EuGH erklärt den Privacy-Shield-Beschluss der Kommission für ungültig. Standardvertragsklauseln sind hingegen grundsätzlich nicht zu beanstanden
In einer viel beachteten Entscheidung hat der EuGH mit Urteil vom 16.07.2020 (Rechtssache C-311/18) den Beschluss der Europäischen Kommission über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes („Privacy-Shield“) für ungültig erklärt. Geklagt hatte erneut der Österreicher Max Schrems, der im hiesigen Verfahren die Rechtmäßigkeit von Datentransfers durch Facebook in die USA auf Grundlage des Privacy Shield und der sog. Standardvertragsklauseln überprüft wissen wollte.
Zur Begründung seiner Entscheidung hat der EuGH ausgeführt: der Privacy-Shield-Beschluss der Kommission gewährleiste nicht das von Art. 45 DSGVO geforderte angemessene Datenschutzniveau für Personen, deren personenbezogene Daten in die USA übermittelt werden. Denn, so das Gericht, amerikanische (Sicherheits-)Behörden besäßen in den USA zu weitreichende Befugnisse, auf diese Daten zuzugreifen, und treffe das Privacy-Shield ferner keine hinreichenden Vorkehrungen, damit die betroffenen Personen den möglichen Datenzugriff durch US-Behörden effektiv gerichtlich überprüfen lassen könnten. Mit dieser Begründung hatte der EuGH bereits den Vorgänger des „Privacy-Shield“, den „Safe-Harbour Beschluss“, gekippt.
Demgegenüber hat der EuGH die sog. Standardvertragsklauseln im hiesigen Verfahren für zulässig erachtet. Diese würden – anders als das Privacy-Shield – wirksame Mechanismen vorhalten, die das vom EU-Recht verlangte gleichwertige Datenschutzniveau bei Datentransfers in Drittstaaten – wie der USA – grundsätzlich gewährleisten können. Allerdings, so der EuGH, obliege es dem Datenexporteur zu prüfen, ob die Standardvertragsklauseln auch „unter Berücksichtigung des Rechts des Drittlandes einen angemessenen Schutz bieten“. Offen ließ der EuGH, ob die Standardvertragsklauseln bei Datentransfers in die USA den erforderlichen angemessenen Schutz bieten. Der EuGH hat insoweit lediglich ausgeführt, dass es – „je nach der in einem bestimmten Land gegebenen Lage“ – erforderlich sein könne, dass der Verantwortliche zusätzliche Maßnahmen ergreife, um die Einhaltung des erforderlichen Schutzniveaus zu gewährleisten. So obliege es dem Verantwortlichen, zum einen zu prüfen, ob das Recht des Bestimmungsdrittlands – z.B. USA – einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und zum anderen „erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen“ zu gewähren.
Unseren Mandanten, die bei Datentransfers in die USA auf Standardvertragsklauseln setzen, empfehlen wir vor diesem Hintergrund u.a., die Implementierung zusätzlicher vertraglicher Garantien („Standardvertragsklauseln plus“) in Erwägung zu ziehen.
Die Entscheidung des EuGH ist unter folgendem Link abrufbar: http://curia.europa.eu/juris/documents.jsf?num=C-311/18