Vor dem Europäischen Gerichtshof (EuGH) stehen in diesem Jahr zwei wesentliche Entscheidungen aus. Je nach Ausgang könnte dies erheblichen Einfluss auf den transatlantischen Datenverkehr haben.
„Schrems II“und La Quatrature du Net
Das Verfahren Facebook Ireland ./. Maximilian Schrems („Schrems II“-Rechtssache: C-311/18) betrifft dabei die Frage der Wirksamkeit des grenzüberschreitenden Datenaustauschs in die USA und weltweit und zwar auf der Grundlage sog. Standartschutzklauseln. Diese sorgen nach den aktuellen Umsetzungsvorgaben für ein angemessenes Datenschutzniveau. Dabei wird der sog. EU-US-Privacy Shield e tangiert, auf dessen Grundlage ein adäquater Schutz personenbezogener Daten in den USA möglich ist.
Der EU-US-Privacy Shield ist zudem in einem Parallelverfahren vor dem EuGH unmittelbarer Hauptgegenstand. Dieser Prozess wird von „La Quatrature du Net“ einer französischen Bürgerrechtsbewegung betrieben. Mit einer Entscheidung ist hierbei Ende 2020 zu rechnen.
Angemessenheit gemäß Datenschutzgrundverordnung
In beiden Verfahren geht darum, ob in dem jeweiligen Drittland, hier die USA, ein Datenschutzniveau gegeben ist, dass dem der Europäisch Union (EU) gleichwertig ist. Insofern wird die Frage zu beantworten sein, ob künftig eine Datenübertragen auf der Grundlage einer Standsatzschutzklausel und/oder dem EU-US-Privacy Shield rechtlich konform sein wird.
Warum ist ein angemessenes Datenschutzniveau fraglich?
Derjenige, der personenbezogene Daten von EU-Bürgern, bspw. in den USA verarbeitet, muss in der Lage sein, seine Verpflichtungen aus der Standartschutzklausel zu erfüllen. Besonders hat er zu garantieren, dass er nach seinem Wissen keinen Gesetzen unterliegt, die ihm die Erfüllung der DSGVO-Pflichten unmöglich machen. Gelingt dies nicht, müssen am Ende die zuständigen Aufsichtsbehörden den Datenaustausch vorübergehend oder auf Dauer suspendieren.
Beschränkungen des Datenschutzes nur in Ausnahmefällen
Ausnahmsweise können Beschränkungen des Datenschutzes zulässig sein. Dies ist dann der Fall, wenn in dem Drittland Regelungen zugrundliegen, die nicht über das hinausgehen, was noch dem Wesensgehalt der Grundrechte und Grundfreiheiten entspricht und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist. Dies können beispielsweise Belange der nationalen Sicherheit oder der Landesverteidigung sein.
unzureichenden Rechtsschutz gegenüber US-Sicherheitsbehörde
In dem Verfahren Schrems II stellte der Generalanwalt des EuGHs einen nur unzureichenden Rechtsschutz gegenüber den US-Sicherheitsbehörden fest.
- Gemäß § 702 Foreign Intelligence Surveillance Act (FISA) müssen Cloud-Anbieter wie Twitter oder Facebook den Sicherheitsbehörden Nutzerdaten auf Verlangen herausgeben. Rechtschutz der Betroffenen gibt es nicht. In solchen Fällen untersucht der zuständige US Foreign Intelligence Surveillance Court der nur Leitlinien der US-amerikanischen Auslandaufklärung. .
- Auch die sog. Presidential Policy Directive 28 (PPD-28) von 2014 bieten Betroffenen keinen Rechtsschutz. Diese Regelungen sollten zwwar die rechtliche Benachteiligung von Ausländern gegenüber US-Amerikanern in Datenschutzfragen überwinden und die massenhaften Datenausspähung begrenzen. Die PPD-28 begründet keine Individualrechte. Ihre Zweckbegrenzung massenhafter Ausspähung betrifft nicht lediglich sog. „temporär“ gespeicherte Daten. Was solche „temporär“ gespeicherten Daten sein sollen, beliebt unklar.
- Verschärft wurde die Diskussion über das angemessene Datenschutzniveau zusätzlich durch die Verabschiedung des sog. CLOUD Act in den USA. Dieser regelt den Zugriff von US-Behörden auf im Ausland gespeicherte Daten. Relevant ist allein, ob das Unternehmen seinen Sitz in den USA hat. Wo die Datenverarbeitung stattfindet spielt keine Rolle.
Rechtsschutz durch Datenschutzaufsichtsbehörden?
Anbieter wie Facebook oder Twitter unterliegen der gesetzlichen Verpflichtung, Nutzerdaten an Geheimdienste herauszugeben, Sie können daher nicht ihren Pflichten aus der Standartschutzklauseln nachkommen. In einem solchen Fall müsste die zuständigen Datenschutzbehörden die Datenübermittlung wegen Datenschutzmängeln unterbinden. Zwar bietet dies den Betroffenen, jedenfalls laut Generalanwalt des EuGH ausreichenden Schutz. Ob dies tatsächlich die Praxis sein würde, hinge maßgeblich davon ab, ob die europäischen Datenschutzaufsichtsbehörde aktiv werden würden
Es bleibt abzuwarten, was der EuGH jetzt entscheiden wird.