header-mobile_logo
header-image-small
header-image-medium
header-image-large
header-image-xlarge
Foto Mag. Patrycja Gamsjäger - Blog

DATENSCHUTZ UND DAS MAX-SCHREMS-II-URTEIL

DATENSCHUTZ UND DAS MAX-SCHREMS-II-URTEIL

Mag. Patrycja Gamsjäger, LL.M.
Rechtsanwältin in Wien

Der Europäische Gerichtshof (EuGH) hat wiederholt entschieden: das Datenschutzabkommen zwischen der EU und den USA ist ungültig!

In seiner jüngsten Entscheidung zum Datenschutz stellte der EuGH fest, dass das zwischen der EU- Kommission und USA verhandelte Datenschutzabkommen, das EU - US - Privacy Shield ungültig sei. Damit verneinen die Luxemburger Richter, dass das Datenschutzniveau in USA jenem der EU gleichwertig sei (Az.: C-311/18, Urteil vom 16.07.2020 inzwischen auch unter „Max Schrems II- Urteil“ bekannt).

Hintergrund der Entscheidung: „Max Schrems I – Urteil“

Bereits im Jahr 2013 hatte Max Schrems, ein österreichischer Datenschutzaktivist und „Facebook“- Nutzer bemängelt, dass die Facebook Ireland Limited (Facebook Ireland) personenbezogene Daten europäischer „Facebook“- Nutzer an die „Facebook“- Muttergesellschaft in die USA trotz des Umstandes, dass das dortige Datenschutzniveau dem Niveau in der EU keineswegs entspreche, übermittle.

Damals galt das zwischen der EU und USA vereinbarte „Safe- Harbor“ – Abkommen. Tatsächlich erklärte der EuGH dieses Abkommen für ungültig und hielt dabei ausdrücklich fest, dass die gesetzliche Grundlage und die Praxis der USA keinen ausreichenden Schutz für die personenbezogenen Daten der „Facebook“- Nutzer in der EU bieten würden.

Warum überhaupt ein Abkommen?

Personenbezogene Daten dürfen in Drittländer (=nicht EU- Staaten) nur dann übermittelt werden, wenn diese über ein angemessenes Datenschutzniveau verfügen. Dies sieht die europäische Datenschutzgrundverordnung (DSGVO) auch explizit vor.

Zu den Aufgaben der EU- Kommission gehört es, ein solches angemessenes Datenschutzniveau festzustellen. Dabei bedient sich die EU- Kommission der sogenannten Angemessenheitsbeschlüsse. Liegen solche für die Drittländer vor, kann davon ausgegangen werden, dass das Datenschutzniveau in diesen Ländern jenem der EU vergleichbar sei und der Schutz der personenbezogenen Daten der EU- Bürger gewährleistet sei. Die Übermittlung dieser Daten in „genehmigten“ Drittstaaten und die dortige Datenverarbeitung stellen damit kein Problem dar.

Unternehmen jener Drittstaaten, in welchen bis dato kein angemessenes Datenschutzniveau herrschte (=kein Angemessenheitsbeschluss der EU- Kommission vorlag), versuchten stattdessen, mit den EU- Unternehmen direkt aufwendige EU- Standardvertragsklauseln (SVK) abzuschließen und trotz des Fehlens des Angemessenheitsbeschlusses damit zu zeigen, dass sie das EU- Datenschutzniveau gewährleisten würden.

Das neue Datenschutzabkommen: EU - US-Privacy-Shield“

Mit den USA schloss die EU- Kommission hingegen nach der Aufhebung des „Safe- Harbor“ – Abkommens mit USA ein neues Abkommen zur Übermittlung und Verbreitung der personenbezogenen Daten, nämlich das gegenständliche „EU- US- Privacy- Shield“- Abkommen ab.

Damit wurde jedoch keineswegs bestätigt, dass die USA als solche über ein angemessenes Datenschutzniveau verfügen. Vielmehr galt das „EU- US- Privacy- Shield“- Abkommen nur für jene US – Unternehmen, welche sich dem Ankommen ausdrücklich unterwarfen und diesen Umstand auch zertifizieren ließen.

Aber auch diese Lösung war nach Ansicht vieler Datenschützer keineswegs ausreichend und meinten, dass ein angemessener Schutz der personenbezogenen Daten trotz des neuen Abkommens nicht vorliegen würde.

„Max Schrems II“ - nunmehriges Verfahren vor dem EuGH:

Auch der Datenschutzaktivist Schrems argumentierte in seiner weiteren Beschwerde gegen Facebook Ireland, dass die Muttergesellschaft, die Facebook Inc. die personenbezogenen Daten der EU- Bürger aufgrund der in den USA zwingenden Gesetze an diverse US- Behörden (NSA, FBI, etc) nach wie vor weiterleiten würde. Seit Jahren ist daher die weitere Entscheidung der Luxemburger Richter erwartet worden.

Nun sprach der EuGH aus, dass auch das zweite zwischen der EU und US abgeschlossene „EU- US- Privacy- Shield“ – Abkommen ungültig sei und bestätigte, dass das Abkommen keinen ausreichenden Schutz für den Datentransfer der betroffenen EU- Bürger biete.

Überraschend war jedoch die Rechtsansicht des europäischen Höchstgerichtes, dass die Standardvertragsklauseln (SVK) unter gewissen Voraussetzungen anwendbar und somit gültig seien.

Damit die zwischen den betroffenen Vertragsparteien vereinbarten SVK Gültigkeit besitzen, müssen diese sicherstellen, dass das datenempfangene Unternehmen im Drittland die SVK einhalten kann und dass keine gesetzlichen Bestimmungen dieser Einhaltung im Drittland entgegenstehen. Im Hinblick auf die letztere Voraussetzung heißt es wiederholt somit, dass das Datenschutzniveau des Drittstaates am EU- Datenschutzniveau gemessen werden muss.

Folgen der Entscheidung

Mangels einer Übergangsfrist ist die Übermittlung personenbezogener Daten von EU – Bürgern in die USA ab sofort rechtswidrig!

Jene Unternehmen, welche sich bisher auf das „EU- US- Privacy- Shield“ – Abkommen gestützt haben, ist anzuraten die bisherige Datenübermittlung zu prüfen.

Demnächst sind zweifellos auch die Stellungnahmen der Datenschutzbehörden zu erwarten. Da sich der EuGH auch hinsichtlich der Standardvertragsklauseln (SVK) in einer Entscheidung klar positionierte, tun die Unternehmen gut daran, eine Prüfung vorzunehmen, ob die geplanten Datentransfers in das Drittland sicher erfolgen, insbesondere ob im Drittland ein angemessenes Datenschutzniveau gewährleistet sei.