Schrems II Urteil des EuGH: Privacy Shield ungültig

Nach 7 Jahren Rechtsstreit zwischen Facebook und Maximilian Schrems hat nun heute (16.07.2020) die große Kammer des EuGH ein Urteil gefällt. 

 

Hier zum Nachlesen (externer Link, InfoCuria / Gerichtshof der EU).

 

Was vielen Verantwortlichen noch zu Schaffen machen wird, ist die Entscheidung, dass "Privacy Shield" nicht mehr gültig ist. Wie zuvor beim "Safe Harbour" Abkommen hat also Hr. Schrems durchgesetzt, dass eine häufig genutzte Grundlage für die DSGVO-konforme Übermittlung von Daten zwischen EU und USA nicht mehr genutzt werden kann. 

 

Was ist gemeint? 

Bisher hatte man die Möglichkeit, für Datenübermittlungen in die USA den Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO (externer Link, ec.europa.eu / Europäische Kommission) als Garantie für ein angemessenes Datenschutzniveau zu nennen, sofern der Anbieter in der USA und seine Verarbeitung unter dem sog. "Privacy Shield" gelistet war. 

 

Was ist die Folge?

Der Angemessenheitsbeschluss wird mit dem EuGH Urteil wohl früher oder später auch ungültig werden. Heißt, diese Garantie wird nicht mehr herangezogen werden können.

 

Und nun?

Nun benötigt man aber eine solche "Garantie" (die auch explizit z.B. zur Verarbeitung und Übermittlung nachweisbar sein muss), sofern man nicht auf die eher streng auszulegenden anderen Möglichkeiten des Art. 47 (i.d.R. Konzern-interne Übermittlungen) oder Art. 49 DSGVO (für viele Übermittlungen nicht in der Praxis anwendbar) ausweichen kann. 

 

Die Standard-Vertragsklauseln (Standard Contractual Clauses/SCC) könnten der "Ausweg" sein. Zwar der EuGH diese als weiterhin gültig betrachtet, jedoch ganz klar auch darauf verwiesen, dass die Aufsichtsbehörden die Verpflichtung haben, darauf basierende Übermittlungen zu untersagen,

 

"...[...]...wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 dieser Verordnung sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann...[...]". 

 

Angesichts dessen, was spätestens seit Edward Snowden an fast allumfassenden Überwachungsmaßnahmen in der USA bekannt ist und auch mit dem Wissen, dass - wenn überhaupt - nur US-Staatsbürger ein gewisses Maß an Datenschutz in der USA genießen, so bleibt die Frage offen, wie (und ob) die SCC in Zukunft gestaltet und angewendet werden können.  

Man kann also gespannt sein, wie sich die "Überarbeitung" der SCC (externer Link, BfDI Pressemitteilung) gestalten wird. 

 

Für Verantwortliche ergibt sich aus dem Urteil jetzt zunächst wieder einmal Unklarheit und Rechtsunsicherheit. Gerade dachte man, Drittlandsübermittlungen Datenschutz-konform gestaltet zu haben, schon bricht eine Grundlage dafür weg. 

 

Klar ist auch - Hr. Schrems hat damit Recht, dass eine umfassende Überwachung nicht mit den Zielen des Datenschutzes vereinbar ist. Recht hat er meiner Meinung nach auch damit, dass Facebook & Co. nicht wie bisher lustig weitermachen können sollten. 

 

Nur - ob das dahinter stehende politische Ziel, dass "[...] die USA ihre Überwachungsgesetze grundlegend ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.“ (Zitat Maximilian Schrems zum Urteil, externer Link, noyb.eu) tatsächlich erreicht wird oder eben doch wieder pragmatisch eine einfach umzusetzende Lösung für Geschäfte zwischen Unternehmen gefunden wird, bleibt dahingestellt. 

 

Bis dahin werden sich vor allem die Unternehmen ärgern, die immer schon versucht haben, alles korrekt umzusetzen.