29 Jul
2019

EuGH: Übermittlung von personenbezogenen Daten in die USA

Nutzen Sie Dienstleister oder sonstige Anbieter, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln? Falls Sie als Unternehmen beispielsweise eine eigene Facebook-Seite (sogenannte Fanpage) betreiben oder in den USA angesiedelte Cloud-Services nutzen, ist dies der Fall. Dann sollten Sie das Verfahren, das dem EuGH gegenwärtig vorliegt, im Auge behalten. Mit einer Entscheidung ist Ende dieses Jahres zu rechnen – und die könnte weitreichende Folgen haben.

Datenübermittlungen durch Facebook

Wenn Sie innerhalb der EU ansässig sind und eine Facebook-Seite betreiben, schließen Sie dazu einen entsprechenden Nutzungsvertrag mit Facebook Ireland Limited, der europäischen Tochter des US-Unternehmens Facebook, Inc. Im Rahmen dieser Nutzung erhebt und verarbeitet zunächst die europäische Facebook-Tochter personenbezogene Daten, die in Irland auf den dort befindlichen Servern gespeichert werden. Anschließend werden diese Daten an Facebook, Inc. in den USA übermittelt und ein weiteres Mal auf den dort befindlichen Servern gespeichert. Einzelheiten über die Datenverarbeitungen gibt Facebook allerdings nicht preis.

EuGH-Verfahren: Facebook und Max Schrems

Der EuGH beschäftigt sich nun erneut mit der Frage, ob Facebook personenbezogene Daten aus der Europäischen Union (EU) in die USA übertragen darf (Rechtssache C-311/18). Dem Verfahren liegt ein Rechtsstreit zwischen Facebook und Max Schrems, einem österreichischen Juristen und Datenschutzaktivisten, zugrunde. Dieser versucht seit Jahren, die Datenübertragungen an das US-Unternehmen Facebook Inc. mit der anschließenden Speicherung der Daten in den USA zu verhindern. Schrems ist der Ansicht, in den USA herrsche ein geringeres, nicht mit dem in der EU vergleichbares Datenschutzniveau. Deshalb dürfe Facebook Ireland Ltd. die erhobenen Daten nicht in die USA übermitteln – unabhängig davon, ob dies auf Grundlage eines Angemessenheitsbeschlusses oder von Standardvertragsklauseln erfolge. Im Zweifel würden beide Instrumente kein angemessenes Schutzniveau in den USA gewährleisten.

Am 9. Juli 2019 verhandelte nun der EuGH über die Frage, ob Facebook auf diesen Grundlagen personenbezogene Daten aus der EU in die USA übertragen darf. Die zu erwartende Entscheidung betrifft damit sogleich die Grundsätze des europäisch-US-amerikanischen Datenverkehrs.

Datenübertragungen nur in sichere Drittländer

Nach der Datenschutz-Grundverordnung (DS-GVO) dürfen personenbezogene Daten nur unter bestimmten Voraussetzungen in Drittländer übertragen werden. Drittländer im Sinne der DS-GVO sind Staaten außerhalb der EU und des Europäischen Wirtschaftsraums (EWR). Zum EWR zählen Island, Liechtenstein und Norwegen.

Personenbezogene Daten dürfen gemäß Artt. 44 ff. DS-GVO nur in ein Drittland übermittelt werden, wenn sichergestellt ist, dass dort generell ein dem Rechtsrahmen der EU gegenüber angemessenes Schutzniveau besteht oder im Einzelfall geeignete Garantien umgesetzt werden, die im konkreten Fall die Einhaltung eines vergleichbaren, angemessenen Schutzniveaus gewährleisten. Ob in einem Drittland generell ein angemessenes Schutzniveau besteht, stellt die Europäische Kommission durch einen Angemessenheitsbeschluss nach Art. 45 DS-GVO fest. Existiert für ein betreffendes Drittland kein solcher Beschluss, dürfen Unternehmen Daten in dieses Drittland nur übertragen, wenn geeignete Garantien nach Art. 46 DS-GVO vorliegen oder eine Ausnahme nach Art. 49 DS-GVO besteht. Zu solchen geeigneten Garantien zählen beispielsweise sogenannte „Binding Corporate Rules“ oder die Standardvertragsklauseln der Europäischen Kommission.

Datenübertragungen in die USA

In Bezug auf die USA besteht zwar ein Angemessenheitsbeschluss der Europäischen Kommission (unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016D1250&from=DE abrufbar). Dieser Beschluss bezieht sich aber lediglich auf das sogenannte EU-US Privacy Shield (auf Deutsch: EU-US-Datenschutzschild). Er hat nicht zur Folge, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde. Beide Instrumente zusammen gewährleisten eine Grundlage für Datenübermittlungen nur an Unternehmen, die nach dem Privacy Shield zertifiziert sind.

Unter dem Privacy Shield ist eine Art informelle Absprache zwischen der EU und den USA zu verstehen, im Rahmen derer die USA der EU die Einhaltung eines dem Datenschutzniveau der EU vergleichbaren Standards zusichert. Es bildet die Grundlage für einen Großteil der Datenübertragungen in die USA. Soweit die Regelungen des Privacy Shields eingehalten werden, kann (bislang) angenommen werden, dass ein angemessenes Schutzniveau in den USA gewährleistet wird. Die Einhaltung dieser Regelungen wird mittels eines Selbstzertifizierungsmechanismus sichergestellt. Knackpunkt ist hier, dass sich US-Unternehmen (durch die US-Regierung) jeweils einzeln nach dem Privacy Shield zertifizieren lassen müssen. Das heißt: Nur an Unternehmen, die eine gültige Privacy Shield-Zertifizierung besitzen (und damit versprechen, die Regelungen zum Datenschutz einzuhalten), dürfen Daten aus der EU übertragen werden (eine offizielle Liste des US-Handelsministeriums ist unter https://www.privacyshield.gov/list abrufbar). Nur dann kann der zuvor genannte Angemessenheitsbeschluss als Grundlage herangezogen werden.

Entscheidung des EuGH

Zwar besitzt auch das US-Unternehmen Facebook, Inc. eine gültige Privacy-Shield-Zertifizierung. Damit könnte die Übertragung also grundsätzlich auf den Angemessenheitsbeschluss der Kommission zum Privacy Shield der USA gestützt werden.

Allerdings sieht Schrems hier ein grundlegendes Problem: US-Unternehmen (auch solche mit einer Privacy Shield-Zertifizierung) sind nach US-Recht verpflichtet, Daten zum Zwecke der nationalen Sicherheit auf Verlangen an die US-Behörden (FBI, NSA) weiterzugeben. Insofern muss infrage gestellt werden, ob durch das Privacy Shield tatsächlich ein angemessenes Datenschutzniveau in den USA besteht. Wird dies verneint, dürfen Daten nicht mehr ohne zusätzliche Garantien (z.B. durch Standardvertragsklauseln) an US-Unternehmen übertragen werden. Diese Frage muss der EuGH nun klären. Zunächst will der zuständige Generalanwalt am EuGH am 12. Dezember 2019 seine Schlussanträge vorlegen. Die Entscheidung des Gerichts bleibt dann mit Spannung zu erwarten.

Das bedeutet:

Konkret in Bezug auf Übertragungen an US-Unternehmen ist die Entscheidung des EuGH mit Spannung zu erwarten. Im Übrigen gilt: Wenn Sie als Unternehmen derartige Dienstleister oder sonstige Anbieter nutzen, beispielsweise soziale Medien zu Kommunikations- oder Werbezwecken sowie Cloudanbieter, die außerhalb der EU/des EWR angesiedelt sind, sollten Sie überprüfen, ob die Voraussetzungen für entsprechende Datenübermittlungen nach der DS-GVO vorliegen. Denn darauf, ob im Hinblick auf das jeweilige Drittland ein Angemessenheitsbeschluss der Kommission vorliegt oder die Datenübermittlung auf sonstige Garantien für Drittlandübermittlungen gestützt wird, muss im Rahmen der Pflichtinformationen nach Artt. 13, 14 DS-GVO hingewiesen werden. Das größte Problem wird hier sein, dass Facebook die Datenverarbeitungen im Einzelnen nicht offenlegt. Darauf, dass sich diese der eigenen Kenntnis entziehen, sollte ebenfalls hingewiesen werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019