SCHREMS II, ein erwartetes und gefürchtetes Finale

SCHREMS II, ein erwartetes und gefürchtetes FinaleAm 16. Juli 2020 erklärte der Gerichtshof der Europäischen Union den Privacy Shield für ungültig, ein wichtiges Abkommen, das die Rechtsgrundlage für die Übermittlung personenbezogener Daten zwischen Europa und den Vereinigten Staaten bildete.

Mehr als 5.300 US-Unternehmen nutzten den Shield für ihre Datenverarbeitung und müssen nun die Rechtsgrundlage für ihre Übermittlungen ändern.

Anlass für die Entscheidung war eine Beschwerde des österreichischen Staatsbürgers Max Schrems, der bereits die Aufhebung des Vorgängerabkommens zum US-Shield, der „Safe Harbour Principles“, eingeleitet hatte.

Der Beschwerdeführer beanstandete die Bedingungen, unter denen seine von Facebook verarbeiteten Daten in die USA übermittelt wurden.

Auf der Grundlage dieses Streits hat der Gerichtshof in seinem oft als „Schrems II“ bezeichneten Urteil gerade die Gültigkeit zweier Rechtsinstrumente analysiert, die Übermittlungen außerhalb der Europäischen Union erlauben:

• Standardvertragsklauseln, die grundsätzlich mit jedem Drittland verwendet werden können, und
• Beschluss 2016/1250 der Europäischen Kommission zum Privacy Shield, einem auf Übermittlungen in die USA zugeschnittenen Abkommen.

Das Gericht erklärte die Standardvertragsklauseln nicht für ungültig – ein Szenario, das vielen Unternehmen und Anwälten kalte Schweißausbrüche bescherte.

Ihre Anwendung unterliegt jedoch weiterhin der konkreten Beurteilung durch den Datenexporteur hinsichtlich der tatsächlichen Anwendung der Klauseln im Drittland, wobei insbesondere die Möglichkeiten staatlicher Behörden wie etwa Geheimdienste, auf die Daten zuzugreifen, zu berücksichtigen sind.

Im Falle eines Zugriffs auf Daten, der mit den Grundsätzen der Klauseln unvereinbar ist, liegt es in der Verantwortung des Exporteurs und, falls dieser dies nicht tut, der Aufsichtsbehörde (entspricht der CNIL), die Übertragung auszusetzen.

Im Falle des Privacy Shieldstellte der Gerichtshof fest, dass die Grundsätze des Abkommens zwar grundsätzlich ein Schutzniveau vorsahen, das dem der Europäischen Union im Wesentlichen gleichwertig sei, die konkreten Anforderungen im Zusammenhang mit der nationalen Sicherheit, dem öffentlichen Interesse und der Einhaltung der amerikanischen Gesetzgebung diese Grundsätze jedoch unwirksam machten.

Es stellte fest, dass der Umfang der Überwachungsbefugnisse der US-Behörden im Vergleich zum europäischen Recht übermäßig sei und dass das Recht von Nicht-US-Bürgern, vor unabhängigen Gerichten Berufung einzulegen, nicht gewährleistet sei.

Aufgrund dieser Feststellungen betrachtete es die Entscheidung als ungültig.

Und jetzt?

Überweisungen in die Vereinigten Staaten können nicht länger auf Grundlage des Shields erfolgen.

Zwar greifen einige auf Standardvertragsklauseln zurück, doch diese Lösung weckt Zweifel: Diese Klauseln bleiben zwar grundsätzlich gültig, stehen aber bei einer Übertragung in die USA vor dem gleichen Problem wie der Shield: dem Ausmaß der Überwachungsmaßnahmen auf amerikanischem Boden und den unzureichenden Rechtsmitteln der betroffenen Personen.

Manche Leute sprechen über die Möglichkeit, die Daten vor der Übertragung zu verschlüsseln, um ihre Verwendung durch US-Behörden zu verhindern. Dabei wird jedoch nicht berücksichtigt, dass die Behörden die Möglichkeit haben, ihre Entschlüsselung auf rechtlichem Wege zu verlangen.

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte am 17. Juli eine Pressemitteilung, in der er seine ersten Ergebnisse zusammenfasst und zusätzliche Leitlinien ankündigt.

Folgende Beobachtungen können gemacht werden:

– Die Entscheidung des Gerichts betrifft unmittelbar Übermittlungen in die Vereinigten Staaten, aber auch alle internationalen Übermittlungen sind betroffen;

– Die Verwendung von Standardvertragsklauseln für eine Übermittlung in ein Drittland bleibt möglich, muss jedoch vom Exporteur spezifischen Überprüfungen hinsichtlich des Inhalts der Klauseln, des Kontexts der Übermittlung und der im Drittland geltenden Rechtsvorschriften (insbesondere im Hinblick auf die nationale Sicherheit) unterzogen werden.

– Wenn die Situation besondere Risiken birgt, müssen zusätzliche Maßnahmen ergriffen werden: Der EDSA arbeitet derzeit daran, diese Maßnahmen zu konkretisieren.

– Es wird daran erinnert, dass der Importeur verpflichtet ist, den Exporteur über jede Gesetzesänderung zu informieren, die Auswirkungen auf die Anwendung der Klauseln hätte und somit zu ihrer Aussetzung führen könnte.

Die Europäische Kommission hat angekündigt, dass sie mit ihren amerikanischen Kollegen in Dialog getreten sei, um eine Vereinbarung zu erzielen, die ein höheres Datenschutzniveau vorsieht.

Inzwischen hat Max Schrems‘ Verein NOYB („None Of Your Business“) 101 Klagen gegen Unternehmen eingereicht, die in der gesamten Europäischen Union tätig sind – darunter Google, Facebook und Microsoft – oder Google Analytics und Facebook Connect verwenden, ohne auf das Urteil des Gerichtshofs zu reagieren.

Es bestehen Möglichkeiten der Datenübermittlung, die über die Standardvertragsklauseln hinausgehen.

Sie wurden im März-Editorial dieses Newsletters erläutert.

Die Alternative besteht darin, die Daten auf europäischem Boden zu verwalten, anstatt sie zu übertragen.

Wir hoffen, dass diese Entscheidung die Entwicklung solcher lokaler Dienste fördern wird.

Und auch

Frankreich:

• Die französische Datenschutzbehörde CNIL leitet eine Untersuchung gegen TikTok ein: Neben der Auseinandersetzung zwischen dem chinesischen Unternehmen und den USA laufen in Europa Untersuchungen zur DSGVO-Konformität der App. Die CNIL koordiniert ihre Arbeit mit anderen Aufsichtsbehörden im Rahmen des EDSA.

• Immer noch in Zusammenarbeit mit ihren europäischen Partnern verhängte die CNIL am 5. August eine Geldstrafe von 250.000 Euro gegen das Online-Verkaufsunternehmen Spartoo wegen Nichteinhaltung der in der DSGVO vorgesehenen Grundsätze zur Datenminimierung, -aufbewahrung, -information und -sicherheit.

Europa:

• Die britische Aufsichtsbehörde ICO wurde von Parlamentariern für ihr unzureichendes Handeln angesichts von DSGVO-Verstößen, insbesondere im Zusammenhang mit der COVID-19-Pandemie, kritisiert.

• Auch in Großbritannien entschied ein Berufungsgericht am 11. August, dass der Einsatz von Gesichtserkennungstechnologie durch die Polizei von Südwales gegen Grundrechte verstößt, darunter das Recht auf Datenschutz.

• Die Europäische Kommission arbeitet derzeit an einer Verordnung für digitale Dienste, um diese im Binnenmarkt zu stärken und den Rechtsrahmen für kleine Unternehmen zu klären. Das Europäische Parlament bereitet in diesem Zusammenhang eine Empfehlung vor, die voraussichtlich eine Reihe von Datenschutzbedenken berücksichtigt, darunter die Verschlüsselung von Informationen, die Überprüfbarkeit von Algorithmen und den Schutz biometrischer Daten.

• Die Europäische Kommission gab am 4. August bekannt, dass sie eine Untersuchung zur geplanten Übernahme von Fitbit durch Google einleitet. Ihre Bedenken beziehen sich vor allem auf die Konzentration von Daten, insbesondere Gesundheitsdaten, in den Händen eines dominanten Akteurs.

Internationales:

• USA: In einer Folgenabschätzung vom 30. Juli beschreibt das Heimatschutzministerium detailliert die seit Jahren an den Außengrenzen des Landes beobachteten Praktiken, die es Agenten ermöglichen, die Inhalte der Telefone und Computer von Personen, die in die USA einreisen, zu kopieren und für einen Zeitraum von 75 Jahren aufzubewahren.

• Twitter bestätigte Anfang August, dass es Gegenstand einer Untersuchung der US-amerikanischen Federal Trade Commission bezüglich der Verwendung von Kundendaten für Werbezwecke sei.

• Brasilien: Das Gesetz zum Schutz personenbezogener Daten tritt am 27. August in Kraft. Zudem wurde gerade eine Aufsichtsbehörde eingerichtet.

• Auch in Lateinamerika modernisiert Chile sein Datenschutzgesetz und in Paraguay und Ecuador laufen Regulierungsprojekte.
• Ägypten hat am 17. Juni ein Gesetz zum Schutz personenbezogener Daten verabschiedet.