EUGH: REGELUNGEN FÜR DATENÜBERMITTLUNG TEILWEISE UNGÜLTIG (C-311/18 - "SCHREMS-II") - ORTH KLUTH
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Newsletter 2/2020
IP-/IT-Recht
EuGH: Regelungen für Datenübermittlung
teilweise ungültig (C-311/18 – „Schrems-II“)
Der EuGH hat im Rahmen eines Vorabent- Die Entscheidung des EuGH betrifft einen
scheidungsverfahrens am 16. Juli 2020 Großteil der Übermittlungen personenbe-
(Rechtssache C-311/18 - „Schrems-II“) den zogener Daten aus der EU in die USA und ist
„EU-US Privacy Shield“ - einen Angemessen- somit von großer Relevanz, insbesondere
heitsbeschluss der EU-Kommission auch für europäische Unternehmen, die mit
(2016/1250) - für nichtig erklärt, da das US- US-Unternehmen kooperieren oder von die-
Recht kein den Anforderungen der Daten- sen angebotene Produkte nutzen.
schutz-Grundverordnung (DSGVO) entspre-
chendes Schutzniveau für personenbezo-
gene Daten gewährleiste.
Rechtliche Voraussetzungen für
Unternehmen, die personenbezogene Datenübermittlungen
Daten in Länder außerhalb der EU über-
mitteln, müssen jetzt umgehend ihre be- Die Übermittlung personenbezogener Da-
stehenden Verträge in Bezug auf den ten in Drittländer, die nicht Mitgliedstaaten
Drittstaatentransfer überprüfen. der EU sind sowie Island, Liechtenstein und
Norwegen, darf nur unter besonderen Vo-
Den Beschluss 2010/87/EU, mit dem die
raussetzungen erfolgen (Art. 44 ff. DSGVO).
EU-Kommission Standarddatenschutzklau-
Es soll sichergestellt werden, dass das be-
seln für die Übermittlung personenbezoge-
sonders hohe Schutzniveau für die Verar-
ner Daten an Auftragsverarbeiter in Dritt-
beitung personenbezogener Daten in Eu-
ländern erlassen hat, sah der EuGH hinge-
ropa, das durch die DSGVO geschaffen
gen zwar als gültig an, stellte jedoch zusätz-
wurde, nicht umgangen wird. Verantwortli-
liche Anforderungen an Verantwortliche,
che, die personenbezogene Daten in Dritt-
die diese Klauseln im Rahmen ihrer Daten-
länder übermitteln wollen, müssen daher
übermittlungen verwenden.
Newsletter – IP-/IT-Recht 2/2020 2
_______________________________________________________________________________________________________________
geeignete Garantien für den Schutz der be- Praxis der Datenübermittlung an die Face-
troffenen Personen vorsehen und diesen book Inc. in den USA eingelegt.
durchsetzbare Rechte und wirksame
Rechtsbehelfe zur Verfügung stellen. Max Schrems forderte in seiner Be-
schwerde, Facebook Ireland die Datenüber-
Eine Möglichkeit zur Übermittlung perso- mittlung in die USA zu untersagen, da das
nenbezogener Daten ist ein sog. Angemes- Recht der USA keinen ausreichenden Schutz
senheitsbeschluss der EU-Kommission (Art. der dort gespeicherten personenbezogenen
45 DSGVO). Mit diesem stellt die Kommis- Daten gewährleiste, insbesondere hinsicht-
sion fest, dass in einem bestimmten Dritt- lich diverser Befugnisse der US-Geheim-
land ein dem der EU angemessenes Schutz- dienste. Der DPC wies die Beschwerde mit
niveau bezüglich des Umgangs mit perso- Hinweis auf das „Safe Harbor“-Abkommen
nenbezogenen Daten besteht. zurück, da ein ausreichendes Schutzniveau
gewährleistet sei. Infolge dessen erklärte
Die EU-Kommission hatte sowohl mit dem der EuGH das „Safe Harbor“-Abkommen
„Safe Harbor“-Abkommen im Jahr 2000 als 2015 für ungültig (C-362/14, „Schrems-I“).
auch 2016 mit dem „EU-US Privacy Shield“
für die USA festgestellt, dass das US-Recht Infolge der Ungültigkeitserklärung wies Fa-
ein angemessenes Datenschutzniveau biete, cebook darauf hin, dass Daten der Face-
sodass auf Grundlage dessen personenbe- booknutzer nicht auf Grundlage des Abkom-
zogene Daten grundsätzlich von der EU in mens, sondern vielmehr auf Grundlage der
die USA übermittelt werden durften. Standarddatenschutzklauseln (SDK-Be-
schluss 2010/87) übermittelt würden. Max
Neben einem Angemessenheitsbeschluss Schrems änderte daraufhin seine Be-
der EU-Kommission, sehen die Art. 44 ff. schwerde gegenüber dem DPC und machte
DSGVO weitere Möglichkeiten für eine insbesondere geltend, auch die Standardda-
Übermittlung personenbezogener Daten in tenschutzklauseln sowie der SDK-Beschluss
Drittländer vor. Verantwortlichen selbst könnten die Datenübermittlung nicht recht-
stehen als geeignete Garantien unter ande- fertigen, da der Datenimporteur (hier: Face-
rem Standarddatenschutzklauseln (Art. 46 book Inc.) aufgrund diverser US-Gesetze
Abs. 2 lit. c DSGVO) oder Bindung Corporate verpflichtet sei, übermittelte Daten ameri-
Rules (BCR, Art 47 DSGVO) zur Verfügung. kanischen Behörden (u.a. NSA, FBI) zur Ver-
fügung zu stellen und somit die sich aus den
Standarddatenschutzklauseln ergebenden
Verpflichtungen gar nicht einhalten könne.
Das EuGH-Verfahren
Auch der DPC äußerte im Anschluss die Be-
Das nun beendete EuGH-Verfahren (C- fürchtung, die Standarddatenschutzklau-
311/18) geht ursprünglich auf den österrei- seln könnten als vertragliche Rechte nicht
chischen Datenschützer Max Schrems zu- geeignet sein, den von der Datenübermitt-
rück. Dieser ist Facebooknutzer und hatte lung betroffenen Personen ausreichende
2013 bei der für Facebook Ireland zuständi- Rechte gegenüber Facebook einzuräumen,
gen irischen Datenschutzaufsichtsbehörde ohne die amerikanischen Behörden zu bin-
(Data Protection Commissioner, „DPC“) Be- den. Der DPC hatte somit Zweifel an der Gül-
schwerde bezüglich Facebook Irelands tigkeit des SDK-Beschlusses und rief daher
den irischen High Court an, der dem EuGH
Newsletter – IP-/IT-Recht 2/2020 3
_______________________________________________________________________________________________________________
nachfolgend einige Fragen zur Vorabent- wenn sie in Widerstreit zu den Erfordernis-
scheidung vorlegte, u.a. nach der Gültigkeit sen des US-Rechts stehen.
des SDK-Beschlusses sowie (inzident) nach
der Gültigkeit des „Privacy Shield“. Für die Einschränkung von Grundrechten
enthalte das EU-Recht jedoch konkrete Vo-
raussetzungen, die im Sinne eines angemes-
senen Schutzniveaus insoweit auch im US-
Die Entscheidungen des EuGH Recht bestehen müssten. Insbesondere
dürfe der Wesensgehalt eines Grundrechts
(„Schrems-II“)
nicht angetastet werden und Einschränkun-
gen der Grundrechte müssten verhältnis-
„Privacy Shield“
mäßig sein (Art. 52 EU-GRCh).
Der EuGH entschied nun, dass der Angemes- In die Grundrechte auf Privatheit und Da-
senheitsbeschluss „Privacy Shield“ ungültig tenschutz (Art. 7, Art. 8 EU-GRCh) eingrei-
sei, da er nicht den sich aus der DSGVO so- fende Regelungen müssten somit Min-
wie der Charta der Grundrechte der EU er- desterfordernisse für Einschränkungen auf-
gebenden Anforderungen entspreche. Die stellen, so dass die Personen, deren Daten
USA böten kein der EU angemessenes übermittelt wurden, über ausreichende Ga-
Schutzniveau für die Verarbeitung perso- rantien verfügen, die einen wirksamen
nenbezogener Daten. Dies habe die EU- Schutz ihrer personenbezogenen Daten vor
Kommission bei ihrer Beschlussfassung Missbrauchsrisiken ermöglichten. Im Hin-
verkannt. Datenübermittlungen von der EU blick auf die Prüfung der Angemessenheit
in die USA können somit nicht mehr auf den des von einem Drittland gebotenen Schutz-
„Privacy Shield“ gestützt werden. niveaus ergebe sich so unter anderem das
Erfordernis „wirksamer und durchsetzbarer
Der EuGH stellte fest, dass der Erlass eines
Rechte der betroffenen Personen“ (Art. 45
Angemessenheitsbeschlusses durch die EU-
Abs. 2 lit. a DSGVO).
Kommission die Feststellung erfordere,
dass das betreffende Drittland aufgrund sei- Die US-Gesetze, die einen Zugriff insbeson-
ner innerstaatlichen Rechtsvorschriften tat- dere der US-Geheimdienste auf aus der EU
sächlich ein Schutzniveau der Grundrechte übermittelte, personenbezogene Daten er-
gewährleiste, das dem in der EU garantier- möglichten, enthielten allerdings keine den
ten Niveau der Sache nach gleichwertig sei. Anforderungen entsprechenden Einschrän-
kungen. Ebenso wenig sei erkennbar, dass
Der Privacy Shield-Beschluss sehe unter an-
für potenziell von den Programmen der US-
derem vor, dass die darin enthaltenen
Geheimdienste erfasste Nicht-US-Personen,
Grundsätze insoweit eingeschränkt sein
also auch EU-Bürger, Garantien zum Schutz
könnten, „als Erfordernisse der nationalen
ihrer Rechte existierten. Im US-Recht be-
Sicherheit, des öffentlichen Interesses oder
stehe daher kein Schutzniveau, das dem
der Durchführung von Gesetzen Rechnung
durch die Charta garantierten Niveau der
getragen werden muss“. Aufgrund dessen
Sache nach gleichwertig sei.
seien die US-Organisationen, die vom „Pri-
vacy Shield“ erfasst seien, ohne jede Ein- Zudem sei das durch Art. 47 der EU-Grund-
schränkung verpflichtet, die Grundsätze des rechtecharta garantierte Recht, bei einem
„Privacy Shield“ unangewendet zu lassen, unabhängigen und unparteiischen Gericht
Newsletter – IP-/IT-Recht 2/2020 4
_______________________________________________________________________________________________________________
einen wirksamen Rechtsbehelf einzulegen, personenbezogener Daten in ein Drittland
durch das „Privacy Shield“ nicht gewährleis- ausgesetzt oder verbotene werden könne,
tet. Insbesondere sei dieses Recht nicht hin- wenn der Datenimporteur die entsprechen-
reichend durch die Einsetzung einer Om- den Klauseln nicht einhält oder nicht einhal-
budsperson des „Privacy Shields“ ausgefüllt ten kann. Ohne einen Angemessenheitsbe-
worden. Daher bestehe auch insoweit im schluss liege es grundsätzlich in der Verant-
US-Recht kein dem Niveau der EU gleich- wortung des jeweiligen Datenexporteurs,
wertiges Schutzniveau für betroffene Perso- geeignete Garantien vorzusehen.
nen.
Sofern festgestellt würde, dass ein Datenim-
Aus diesen Feststellungen folgerte der porteur die in den Standarddatenschutz-
EuGH, dass das US-Recht insgesamt kein klauseln enthaltenen Verpflichtungen nicht
dem Niveau der EU angemessenes Schutzni- einhalten könne, seien die Datenschutzauf-
veau für den Umgang mit personenbezoge- sichtsbehörden, sofern kein gültiger Ange-
nen Daten gewährleiste und nicht den An- messenheitsbeschluss vorliegt, verpflichtet,
forderungen des Art. 45 Abs. 3 DSGVO ent- Datenübermittlungen auszusetzen oder zu
spreche, sodass der „Privacy Shield“-Be- verbieten, sofern der erforderliche Schutz
schluss ungültig sei. der übermittelten Daten nicht mit anderen
Mitteln gewährleistet werden kann und der
entsprechende Verantwortliche, insbeson-
dere also der Datenexporteur, die Übermitt-
„Standarddatenschutzklauseln“ lung nicht bereits selbst ausgesetzt oder be-
endet hat.
Mit dem Abschluss von Standardvertrags-
klauseln können grundsätzlich personenbe- Auch für den verantwortlichen Datenexpor-
zogene Daten in Drittländer übermittelt teur, also beispielsweise das Unternehmen,
werden, für die kein Angemessenheitsbe- das personenbezogene Daten in die USA
schluss besteht. Die Standardvertragsklau- übermittelt, bestehe die entsprechende
seln nach Art. 46 Abs. 2 lit. c DSGVO werden Pflicht zur Aussetzung oder Beendigung der
dabei zwischen dem sogenannten Datenex- Übermittlung, wenn es Kenntnis von ent-
porteur und dem Datenimporteur abge- sprechenden Mängeln des Datenimporteurs
schlossen und dürfen in ihrem gesetzlich erhält. Um das erforderliche Schutzniveau
vorgegebenen Text dabei grundsätzlich zu gewährleisten, könne es sich, je nach der
nicht verändert oder angepasst werden. in einem bestimmten Drittland gegebenen
Lage, grundsätzlich auch als notwendig er-
Den SDK-Beschluss (2010/87) - und somit
weisen, die in den Standarddatenschutz-
im Ergebnis die entsprechenden Standard-
klauseln enthaltenen Garantien zu ergän-
datenschutzklauseln - sah der EuGH hinge-
zen.
gen als gültig an, unabhängig des Umstan-
des, dass der Beschluss keinerlei Bindungs- Art. 46 Abs. 2 lit. c DSGVO, der die Verwen-
wirkung für die Behörden des Drittlandes dung der Standarddatenschutzklauseln vor-
entfalte. Der SDK-Beschluss sehe wirksame sieht, beruhe darauf, dass das Verantwor-
Mechanismen vor, mit denen in der Praxis tungsbewusstsein der in der EU ansässigen
grundsätzlich gewährleistet werden könne, Verantwortlichen, und in zweiter Linie der
dass die auf die Standarddatenschutzklau- Datenschutzaufsichtsbehörden, geweckt
seln gestützte Übermittlung werde. Der EuGH formuliert in seinem
Newsletter – IP-/IT-Recht 2/2020 5
_______________________________________________________________________________________________________________
Urteil eine dementsprechende, konkrete Unternehmen, die ihren Sitz in einem Dritt-
Anforderung an Verantwortliche in der EU: land haben, statt. Insbesondere die Feststel-
lungen des EuGH zu den Anforderungen an
„Folglich obliegt es vor allem diesem Verant- die Verwendung von Standarddatenschutz-
wortlichen (…), in jedem Einzelfall - gegebe- klauseln gelten zudem nicht nur für Daten-
nenfalls in Zusammenarbeit mit dem Emp- übermittlungen in die USA, sondern grund-
fänger der Übermittlung - zu prüfen, ob das sätzlich für sämtliche Datenübermittlungen
Recht des Bestimmungsdrittlands nach Maß- in Drittländer.
gabe des Unionsrechts einen angemessenen
Schutz der auf der Grundlage von Standard- Die Aufgaben und Handlungspflichten für
datenschutzklauseln übermittelten perso- Unternehmen in entsprechenden Situatio-
nenbezogenen Daten gewährleistet, und er- nen hat der EuGH selbst recht eindeutig for-
forderlichenfalls mehr Garantien als die muliert. So können Unternehmen Daten-
durch diese Klauseln gebotenen zu gewäh- übermittlungen in die USA nun nicht mehr
ren.“ auf den „Privacy Shield“ stützen. Daraus
ergibt sich die Anforderung, anderweitige
Der verantwortliche Datenexporteur müsse datenschutzrechtliche Garantien für ent-
demnach selbst überprüfen, ob das Recht sprechende Datenübermittlungen vorzuse-
des jeweiligen Drittlandes entsprechende hen. Insoweit kommen insbesondere Stan-
zusätzliche Maßnahmen erfordere. Sofern darddatenschutzklauseln oder sog. Binding
der Verantwortliche keine hinreichenden, Corporate Rules (BCR), also verbindliche in-
zusätzlichen Maßnahmen zur Gewährleis- terne Datenschutzvorschriften, in Betracht,
tung des erforderlichen Schutzniveaus er- wobei sich Letztere in praktischer Hinsicht
greife, sei er - und in zweiter Linie die Da- grundsätzlich nur für Übermittlungen in-
tenschutzaufsichtsbehörde - verpflichtet, nerhalb von Konzernen eignen dürften. In
die Übermittlung personenbezogener Daten bestimmten Einzelfällen können sich Aus-
in das betreffende Drittland auszusetzen o- nahmen für Datenübermittlungen ergeben
der zu beenden. Der SDK-Beschluss selbst (Art. 49 DSGVO).
sehe entsprechende Mechanismen vor, eine
solche Aussetzung oder ein Verbot der Doch auch bei der Verwendung von Stan-
Übermittlung im jeweiligen Einzelfall zu er- darddatenschutzklauseln beschränken sich
möglichen. die von Unternehmen zu ergreifenden Maß-
nahmen nicht (mehr) auf den bloßen Ab-
schluss der entsprechenden Verträge. Un-
ternehmen sind, gegebenenfalls in Zusam-
Handlungspflichten für Unter- menarbeit mit dem Datenimporteur, ver-
nehmen pflichtet, genau zu überprüfen, ob die ent-
sprechenden Klauseln von dem Datenim-
Das Urteil des EuGH und die darin enthalte- porteur im Hinblick auf das für ihn geltende
nen Feststellungen sind von großer Rele- Recht des Drittlandes überhaupt eingehal-
vanz, insbesondere für sämtliche Unterneh- ten werden können, sofern kein gültiger An-
men in der EU, die personenbezogene Daten gemessenheitsbeschluss der EU-Kommis-
in die USA, aber auch andere Drittländer, sion für das betreffende Drittland besteht.
übermitteln. Eine Übermittlung personen- Diese Prüfung dürfte sich für Unternehmen
bezogener Daten findet dabei häufig bereits in praktischer Hinsicht oftmals als schwie-
bei der Verwendung von Produkten von rig und komplex erweisen. GegebenenfallsNewsletter – IP-/IT-Recht 2/2020 6
_______________________________________________________________________________________________________________
müssen Unternehmen weitere Maßnahmen Protection Agreement) überprüft und erfor-
ergreifen, um das erforderliche Schutzni- derliche Anweisungen getätigt werden.
veau zu gewährleisten, wobei sich diese zu-
sätzlichen Maßnahmen am jeweiligen Ein- Einige deutsche Datenschutzaufsichtsbe-
zelfall orientieren müssen. hörden (u.a. Hamburg, Rheinland-Pfalz) ha-
ben sich bereits zu dem Urteil geäußert und
Ein erster Schritt für Unternehmen sollte angekündigt, nun bei Datenübermittlungen
nun die Überprüfung sämtlicher Verträge in „ganz genau hinzuschauen“. Zudem haben
Bezug auf Datenübermittlungen in Drittlän- sie betont, dass es keine Karenzzeit gebe.
der, insbesondere in die USA, sein. Entspre- Daher sind Unternehmen gehalten, sich
chende Datenübermittlungen können sich kurzfristig mit diesem Thema zu beschäftig-
dabei bereits aus der Verwendung von Pro- ten und entsprechende Maßnahmen zu er-
dukten (Software etc.) ergeben, sofern die greifen.
Produktanbieter ihren Sitz in einem Dritt-
land haben. Zudem sollten Verträge mit an-
deren Verantwortlichen (Joint Control Ag-
reement) und Auftragsverarbeitern (Data
Kontakt
_______________________________________________________________________________________________________________
Dr. Philipp Mels
Rechtsanwalt, Fachanwalt für Gewerblichen Rechts-
schutz, Partner
T +49 211 60035-180
philipp.mels@orthkluth.com
Kaistraße 6, 40221 Düsseldorf
orthkluth.com
Prof. Dr. Michael Bohne
Of-Counsel
T +49 211 60035-174
michael.bohne@orthkluth.com
Kaistraße 6, 40221 Düsseldorf
orthkluth.comNewsletter – IP-/IT-Recht 2/2020 7
_______________________________________________________________________________________________________________
Dr. Michael Grobe-Einsler
Rechtsanwalt, Associate
T +49 211 60035-450
michael.grobe-einsler@orthkluth.com
Kaistraße 6, 40221 Düsseldorf
orthkluth.com
Felix Meurer
Wissenschaftlicher Mitarbeiter
T +49 211 600350
felix.meurer@orthkluth.com
Kaistraße 6, 40221 Düsseldorf
orthkluth.comSie können auch lesen
