen Nachrichtendienste.

Die Beschwerde wurde vom DPC mit Berufung auf die „Safe Harbour“-Entscheidung abgewiesen, bei der die EU-Kommission festgestellt hat, dass in den USA als Drittland ein angemessenes Datenschutzniveau herrscht. Daraufhin reichte Herr Schrems beim High Court, dem obersten Zivil- und Strafgericht Irlands, Klage gegen die Facebook-Tochter ein. Das Gericht wendete sich ebenfalls an den EuGH, der unter anderem die „Safe Harbour“-Entscheidung für ungültig erklärte (Urteil „Schrems I“, Az.: C 362/14). Nach diesem Urteil des EuGH hob der High Court die Entscheidung des DPC auf, mit der dieser die Beschwerde zurückgewiesen hatte, und forderte die Aufsichtsbehörde zu einer erneuten Prüfung auf.

Die Aufsichtsbehörde forderte Herrn Schrems nach Eröffnung der Untersuchung auf, seine Beschwerde umzuformulieren und dabei die Ungültigkeit der „Safe Harbour“-Entscheidung zu berücksichtigen. Als der Beschwerdeführer daraufhin bei der Facebook Ireland Limited Auskunft über die Rechtsgrundlage der Datenübermittlung in die USA verlangte, verwies das Unternehmen auf eine zwischen den Konzernunternehmen geschlossene Vereinbarung zur Datenübermittlung und -verarbeitung („data transfer processing agreement“), ohne die Anfrage genau zu beantworten.

In seiner umformulierten Beschwerde machte Herr Schrems anschließend geltend, dass diese Vereinbarung unzureichend sei, da die Klauseln nicht den Standardvertragsklauseln (SVK) der EU-Kommission (Beschluss 2010/87) entsprechen. Zudem liefern die Standardvertragsklauseln keine geeignete Rechtsgrundlage für die Datenübermittlung, da durch die Weitergabe der Daten an amerikanische Behörden die Rechte der Betroffenen eingeschränkt werden. Der DPC stellte im Rahmen seiner Untersuchungen fest, dass das amerikanische Recht den Betroffenen keine ausreichenden Rechtsbehelfe liefert und dass dieser Mangel durch die Verwendung der Standardvertragsklauseln nicht behoben wird, da die rein vertragliche Verpflichtung Behörden nicht bindet.

Da die Aufsichtsbehörde keine Entscheidung treffen konnte, ohne zu wissen, ob die SVK-Beschlüsse der EU-Kommission überhaupt gültig sind, wendete sich der DPC erneut an den High Court. Da das Gericht die Zweifel der Aufsichtsbehörde teilte, übergab es die Fragestellung an den EuGH.

Die Entscheidung des EuGH

Der EuGH stimmt mit der Einschätzung von Herrn Schrems, dem DPC sowie dem High Court überein und die Luxemburger Richter erklärten in ihrem Urteil vom 16.07.2020 („Schrems II“, Az.: C‑311/18) das EU-US Privacy-Shield für ungültig. Der Gerichtshof begründete seine Entscheidung damit, dass aufgrund der Zugriffsmöglichkeiten der US-Behörden die Anforderungen an den Datenschutz nicht gewährleistet sind. Überwachungsprogramme von Regierungsbehörden müssen den Grundsatz der Verhältnismäßigkeit erfüllen und auf das „zwingend erforderliche Maß“ beschränkt werden, was in den USA nach Einschätzung des EuGH nicht der Fall ist. Zudem stehen Betroffenen keine ausreichenden Rechtsmittel zur Verfügung, um ihre Rechte in den USA gegenüber den Behörden durchsetzen zu können.

Auf Basis der Standardvertragsklauseln können allerdings weiterhin personenbezogene Daten aus der EU in die USA übermittelt werden. Dass die Standardvertragsklauseln nur die Vertragsparteien, nicht aber Behörden binden, steht ihrer Zulässigkeit nicht grundsätzlich entgegen. Verantwortliche Stellen müssen allerdings dafür Sorge tragen, dass für die von ihnen übermittelten Daten und die Betroffenen auch beim Empfänger ein angemessenes Schutzniveau geboten ist. Das heißt, die Vertragsparteien müssen die Umsetzung der Klauseln in der Praxis vorab prüfen sowie sie ggf. erweitern und geeignete Garantien ergänzen, sodass ein angemessenes Datenschutzniveau sichergestellt ist. Kann allerdings auch durch weitere Maßnahmen kein ausreichendes Schutzniveau gewährleistet werden, beispielsweise weil der Erfüllung der vertraglichen Vereinbarung gesetzliche Regelungen im Land des Empfängers entgegenstehen, ist die Datenübermittlung trotz Abschluss der SVK unzulässig.

Der EuGH erklärt zudem eindeutig, dass Aufsichtsbehörden den Datentransfer in ein Drittland aussetzen oder verbieten müssen, wenn sich herausstellt, dass die Standardvertragsklauseln in dem betreffenden Land nicht eingehalten werden (können) und das geforderte Schutzniveau auch nicht durch andere Mittel sichergestellt wird.

Offengelassen hat der EuGH allerdings die Frage, ob die von Facebook verwendete Vereinbarung ein ausreichendes Schutzniveau garantiert. Es bleibt abzuwarten, welche Entscheidung der High Court nun basierend auf dem Urteil des EuGH trifft.

Stellungnahmen zuständiger Behörden

In ihrer Pressemitteilung vom 28.07.2020 nimmt die deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Stellung zum Urteil des EuGH. Die DSK betont, dass aufgrund der Ungültigkeit des US-Privacy-Shields sämtliche darauf basierende Datenübermittlungen unzulässig sind und unverzüglich unterbunden werden müssen. Zudem müssen die verantwortlichen Datenexporteure und die Datenempfänger bestehende Vereinbarungen wie Standardvertragsklauseln oder andere Garantien nach Art. 46 DS-GVO, wie beispielsweise Binding Corporate Rules, unter Einbeziehung der Wertung des Urteils prüfen. Ist das Schutzniveau beim Empfänger nicht angemessen, sind zusätzliche Regelungen zu ergänzen. Für einen Datentransfer in die USA können die Standardvertragsklauseln zwar weiterhin verwendet werden, sie sind allein allerdings grundsätzlich nicht ausreichend. Insofern alle Anforderungen erfüllt sind, ist auch eine Datenübermittlung in die USA auf Grundlage des Art. 49 DS-GVO weiterhin zulässig. Da der EuGH keine Übergangs- bzw. Schonfrist eingeräumt hat, müssen Verantwortliche, die Daten in die USA übermitteln, die Zulässigkeit unverzüglich prüfen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit vertritt in ihrer Pressemitteilung vom 17.07.2020 die wohl konsequenteste Ansicht im Vergleich mit anderen deutschen Aufsichtsbehörden: Sie fordert nach dem EuGH-Urteil, dass personenbezogene Daten, die in den USA gespeichert werden, nach Europa verlagert werden. Die Berliner Beauftragte stützt ihre Aussage auf die unverhältnismäßig weitreichenden Zugriffsmöglichkeiten der US-Behörden, aufgrund derer auch Standardvertragsklauseln keine ausreichende Grundlage für einen Datentransfer bieten können. Daten, die bereits in die USA übermittelt wurden, müssen zurückgeholt werden und Verantwortliche müssen zu Anbietern innerhalb der EU oder einem Drittland mit angemessenem Schutzniveau wechseln.

Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit stuft die Standardvertragsklauseln in seiner Pressemitteilung vom 16.07.2020 als ungeeignet ein, einen Datentransfer in die USA zu rechtfertigen. Seiner Meinung nach sei die Entscheidung des EuGH in diesem Punkt inkonsequent. Wenn das Privacy-Shield aufgrund der Geheimdienstaktivitäten ungültig sei, müsse dies für die Standardvertragsklauseln ebenfalls gelten. Der Hamburgische Beauftragte sieht es nun als Aufgabe der Aufsichtsbehörden, Datenübermittlungen auf Basis der Standardvertragsklauseln unter Berücksichtigung der Wertungen des EuGH-Urteils kritisch zu prüfen.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit wirft in seiner Pressemitteilung vom 16.07.2020 die Frage auf, wie die Ergänzung der Standardvertragsklauseln praktisch gestaltet werden soll, um ein angemessenes Datenschutzniveau zu gewährleisten. Zwar begrüßt er die Wertung des EuGH-Urteils, sieht allerdings nicht, wie ein datenschutzkonformer Datentransfer in die USA umgesetzt werden soll. Der Thüringer Landesbeauftragte betrachtet es als Aufgabe der europäischen Aufsichtsbehörden, diese Fragestellung zu prüfen und zu beantworten.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat in seiner Pressemitteilung vom 24.07.2020 bereits angekündigt, bei Unternehmen Kontrollen durchzuführen. Verantwortliche, die auf Basis des US-Privacy-Shields personenbezogene Daten in die USA übermittelt haben, müssen nun alternative Maßnahmen treffen und gegenüber der Aufsichtsbehörde nachweisen können. Gleichzeitig betont der Landesbeauftragte, dass die Standardvertragsklauseln ergänzt werden müssen, um ein angemessenes Schutzniveau zu gewährleisten, wobei diese zusätzlichen Maßnahmen wohl in den wenigsten Fällen ausreichend sein werden. Kann kein Datenschutzniveau gewährleistet werden, das den Anforderungen der DS-GVO entspricht, ist die Datenübermittlung einzustellen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI) hat Ende August in der Orientierungshilfe „Was jetzt in Sachen internationaler Datentransfer?“ Hinweise zur Rechtslage gegeben und sein weiteres Vorgehen zum Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 festgelegt. Im Kern ergibt sich daraus, dass die Datenübermittlung in die USA auch in Baden-Württemberg für sehr kritisch gesehen und (wenn überhaupt) nur in sehr wenigen Ausnahmefällen datenschutzkonform für möglich gehalten wird.

Herr Brink erwartet daher von Unternehmen, dass Sie sämtliche Übermittlungen prüfen, Kontakt zu den Vertragspartnern aufnehmen und nach geeigneten zumutbaren Alternativen ohne Transferproblematik suchen. Er betont explizit, dass ihm die damit einhergehende Belastung für Unternehmen durchaus bewusst ist. Trotzdem wird seine Behörde entsprechende Datentransfers in die USA untersagen, wenn er von den Unternehmen nicht überzeugt wurde, dass der Dienstleister kurz- oder mittelfristig unersetzlich ist.

Folgen der Entscheidung des EuGH

Das Urteil des EuGH stellt einen Großteil der europäischen Unternehmen vor große Herausforderungen, denn sämtliche Datentransfers in die USA auf Basis des Privacy Shields sind nun zunächst einmal unzulässig. Die betroffenen Unternehmen müssen mit allen Partnern in den USA unverzüglich neue Vereinbarungen schließen und zusätzliche Maßnahmen ergreifen. Aber auch in Bezug auf die Standardvertragsklauseln herrscht momentan große Rechtsunsicherheit, ob es einen Weg gibt, über deren Abschluss ein angemessenes Schutzniveau für die übermittelten Daten zu gewährleisten.

Der EuGH konnte lediglich feststellen, dass anhand der Grundrechtecharta der EU nichts dagegenspricht. Es spricht aber sehr vieles dafür, dass aufgrund der weitreichenden Zugriffsmöglichkeiten der US-Nachrichtendienste bspw. nach Section 702 FISA und Executive Order 12333 auch erweiterte Standardvertragsklauseln kein ausreichendes Datenschutzniveau gewährleisten werden können. Die amerikanischen Unternehmen unterliegen in ihrem Tätigkeitsbereich den amerikanischen Gesetzen und müssen diese befolgen. Sie werden daher die im Kern erforderlichen vertraglichen Regelungen für eine datenschutzkonforme Datenübermittlung und -verarbeitung nicht erfüllen können.

Dies zeigen auch die Stellungnahmen der deutschen Aufsichtsbehörden, die im Hinblick auf die Prüfpflicht zwar teilweise unterschiedliche Meinungen vertreten, sich in einem Punkt aber einig sind: Die Standardvertragsklauseln allein bieten kein den Anforderungen der DS-GVO entsprechendes Datenschutzschutzniveau für Daten, die in die USA übermittelt werden. Es bleibt abzuwarten, wie die EU-Kommission auf das Urteil des EuGH reagiert und ob die Aufsichtsbehörden praxistaugliche Lösungen finden. Die Forderung, sämtliche Datenübermittlungen in die USA einzustellen, ist zwar konsequent und aus der Perspektive des europäischen Datenschutzrechts die einzig richtige Lösung, aufgrund der Monopolstellung der amerikanischen Unternehmen in vielen technischen Bereichen aber kaum umsetzbar, ohne die Existenz vieler Unternehmen ernsthaft zu gefährden. Ein Verzicht auf die elementaren Anwendungen ist im Betriebsalltag schlicht unmöglich ebenso wie die Nutzung der Anwendungen ohne Übermittlung personenbezogener Daten.

Was Verantwortliche tun sollten

Auch wenn derzeit noch unklar ist, ob und unter welchen Voraussetzungen eine Datenübermittlung in die USA überhaupt noch zulässig ist, dürfen Daten in jedem Fall nicht mehr auf Basis des US-Privacy-Shields transferiert werden. Zudem muss bei Empfängern in den USA geprüft werden, ob die Daten dort angemessen geschützt sind, wobei hier die Wertungen des EuGH-Urteils zu berücksichtigen sind. Die Aufsichtsbehörden empfehlen, dies auch für Datentransfers in andere Drittländer, für die kein Angemessenheitsbeschluss vorliegt, zu tun.

Im ersten Schritt müssen die Verantwortlichen analysieren, bei welchen Verfahren überhaupt personenbezogene Daten in die USA oder ein anderes Drittland übermittelt werden. Dies ist mit einem gut geführten Verzeichnis der Verarbeitungstätigkeiten relativ leicht möglich, da hier die Übermittlung der verarbeiteten Daten in ein Drittland entweder direkt erfasst ist oder zumindest über Verknüpfungen dargestellt werden kann. Auf die Liste müssen sowohl Datenübermittlungen durch den Verantwortlichen selbst als auch durch Auftragsverarbeiter.

Bei allen identifizierten Verfahren muss zeitgleich oder anschließend geprüft werden, auf welcher Rechtsgrundlage der Transfer basiert. Liegt für das Empfängerland ein Angemessenheitsbeschluss der EU-Kommission vor, sind keine weiteren Maßnahmen erforderlich. Liefern Standardvertragsklauseln, Binding Corporate Rules oder ähnliche Garantien die Grundlage für die Datenübermittlung, muss geprüft werden, ob diese ein angemessenes Schutzniveau gewährleisten oder ergänzende Maßnahmen getroffen werden müssen. Hierzu gehört auch die Kontrolle, ob die vereinbarten Regelungen beim Empfänger der Daten überhaupt umgesetzt werden können oder bspw. durch geltendes Recht untergraben werden.

Insbesondere für die Datenübermittlung in die USA gilt es, bei den Datenimporteuren gezielt nachzufragen, ob sie die Anforderungen der EU-Standardvertragsklauseln erfüllen können ebenso wie die wohl zwingend erforderlichen Ergänzungen. Da Unternehmen in den USA je nach Branche unterschiedlichen staatlichen Überwachungsgesetzen unterliegen, sollten europäische Datenexporteure abklären, ob die US-amerikanischen Empfänger FISA 702 und EO 12333 unterliegen.

Auf diese Weise können Verantwortliche gegenüber den Aufsichtsbehörden zumindest nachweisen, dass ihnen die Problematik bewusst ist und sie bemüht sind, den Datentransfer möglichst im Einklang mit der DS-GVO zu gestalten. Soweit dies realisierbar ist, sollte zusätzlich zu Anbietern innerhalb der EU oder einem „sicheren“ Drittland gewechselt und der Datentransfer in die USA minimiert werden. In der Praxis stellt dies europäische Verantwortliche vor große Herausforderungen, denn an vielen Stellen gibt es kaum Alternativen zu den amerikanischen Anbietern. Umso wichtiger ist es, dass die zuständigen Behörden hierzu konkretere Stellungnahmen abgeben.