EuGH-Urteil - Erste Stellungnahme

16 Jul 2020

EuGH erklärt „Privacy Shield“ im US-Überwachungsfall für ungültig. SCCs können nicht von Facebook und ähnlichen Unternehmen genutzt werden.

Facebook und ähnliche Unternehmen dürfen auch keine "SCCs" verwenden, da die DPC Datentransfers im Rahmen dieses Instruments stoppen muss.

Schrems: "Wir brauchen eine Reform des US-amerikanischen Überwachungsrechts. Der Gerichtshof hat klargestellt, dass es keine Datenübermittlungen geben darf, die gegen EU-Recht verstoßen.”

Max Schrems' (Geschäftsführer von noyb.eu und Partei des Falles) erste Reaktion auf das Urteil:

Schrems: „Ich bin sehr glücklich über das Urteil. Unsere Argumente wurden bestätigt. Das ist ein totaler Schlag für die irische DPC und Facebook. Es steht nun fest, dass die USA ihre Überwachungsgesetze grundlegend ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.“

US-Überwachungsreform ist unumgänglich – EuGH findet klare Worte

Der Gerichtshof hat klargestellt, dass die weitreichenden US-amerikanischen Überwachungsgesetze im Widerspruch zu den Grundrechten der EU stehen. Die USA beschränken die meisten Schutzmaßnahmen auf „US-Personen“, schützen aber nicht die Daten ausländischer Kunden von US-Unternehmen vor der NSA. Da es keine Möglichkeit gibt, herauszufinden, ob Sie oder Ihr Unternehmen überwacht werden, haben die Menschen auch keine Möglichkeit, vor Gericht zu gehen. Der EuGH sprach in diesem Zusammenhang sogar von einer Verletzung des „Wesensgehalts“ der EU-Grundrechte.

Schrems: „Der Gerichtshof hat nun zum zweiten Mal klargestellt, dass es einen Konflikt von EU-Datenschutzrecht und US-Überwachungsrecht gibt. Da die EU ihre Grundrechte nicht ändern wird, um die NSA zufriedenzustellen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen. Eine Überwachungsreform wird dadurch entscheidend für die Geschäftsinteressen von Silicon Valley.“

„Dieses Urteil ist nicht die Ursache für eine Beschränkung der Datenübermittlung, sondern die Folge der US-amerikanischen Überwachungsgesetze. Man kann dem Gerichtshof nicht vorwerfen, das Unvermeidliche zu sagen.“

Europäische Kommission beugte sich dem Druck der USA

Das Urteil macht auch deutlich, dass die Europäische Kommission keine gründliche und genaue Bewertung der US-Überwachungsgesetze im Zusammenhang mit Privacy Shield vorgenommen hat. Stattdessen beugte sie sich bei der Verabschiedung des Privacy Shields dem Druck der USA.

Herwig Hofmann, Professor der Rechtswissenschaften an der Universität Luxemburg und einer der Anwälte, die die Schrems-Fälle vor dem EUGH verhandeln äußerte sich wie folgt: „Der EUGH hat nun die zweite Entscheidung der Kommission für ungültig erklärt, weil sie gegen die grundlegenden Datenschutzbestimmungen der EU verstößt. Es kann keine Datenübermittlungen in ein Land mit Massenüberwachungsmaßnahmen geben. Solange das US-Recht seiner Regierung die Befugnis einräumt, EU-Daten beim Transit in die USA abzugreifen, werden solche Instrumente immer wieder außer Kraft gesetzt werden. Da die Kommission im „Privacy Shield“-Angemessenheitsbeschluss die US-Überwachungsgesetze einfach akzeptiert hat, stand sie nun ohne Argumente da.

Datenschutzbehörden haben eine Pflicht zum Handeln – Wichtige Stärkung der Durchsetzbarkeit der DSGVO

Der Gerichtshof hat auch klargestellt, dass die Datenschutzbehörden der EU die Pflicht haben, tätig zu werden. Der EuGH hat hervorgehoben, dass die Datenschutzbehörden „verpflichtet sind, ihrer Verantwortung nachzukommen und dafür zu sorgen, dass die DSGVO mit aller gebotenen Sorgfalt vollständig durchgesetzt wird“. Bislang haben viele Datenschutzbehörden die Auffassung vertreten, dass es in ihrem uneingeschränkten Ermessen liegt, wegzuschauen. Der Gerichtshof hat dieser Praxis nun ein Ende gesetzt.

Schrems: „Der Gerichtshof sagt der irischen DPC nicht nur, dass sie nach sieben Jahren Untätigkeit ihre Arbeit tun soll, sondern auch, dass alle europäischen Datenschutzbehörden die Pflicht haben, Maßnahmen zu ergreifen und nicht einfach wegschauen dürfen. Dies ist ein grundlegender Wandel, der weit über den Datentransfer zwischen der EU und den USA hinausgeht. Behörden wie die irische Datenschutzbehörde haben bisher den Erfolg der DSGVO untergraben, indem sie Beschwerden einfach nicht bearbeitet haben. Der Gerichtshof hat den Datenschutzbehörden klar gesagt, dass sie sich an die Arbeit machen und das Gesetz durchsetzen müssen.“

SCCs können auch nicht mehr von Facebook und US-Unternehmen genutzt werden, die unter US-Überwachung stehen

Der Gerichtshof hat sich auch der Auffassung von Max Schrems angeschlossen, dass in einem ersten Schritt EU-Unternehmen und Nicht-EU-Empfänger von Daten das Recht des jeweiligen Drittlandes überprüfen müssen. Nur wenn es kein kollidierendes Recht gibt, können sie die SCCs nutzen. Als zweite Schutzebene muss die zuständige Datenschutzbehörde die in den SCCs eingebaute „Notfallklausel“ (Artikel 4 der SCCs) anwenden, wenn US-Überwachungsgesetze gegen die Grundsätze des EU-Datenschutzrechts verstoßen, die Unternehmen aber nicht tätig geworden sind. Die DPC kämpft seit 2016 gegen diese Idee, mit der falschen Behauptung, es liege in ihrem Ermessen, angesichts der Massenüberwachung durch ausländische Mächte nichts zu unternehmen. Zusammengefasst bedeutet dies, dass Facebook die SCCs nicht mehr für Datentransfers zwischen der EU und den USA verwenden darf. Wenn sie weiterhin gegen das Gesetz verstoßen, muss die DPC – im Gegensatz zu einigen ersten Reaktionen nach der Verkündung des Urteils – dringend Maßnahmen ergreifen.

Schrems: „Das Urteil macht deutlich, dass Unternehmen die SCCs nicht einfach unterzeichnen dürfen, sondern auch prüfen müssen, ob diese in der Praxis überhaupt eingehalten werden können. In Fällen wie bei Facebook, wo Facebook untätig blieb, hatte die DPC die Lösung dieses Falles die ganze Zeit selbst in der Hand. Sie hätte Facebook schon vor Jahren anweisen können, die Datentransfers zu stoppen. In unserer Klage forderten wir, dass sie eine Unterlassungsverfügung mit einer angemessenen Umsetzungsfrist erlässt, damit Facebook alle notwendigen Schritte unternehmen kann. Stattdessen wandte die sich DPC an den EuGH, um die – nun für gültig befundenen – SCCs für aufheben zu lassen. Es ist, als würde man die europäische Feuerwehr rufen, weil man selbst keine Lust hat, eine Kerze auszublasen.

Nutzer müssen sich vereinigen & extrem hohe Kosten

Der Umstand, dass dieser Fall seit 7 Jahren anhängig ist und allein die DPC fast EUR 3 Mio. investiert hat, um die Beschwerde von Max Schrems zu bekämpfen, anstatt entschiedene Maßnahmen zum Schutz der Rechte der Europäer zu ergreifen, zeigt ebenfalls einige grundlegende Mängel im System der Durchsetzung der DSGVO auf. Es ist derzeit für einen normalen Menschen unmöglich, dafür zu sorgen, dass die DSGVO-Rechte nicht nur ein leeres Versprechen sind, sondern zu einem normalen Teil unseres digitalen Lebens werden.

Schrems: „Die DPC hat EUR 2,9 Mio. gegen uns investiert – und im Wesentlichen verloren. Ich will gar nicht wissen, wie viele Millionen Facebook in diesen Fall gesteckt hat. Die finanziellen Folgen dieses Falles werden nun von den irischen Gerichten entschieden. Nach EU-Recht muss eine kostenfreie und schnelle Bearbeitung der Beschwerde eines Bürgers gewährleistet sein. In diesem Fall sind wir jedoch seit 7 Jahren und mit eingereichten Dokumenten im Umfang von mehr als 45.000 Seiten vor Gericht. Der Mythos, dass ein Jurastudent das einfach alleine tun kann, ist leider falsch.“

„Notwendige“ Datenübermittlungen in die USA können weitergehen

Trotz des Urteils können absolut „notwendige“ Datenströme gemäß Artikel 49 DSGVO weiterhin stattfinden.

Trotz der Ungültigkeitserklärungen im Urteil können absolut „notwendige“ Datenübermittlungen gemäß Artikel 49 DSGVO weiterhin stattfinden. Wollen Nutzer ihre Daten rechtmäßig ins Ausland fließen lassen, bestehen hierfür nach wie vor Möglichkeiten. Die Datenübermittlung kann etwa auf die informierte Einwilligung des Nutzers gestützt werden, die jederzeit widerrufen werden kann. Ebenso erlaubt die DSGVO Datenübermittlungen, die „notwendig“ sind, um einen Vertrag zu erfüllen. Dies ist eine solide Grundlage für die meisten Rechtsgeschäfte mit den USA. Mit einfachen Worten: Die USA sind nun wieder in die „normale“ Situation zurückversetzt worden, in der sich die meisten anderen Drittländer in Bezug auf Datenübermittlungen aus der EU befinden, haben aber – in Anbetracht der US-amerikanischen Überwachungsmaßnahmen – ihren besonderen Zugang zum EU-Markt verloren.

Schrems: „Der Gerichtshof hat ausdrücklich betont, dass durch die Aufhebung des Privacy Shield kein „Rechtsvakuum“ entsteht, da unbedingt „notwendige“ Datenübermittlungen weiterhin stattfinden können. Die USA werden nun einfach in ein den Status eines Landes ohne besonderen Zugang zu EU-Daten zurückversetzt.

 

v3