Nutzen Sie US-amerikanische Dienste? Vermutlich. Ob E-Mail, Messanger-Dienste, Datenspeicher in der Cloud oder Videosprechstunde – US-amerikanische Dienste sind zum Teil führend und mit den Geräten ihrer Anwender stark vernetzt. Ob Dienste von Apple, Amazon, Dropbox, Facebook, Google, Microsoft oder Zoom; auch diese Anbieter haben zunächst einmal ihren Sitz in den USA. Doch ein neues Urteil des Europäischen Gerichtshofs (EuGH) erschwert die Nutzung. Erneut.

EuGH, Urteil vom 16.07.2020, Rechtssache C‑311/18

Das Problem: Der europäische Datenschutz. Die Datenschutz-Grundverordnung (DSGVO) geht nicht nur bei europäischen Unternehmen radikal gegen die Datensammelwut vor. Sie bestimmt auch, dass Unternehmen personenbezogene Daten nur dann in ein Drittland übermitteln dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Für die USA war dies bislang das EU/US-Privacy Shield. Den zugrundeliegenden Angemessenheitsbeschluss hat der EuGH nun allerdings gekippt: Das Privacy Shield ist unwirksam. Betroffen sind weit über 5.000 Anbieter.

Darf ich Apple und Co als Unternehmer jetzt noch nutzen?

Auswirkungen der Entscheidung

Betroffen sind sämtliche Dienste, die personenbezogene Daten in den USA verarbeiten. Das können Datenspeicher in der Cloud wie Online-Backup-Dienste oder Foto-Gallerien sein, E-Mail-Accounts, Chat- und Messanger-Dienste, Webseiten-Analysen und viele andere mehr.  Inwieweit Unternehmer auch ohne (wirksamen) Angemessenheitsbeschluss noch personenbezogene Daten in die USA übermitteln können, wird sich zeigen. Zwar sind Standarddatenschutzklauseln grundsätzlich möglich. Doch vor der ersten Datenübermittlung ist zu prüfen, ob im Exportland staatliche Zugriffsmöglichkeiten auf die Daten bestehen. Einige Unternehmen setzen dagegen auf europäische Niederlassungen und Server. 

Unternehmen, die Daten an die USA übermitteln, sollten daher die Rechtmäßigkeit der Datenübermittlung erneut überprüfen. Zumal einige Datenschutzbehörden die Kontrolle bereits angekündigt haben.

Anlass der Entscheidung war wieder einmal Facebook. Facebook übermittelt und verarbeitet – so die Pressemitteilung des EuGH – personenbezogene Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden. Die Vereinigten Staaten allerdings könnten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisten, so der EuGH.

Urteil des EuGH

Die Entscheidung betrifft folgende Beschlüsse:

  1. Beschluss der Kommission 2010/87 vom 05.02.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates
  2. Durchführungsbeschluss 2016/1250 der Kommission vom 12.07.2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (PDF)

Entscheidung

  1. Art. 2 Abs. 1 und 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer in den Anwendungsbereich dieser Verordnung fällt, ungeachtet dessen, ob die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.
  2. Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c der Verordnung 2016/679 sind dahin auszulegen, dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Europäischen Union durch diese Verordnung im Licht der Charta der Grundrechte der Europäischen Union garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Europäischen Union ansässigen Verantwortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 der Verordnung 2016/679 genannten Elemente.
  3. Art. 58 Abs. 2 Buchst. f und j der Verordnung 2016/679 ist dahin auszulegen, dass die zuständige Aufsichtsbehörde, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, verpflichtet ist, eine auf Standarddatenschutzklauseln, die von der Kommission erarbeitet wurden, gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese Behörde im Licht aller Umstände dieser Übermittlung der Auffassung ist, dass die Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht, insbesondere nach den Art. 45 und 46 dieser Verordnung sowie nach der Charta der Grundrechte, erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Verantwortliche bzw. sein dort ansässiger Auftragsverarbeiter hat die Übermittlung selbst ausgesetzt oder beendet.
  4. Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.
  5. Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.

Zur Pressemitteilung des EuGH