Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.
add_shopping_cart 0
EuGH: Privacy Shield Beschluss 2016/1250 der EU-Kommission zur Übermittlung personenbezogener Daten in die USA ist unwirksam (Foto: dmutrojarmolinua / stock.adobe.com)
Datenübermittlung in Drittländer

EuGH zur Gültigkeit des Privacy-Shield-Beschlusses

ESV-Redaktion Recht
20.07.2020
Welche Anforderungen gelten beim Export personenbezogener Daten in Länder außerhalb der EU? Am Beispiel von Facebook hat sich der EuGH nun zum EU-US-Datenschutzschild und zu Standardvertragsklauseln geäußert.
Gegenstand des Verfahrens war die Übermittlung personenbezogener Daten vom Facebook-Account des Klägers, der seinen Wohnsitz in einem Mitgliedsstaat der EU hat. Der Kläger rügte, dass seine Daten von Facebook-Servern in Irland auf Facebook-Server in den USA übermittelt und verarbeitet werden. Dabei machte er geltend, dass das Recht und die Praxis der USA keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten böten.

Datenexporte in Drittländer nur bei angemessenem Schutzniveau

Die DS-GVO bestimmt in Artikel 45, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Die EU-Kommission kann mittels Angemessenheitsbeschuss solch ein angemessenes Schutzniveau feststellen.

EuGH kippt sowohl „Safe Harbor“ als auch „Privacy Shield“ Beschluss

Bereits im Jahr 2015 hatte der EuGH entschieden, dass der Angemessenheitsbeschluss 2000/520 (Safe Harbour) unwirksam ist. Daraufhin erarbeitete die Kommission den Angemessenheitsbeschluss 2016/1250 (Privacy Shield), den der EuGH vorliegend geprüft hatte. Hierzu stellte der EuGH Folgendes fest:
  • Öffentliche Belange haben in den USA Vorrang vor Datenschutz: Bei der Datenverarbeitung in den USA haben Belange der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang. Zudem seien die Überwachungsprogramme in den USA nicht auf das zwingend erforderliche Maß beschränkt. 
  • Keine Rechte gegenüber US-Behörden: Zudem bemängelte der EuGH, dass von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme zwar gesetzliche Anforderungen einzuhalten sind. Allerdings haben die betroffenen Personen keine Rechte, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.
Aus diesen Gründen erklärte der EuGH den Beschluss 2016/1250 für unwirksam.

Der kostenlose Newsletter Recht - Hier können Sie sich anmelden!
Redaktionelle Nachrichten zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

Standardvertragsklauseln sind laut EuGH jedoch gültig

Liegt kein Angemessenheitsbeschluss vor, darf nach Artikel 46 DSGVO eine Datenübermittlung nur erfolgen, wenn für den Export von personenbezogenen Daten geeignete Garantien vorliegen. Diese können sich aus den Standarddatenschutzklauseln ergeben, die die Kommission vorgibt – wie etwa dem Beschluss 2010/87. Dabei müssen folgende Voraussetzungen erfüllt sein:
  • Einhaltung des Schutzniveaus: Solche Standardvertragsklauseln müssen wirksame Mechanismen enthalten, die in der Praxis gewährleisten können, dass das Schutzniveau, das das Unionsrecht verlangt, eingehalten wird. 
  • Prüfpflichten für Datenexporteur und Datenempfänger: Dabei betonte der EuGH, dass der Datenexporteur und der Empfänger der Übermittlung nach diesem Beschluss vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. Außerdem muss der Empfänger dem Datenexporteur gegebenenfalls mitteilen, dass er die Standardschutzklauseln nicht einhalten kann.
  • Möglichkeit der Aussetzung der Datenübermittlung oder des Rücktritts: Falls die Standardschutzklauseln nicht eingehalten werden können, muss der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten können.
Aus diesen Gründen ist dem EuGH zufolge der Beschluss 2010/87 über Standardvertragsklauseln gültig. Diese Standardvertragsklauseln sind in der Praxis für Datentransfers zwischen EU-Unternehmen in die USA oder in weitere Drittländer am meisten verbreitet.

Quelle: PM des EuGH vom 16.7.2020 zum Urteil vom gleichen Tag – Az: C-311/18
 

PinG Privacy in Germany

Die Zeitschrift für alle, die mit Datenschutz in Unternehmen zu tun haben und bei der regelkonformen Umsetzung stets auf der sicheren Seite sein wollen:

  • Privacy Topics – Spezialthemen und richtungweisende Beiträge aus dem In- und Ausland,
  • Privacy News – prägnante Artikel zu aktuellen rechtspolitischen Themen,
  • Privacy Compliance – Antworten auf alle drängenden Fragen aus dem betrieblichen Alltag.
AKTUELL: Prof. Niko Härting nimmt mit seinen spannenden Gästen im Ping Podcast Grund- und Bürgerrechte in Zeiten von Corona  in den Blick. Hören Sie: "Corona im Rechtsstaat“ unter Spotify oder unter Apple Podcasts
Verlagsprogramm Weitere Nachrichten aus dem Bereich Recht

Auch interessant 21.07.2020
BVerfG: Staatlicher Zugriff auf Bestandsdaten ist zu begrenzen
Wann dürfen Ermittler und Sicherheitsbehörden – etwa bei der Verfolgung von Straftaten oder zur Terrorabwehr – Bestandsdaten von Handy- und Internetnutzern von den Providern herausverlangen? Über die Befugnisse der Behörden hat das BVerfG nun zum zweiten Mal entschieden und dabei erneut einige Behördenbefugnisse gekippt. mehr …

(ESV/cw)

Programmbereich: Wirtschaftsrecht