Datenschutz – Nach „Schrems II“: Europa braucht digitale Eigenständigkeit
Nach der Entscheidung des Europäischen Gerichtshofs (EuGH), das „EU-US Privacy Shield“
für ungültig zu erklären, fordert die Berliner Beauftragte für Datenschutz und
Informationsfreiheit, Maja Smoltczyk, datenverarbeitende Stellen in Berlin auf, in den USA
gespeicherte personenbezogene Daten nach Europa zu verlagern.
Der EuGH hat in seiner Entscheidung „Schrems II“ (C-311/18) am Donnerstag, dem 16. Juli
2020, festgestellt, dass US-Behörden zu weitreichende Zugriffsmöglichkeiten auf Daten
europäischer Bürgerinnen und Bürger haben. Daraus folgt, dass personenbezogene Daten bis
zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt
werden dürfen. Ausnahmen bestehen vor allem in den gesetzlich vorgesehenen Sonderfällen,
etwa bei einer Hotelbuchung in den USA.
Der EuGH stellt unter anderem fest, dass in den USA staatliche Überwachungsmaßnahmen
bestehen, die mit einer massenhaften Sammlung personenbezogener Daten ohne klare
Beschränkungen einhergehen. Dies widerspreche der EU-Grundrechtecharta (Rn. 180 ff. des
Urteils). Weiter stellt er fest, dass europäische Bürgerinnen und Bürger keine Möglichkeit
haben, Überwachungsmaßnahmen von US-Behörden gerichtlich überprüfen zu lassen.
Dadurch sei der Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz
verletzt.
Übermittlungen personenbezogener Daten in Drittländer sind nur dann zulässig, wenn diese
ein Datenschutzniveau aufweisen, das den europäischen Grundrechten der Sache nach
gleichwertig ist. Da dies nach den Feststellungen des höchsten europäischen Gerichts in den
USA weitgehend nicht der Fall ist, erklärt der EuGH in seiner Entscheidung das „EU-US
Privacy Shield“ für ungültig, auf dessen Grundlage eine Übermittlung personenbezogener
Daten in die USA bisher in vielen Fällen erfolgte. Die sogenannten Standardvertragsklauseln,
die europäische Unternehmen mit Anbietern in Drittländern abschließen können, um das
europäische Datenschutzniveau auch in den Drittländern zu wahren, erklärt der EuGH
dagegen unter bestimmten Bedingungen für grundsätzlich zulässig. Er betont in diesem
Zusammenhang jedoch, dass sowohl die europäischen Datenexporteure als auch die
Datenimporteure in Drittländern verpflichtet sind, vor der ersten Datenübermittlung zu prüfen,
ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach
europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Bestehen solche
Zugriffsrechte, können auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen.
Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Anders als bisher
verbreitet vertreten, genügt der reine Abschluss von Standardvertragsklauseln nicht, um
Datenexporte zu ermöglichen (Rn. 126 ff. des Urteils).
Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind,
nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils),
und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen
können (Rn. 143 des Urteils). Dieser dürfte insbesondere den immateriellen Schaden
(„Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende
Höhe aufweisen.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer
Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten.
Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten –
personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu
Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem
Datenschutzniveau zu wechseln.
Maja Smoltczyk:
„Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um
die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen
müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen
Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei.
Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet,
unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur
Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst
festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China,
Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme
bestehen.
Quelle: Berliner Beauftragte für Datenschutz und
Informationsfreiheit