EuGH fällt Urteil zum EU-US Privacy Shield und den EU-Standardvertragsklauseln

EuGH fällt Urteil zum EU-US Privacy Shield und den EU-Standardvertragsklauseln   Der Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield wird für ungültig erklärt. Standardverträge bleiben weiter gültig, müssen aber für Datenexporte in Drittländer gegebenenfalls angepasst werden.
 
Mit Urteil vom 16.07.2020 (Az: C‑311/18) hat sich der Europäische Gerichtshof mit der Zulässigkeit der EU-Standardvertragsklauseln in der Variante „Controller-to-Processor“ (2010/87/EU) sowie des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Privacy Shields (Durchführungsbeschluss (EU) 2016/1250) befasst.
 

Was hat der EuGH entschieden?

Der EuGH hatte sich anhand der Vorlagefragen des irischen High Courts insbesondere mit der Frage zu befassen, inwieweit die Garantien für den Export personenbezogener Daten in ein Drittland in Gestalt des EU-US Privacy Shields und der EU-Standardvertragsklauseln als ausreichende Schutzmechanismen anzusehen seien, um ein im wesentlichen gleichwertiges Datenschutzniveau hinsichtlich des gesetzlichen Schutzes der Rechte und Freiheiten von Betroffenen in der Europäischen Union herzustellen.
 
EU-US Privacy Shield
Das Gericht hat das EU-US Privacy Shield als Nachfolgeregelung für das Safe Harbor Abkommen für ungültig erklärt. Der Grund hierfür sind mögliche Zugriffe auf personenbezogene Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden auf Grund vorrangiger Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses oder zur Durchführung von Gesetzen, was nicht in Einklang mit den Grundrechten der EU-Bürger zu bringen seien. Zusätzlich seien die Überwachungsprogramme durch US-Sicherheitsbehörden als unverhältnismäßig einzustufen. EU-Bürgern stünden im Übrigen keine ausreichenden Rechtsschutzmöglichkeiten vor den US-Gerichten zur Verfügung, um Rechtsverletzungen überprüfen zu lassen. Auch die im Privacy Shield eingerichtete Ombudsperson könne keine ausreichenden Überwachungskompetenzen gegenüber den US-Geheimdiensten ausüben, um möglichen Rechtsverletzungen entgegen zu wirken.
 
EU-Standardvertragsklauseln
Die EU-Standardvertragsklauseln hingegen bleiben nach der Entscheidung des EuGH gültig. Zwar bestünde auch hier das Risiko für Betroffene, dass öffentliche Stellen Rechte und Freiheiten durch einen Zugriff auf personenbezogene Daten verletzen, allerdings wären die in den Standardvertragsklausen vorgesehenen Schutzmechanismen grundsätzlich erweiterbar. Dies sei der fundamentale Unterschied zu einer Angemessenheitsentscheidung wie dem EU-US Privacy Shield, in dem rechtsverbindlich untersucht würde, ob die bestehenden Gesetze u.a. hinsichtlich der Zugriffe von Behörden aus Gründen eines nationalen Sicherheitsinteresses mit Blick auf die EU-Gesetzgebung als angemessen zu erachten seien. Bei den Standardvertragsklauseln erfolge eine solche rechtsverbindliche Prüfung nicht, da die Klauseln nicht sämtliche Garantien für ein angemessenes Schutzniveau in einem Drittland beinhalteten.
 

Die Rolle des Verantwortlichen und des Auftragsverarbeiters

Der EuGH erinnert daran, dass es die Pflicht des Verantwortlichen (und ggf. des Auftragsverarbeiters) sei, beim Fehlen einer Angemessenheitsentscheidung der Kommission ausreichende Schutzmechanismen zugunsten von Betroffenen für den Datenexport zu implementieren.

Daher müssten – je nach Situation im Drittland – ggf. zusätzliche Garantien mittels der Möglichkeit der Erweiterung der Standardvertragsklauseln über geschäftsbezogene Klauseln geschaffen werden. Verantwortliche seien daher in der Pflicht, die jeweilige Situation im Drittland über eine Einzelfallprüfung zu evaluieren.


Die Rolle der Aufsichtsbehörden

Ergeben sich Hinweise für den Datenexporteur, so auf Grund einer Information des Datenimporteurs, dass die vereinbarten Standardvertragsklauseln auf Grund der Gesetze im Drittland nicht eingehalten werden können, hat er hierüber seine zuständige Aufsichtsbehörde zu informieren. Diesem wiederum stünden über die Standardvertragsklauseln Auditrechte beim Datenimporteur oder dessen Unterauftragnehmer zu. Die Behörden seien hierbei in der Pflicht, einen Datentransfer auszusetzen, wenn die Zusicherungen der Standardvertragsklauseln im Drittland nicht eingehalten werden könnten.
 

Fazit

Verantwortliche oder Auftragsverarbeiter können ab dem 16.07.2020 keine personenbezogenen Daten mehr auf Basis des EU-US Privacy Shields an Empfänger in den Vereinigten Staaten übermitteln. Bei den EU-Standardvertragsklauseln werden Verantwortliche durch den EuGH in die Pflicht genommen, für jeden Datenexport in ein Drittland zu untersuchen, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten.  Ergeben sich Hinweise, dass die EU-Standardvertragsklauseln nicht mehr eingehalten werden können, ist – neben dem Aussetzen des Exports – die Aufsichtsbehörde zu informieren, die wiederum ihrerseits eine diesbezügliche Prüfung anstrebt und ein Aussetzen ihrerseits verlangen kann.

Der EuGH wählt in seinem Urteil eine formale Herangehensweise an die EU-Standardvertragsklauseln, das die ohnehin bestehenden Pflichten für Exporteure und Importeure nochmals beleuchtet. Unklar bleibt für Verantwortliche, welche Hinweise im Drittland den Export personenbezogener Daten als unzulässig erscheinen lassen bzw. welche technisch-organisatorischen Maßnahmen ergänzend zu treffen sind.
 

Die GDD fordert: Sanktionsmaßnahmen von EU-Aufsichtsbehörden bezüglich der Datenexporte in Drittländer, insbesondere die USA, sind vorerst auszusetzen. Datenverarbeiter müssen die Möglichkeit erhalten, ihre Datenflüsse in Drittländer nach dem Urteil des EuGH evaluieren können. Seitens des Europäischen Datenschutzausschusses sind Hinweise zu erarbeiten, nach welchen Kriterien Datenexporte auf Basis der EU-Standardvertragsklauseln in ein Drittland auszusetzen sind. Hier wären beispielsweise Black- oder Whitelists für Länder oder bestimmte Sektoren denkbar. Alleingänge nationaler Aufsichtsbehörden wären nicht zielführend. Verhandlungen zwischen der Europäischen Kommission und den Vereinigten Staaten für Änderungen des EU-US Privacy Shields sind zeitnah aufzunehmen. Insbesondere die Datenzugriffe von Behörden aus Sicherheitsinteressen müssen einer effektiven und verbindlichen Kontrolle unterliegen und sich am Verhältnismäßigkeitsgrundsatz orientieren. Rechtsschutzmöglichkeiten für EU-Bürger sind stärker zu berücksichtigen.
 

Veröffentlichung des 25. Datenschutzberichtes

Die Landesbeauftragte für Datenschutz und Informationsfreiheit, Helga Block, legt heute ihren Bericht für das Jahr 2019 vor. Die Behörde berichtet erstmals über einen Zeitraum von einem, statt wie bisher von zwei Jahren. Für Helga Block ist es der letzte Bericht, da sie in den gesetzlichen Ruhestand treten wird.

Vom reformierten zum konsolidierten Recht

Die anfänglich bestehenden Unsicherheiten bei der Umstellung auf das neue europäische Datenschutzrecht konnten im Laufe des Jahres weitgehend überwunden werden. Gemeinsam mit den anderen Aufsichtsbehörden hat die Landesbeauftragte viele Grundsatzfragen lösen können, und viele Unternehmen und Behörden in NRW haben ihre Verarbeitungsprozesse an das neue Recht angepasst. Dennoch gibt es weiterhin Klärungsbedarf zu dem komplexen Regelwerk und zu seiner Anwendung im Einzelfall. Die deutschen Datenschutz-Aufsichtsbehörden haben ihre Erfahrungen aus der Praxis und daraus resultierende Änderungsvorschläge in die Evaluation der Datenschutz-Grundverordnung einfließen lassen, die auf europäischer Ebene ansteht.

Die Landesbeauftragte war 2019 unverändert stark gefordert, sowohl bei ihrer Beratungstätigkeit als auch bei der Datenschutz-Aufsicht. Die Eingaben sind mit über 12.500 gegenüber dem Vorjahr nochmals gestiegen, es wurden allein über 2.200 Datenpannen gemeldet.

Schwerpunkt Prüfungen – Von der Reaktion zur Aktion

Der Schwerpunkt der Tätigkeit lag im Jahr 2019 erneut auf der Reaktion, denn die zum Teil fristgebundene Bearbeitung von Beschwerden und Anfragen hat Priorität gegenüber der Durchführung von Initiativprüfungen von Amts wegen. Trotz knapper Personalressourcen ist 2019 aber ein Anfang gelungen: Mit ersten Prüfungen wurden nun Initiativen gestartet, beispielweise dort,

– wo Betroffene besonders schutzbedürftig sind (Beschäftigtendatenschutz bei Personaldienstleistern und Leiharbeitsunternehmen – Seite 55) oder

– wo es um besonders sensible Daten geht (Prüfaktion zur Nutzung von Internethandelsplattformen durch Apotheken – Seite 79).

Diese und weitere Prüfverfahren befinden sich in verschiedenen Verfahrensstadien.

Schwerpunkt Evaluation der Datenschutz-Grundverordnung

Die Datenschutzkonferenz hat sich an der Evaluierung der Datenschutz-Grundverordnung durch die EU-Kommission beteiligt und einen Bericht erstellt – Seite 18. Änderungsvorschläge werden u. a. bei den Informations- und Transparenzpflichten, bei der Meldung von Datenpannen und bei der Ausweitung der Pflicht zum Datenschutz durch Technikgestaltung auf die Hersteller, Lieferanten, Importeure und Verkäufer gemacht. Bei der Bildung von persönlichen Profilen (profiling) sollte die DS-GVO einen verschärften Rechtsrahmen mit effektivem Rechtsschutz schaffen.

Schwerpunkt Innere Sicherheit

Die Landesbeauftragte bewertet

– die Ergebnisse der ersten Strategischen Fahndung (Seite 82) und

– das Zentrale Fahndungsportal der Polizei (Seite 84).

Schwerpunkt Internet und Medien

Die Landesbeauftragte informiert über Entscheidungen des Europäischen Gerichtshofes und ihre Folgen

– zum Betrieb von Facebook-Fanpages (Seite 21) und

– zur Einbindung von Social Plugins auf Websites (Seite 23).

Beim Betrieb von Facebook-Fanpages durch private und öffentliche Stellen vertritt die Landesbeauftragte weiterhin eine kritische Position. Die komplexe Problemstellung hat bundes- und europaweite Relevanz. In Bezug auf die Nutzung sozialer Medien durch die Behörden in NRW ist die Landesbeauftragte im Kontakt mit der Staatskanzlei um praxisgerechte Lösungen bemüht.

Im Bericht finden sich alle Entschließungen und Beschlüsse der Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) aus dem Jahr 2019.

Helga Block: „Die Vorlage dieses Berichtes fällt angesichts der Corona-Pandemie in eine Krisenzeit, in der die Freiheitsrechte durch Maßnahmen der Gesundheitsfürsorge stark eingeschränkt werden. Der Schutz der Grundrechte, zu denen auch das Recht auf informationelle Selbstbestimmung gehört, ist auch und gerade in einer solchen schweren Krise ein wesentliches Merkmal unserer freiheitlich-demokratischen Grundordnung, die es zu schützen gilt.“

Der Bericht ist hier abrufbar.