Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18—Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems
Hier finden Sie die Informationen des Europäischen Datenschutzausschusses zum oben angegebenen Urteil des EuGH vom 16.07.2020. Der Link zum Dokument lautet:
Angenommen am Donnerstag, 23. Juli 2020
Dieses Dokument soll Antworten auf einige häufig gestellte Fragen liefern, die bei den Aufsichtsbehörden („AB“) eingehen, und wird zusammen mit weiteren Analysen ausgearbeitet und ergänzt werden, da der EDSA (Europäischer Datenschutzausschuss) das Urteil des Gerichtshofs der Europäischen Union (im Folgenden„Gerichtshof“) weiterhin prüft und bewertet.
Das Urteil C-311/18 finden Sie hier, und die Pressemitteilung des Gerichtshofs finden Sie hier.
- Was hat der Gerichtshof in seinem Urteil entschieden?
Der Gerichtshof hat in seinem Urteil die Gültigkeit des Beschlusses 2010/87/EU der Europäischen Kommission über Standardvertragsklauseln (Standard Contractual Clauses, SCCs) geprüft und ihn für gültig befunden. In der Tat wird die Gültigkeit dieses Beschlusses nicht durch die bloße Tatsache in Frage gestellt, dass die in dieser Entscheidung enthaltenen Standarddatenschutzklauseln, da sie vertraglicher Natur sind, die Behörden des Drittstaats, in den die Daten übermittelt werden, nicht binden.Diese Gültigkeit hängt jedoch, so der Gerichtshof, davon ab, ob der Beschluss 2010/87/EU wirksame Mechanismen enthält, die es in der Praxis ermöglichen, die Einhaltung des Schutzniveaus sicherzustellen, das dem in der EU durch die DSGVO garantierten im Wesentlichen gleichwertig ist, und dass die Übermittlung personenbezogener Daten gemäß diesen Klauseln ausgesetzt oder untersagt wird, wenn diese Klauseln verletzt werden oder nicht eingehalten werden können.
In diesem Zusammenhang weist das Gericht insbesondere darauf hin, dass der Beschluss2010/87/EU einen Datenexporteur und den Datenempfänger (den „Datenimporteur“) verpflichtet, vor jeder Datenübermittlung und unter Berücksichtigung der Umstände der Datenübermittlung zu prüfen, ob dieses Schutzniveau in dem betreffenden Drittland eingehalten wird, und dass der Datenimporteur nach dem Beschluss 2010/87/EU verpflichtet ist, den Datenexporteur darüber zu informieren, dass er nicht in der Lage ist, die Standarddatenschutzklauseln einzuhalten, und gegebenenfalls zusätzliche Maßnahmen zu den durch diese Klausel angebotenen Maßnahmen zu ergreifen, wobei der Datenexporteur dann seinerseits verpflichtet ist, die Übermittlung der Daten auszusetzen und/oder den Vertrag mit dem Datenimporteur zu beenden.
Der Gerichtshof prüfte auch die Gültigkeit des Beschlusses über den Datenschutzschild (Beschluss2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes), da die Übermittlungen, um die es im Zusammenhang mit dem nationalen Rechtsstreit ging, der zu dem Vorabentscheidungsersuchen führte, zwischen der EU und den Vereinigten Staaten („USA“) stattfanden.
Der Gerichtshof vertrat die Auffassung, dass die Anforderungen des innerstaatlichen Rechts der USA und insbesondere bestimmter Programme, die den Zugriff aus Gründen der nationalen Sicherheit durch Behörden der USA zu personenbezogenen Daten ermöglichen, die aus der EU in die USA übermittelt werden, zu Einschränkungen des Schutzes personenbezogener Daten führen, die nicht in einer Weise beschränkt sind, dass sie den Anforderungen des EU-Rechts im Wesentlichen gleichwertig sind
(Der Gerichtshof betont, dass bestimmte Überwachungsprogramme, die den Behörden der USA aus Gründender nationalen Sicherheit den Zugang zu personenbezogenen Daten ermöglichen, die aus der EU in die USAübermittelt werden, keine Beschränkungen der den US-Behörden übertragenen Befugnisse oder Garantien fürmöglicherweise betroffene Personen außerhalb der USA vorsehen.)‚ und dass diese Rechtsvorschriften den betroffenen Personen keine Rechte einräumen, die gegen die US-Behörden gerichtlich geltend gemacht werden können.Infolge eines solchen Eingriffs in die Grundrechte von Personen, deren Daten in dieses Drittland übermittelt werden, erklärte der Gerichtshof den Angemessenheitsbeschluss zum Datenschutzschild für ungültig.
- Hat das Urteil des Gerichtshofs Auswirkungen auf andere Übermittlungsinstrumente als denDatenschutzschild?
Im Allgemeinen gilt der vom Gerichtshof festgelegte Schwellenwert für Drittländer auch für alle geeigneten Garantien nach Artikel 46 DSGVO, die für die Übermittlung von Daten aus dem EWR in Drittländer verwendet werden. Das vom Gerichtshof angeführte US-Recht (d.h. Paragraph702 Foreign Intelligence Surveillance Act (FISA) und EO 12 333) gilt für jede Übermittlung in die USA auf elektronischem Wege, die in den Anwendungsbereich dieser Rechtsvorschriften fällt, unabhängig davon, welches Übermittlungsinstrument für die Übermittlung verwendet wird (Paragraph702 FISA gilt für alle „Anbieter elektronischer Kommunikationsdienste“ (siehe Definition in 50 U.S.Code §1881 (b) (4)), während EO12 333 die elektronische Überwachung regelt, die definiert ist als der „Erwerb einer nicht öffentlichen Kommunikation auf elektronischem Wege ohne die Zustimmung einer Person, die an einer elektronischen Kommunikation beteiligt ist, oder –im Falle einer nicht elektronischen Kommunikation– ohne die Zustimmung einer Person, die am Ort der Kommunikation sichtbar anwesend ist, jedoch nicht die Verwendung eines Funkpeilgeräts ausschließlich zur Bestimmung des Standorts der Funkverbindung“ (3.4; b).) - Gibt es eine Schonfrist, innerhalb der ich weiterhin Daten in die USA übermitteln kann, ohne meine Rechtsgrundlage für die Übermittlung prüfen zu müssen?
Nein, der Gerichtshof hat den Beschluss über den Datenschutzschild für ungültig erklärt, ohne die Wirkungen des Beschlusses aufrechtzuerhalten, da das vom Gerichtshof geprüfte US-Recht kein der EU im Wesentlichen gleichwertiges Schutzniveau bietet. Dies ist bei jeder Übermittlung von Daten in die USA zu berücksichtigen. - Ich habe Daten an einen US-amerikanischen Datenimporteur übermittelt, der dem Datenschutzschild beigetreten ist, was sollte ich jetzt tun?
Übermittlungen auf der Grundlage von diesem Rechtsrahmen sind rechtswidrig. Falls Sie weiterhin Daten in die USA übermitteln möchten, müssen Sie prüfen, ob dies unter den nachstehenden Bedingungen möglich ist. - Ich nutze für die Übermittlung von Daten an einen Datenimporteur in den USA SSCs, was sollte ich jetzt tun?
Der Gerichtshof stellte fest, dass das US-Recht (d. h. Paragraph 702 FISA und Paragraph EO 12 333) kein im Wesentlichen gleichwertiges Schutzniveau gewährleistet.Ob Sie personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermitteln dürfen oder nicht, hängt vom Ergebnis Ihrer eigenen Prüfung ab, wobei die Umstände der Übermittlungen und etwaige zusätzliche Maßnahmen zu berücksichtigen sind. Die zusätzlichen Maßnahmen zusammen mit den Standardvertragsklauseln müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das von ihnen gewährleistete angemessene Schutzniveau nicht beeinträchtigt.
Falls Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, sind Sie verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden. Beabsichtigen Sie dagegen, die Daten trotz dieser Schlussfolgerung weiterhin zu übermitteln,müssen Sie dies Ihrer zuständigen Aufsichtsbehörde mitteilen (Siehe insbesondere Erwägungsgrund 145 des Urteils des Gerichtshofs und Nummer 4 Buchstabe g des Beschlusses 2010/87/EU der Kommission sowie Nummer 5 Buchstabe a des Beschlusses 2001/497/EG der Kommission und Anhang Set II Buchstabe c des Beschlusses 2004/915/EG der Kommission.).
- Ich verwende mit einem Unternehmen in den USA verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, „BCR“), was sollte ich jetzt tun?
Angesichts des Urteils des Gerichtshofs, mit dem der Datenschutzschild wegen des Ausmaßes des Eingriffs durch das US-Recht in die Grundrechte von Personen, deren Daten in dieses Drittland übermittelt werden, für ungültig erklärt wurde, und angesichts der Tatsache, dass der Datenschutzschild auch dazu bestimmt war, Garantien für Daten zu bieten, die mit anderen Instrumenten wie etwa den BCR übermittelt wurden, gilt die Einschätzung des Gerichtshofs auch im Zusammenhang mit den BCR, da das US-Recht ebenfalls Vorrang vor diesem Instrument haben wird.Ob Sie personenbezogene Daten auf der Grundlage von BCR übermitteln dürfen oder nicht, hängt vom Ergebnis Ihrer eigenen Einschätzung ab, wobei die Umstände der Übermittlungen und etwaige zusätzliche Maßnahmen zu berücksichtigen sind. Diese zusätzlichen Maßnahmen müssten zusammen mit den BCR nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das garantierte, angemessene Schutzniveau nicht beeinträchtigt.
Falls Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, sind Sie verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden. Falls Sie jedoch beabsichtigen, die Daten trotz dieser Schlussfolgerung weiterhin zu übermitteln, müssen Sie dies Ihrer zuständigen Aufsichtsbehörde mitteilen (Siehe insbesondere Erwägungsgrund 145 des Urteils des Gerichtshofs und Artikel 4 Buchstabe g des Beschlusses 2010/87/EU der Kommission. Siehe auch Paragraph 6.3 WP256 Rev. 01 (Artikel-29-Datenschutzgruppe, Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften (BCR), das vom EDSA angenommen wurde http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109) und Paragraph 6.3 WP257 Rev.01 (Artikel-29-Datenschutzgruppe, Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher interner Datenschutzvorschriften (BCR) für Auftragsverarbeiter, das vom EDSA angenommen wurde http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110).
- Wie sieht es mit anderen Übermittlungsinstrumenten gemäß Artikel46 DSGVO aus?
Der EDSA wird die Auswirkungen des Urteils auf andere Übermittlungsinstrumente als SCCs und BCR bewerten. In dem Urteil wird klargestellt, dass der Standard für geeignete Garantien in Artikel 46 DSGVO der der „wesentlichen Gleichwertigkeit“ ist.Wie der Gerichtshof betont hat, ist darauf hinzuweisen, dass Artikel46 in Kapitel V der Datenschutz-Grundverordnung enthalten ist und daher im Lichte von Artikel 44 der Datenschutz-Grundverordnung zu lesen ist, der besagt: „Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“
- Kann ich mich auf eine der Ausnahmeregelungen von Artikel 49 DSGVO berufen, um Daten in die USA zu übermitteln?
Es ist nach wie vor möglich, Daten aus dem EWR in die USA auf der Grundlage der in Artikel 49 DSGVO vorgesehenen Ausnahmeregelungen zu übermitteln, sofern die in diesem Artikel festgelegten Bedingungen erfüllt sind. Der Europäische Datenschutzausschuss verweist auf seine Leitlinien zu dieser Bestimmung (Leitlinien des EDSA 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung (EU) 2016/679, angenommen am 25.Mai 2018, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_de.pdf, S.3.).Insbesondere sollte daran erinnert werden, dass bei Übermittlungen, die auf der Grundlage der Einwilligung der betroffenen Person beruhen, folgende Bedingungen gelten: Die Einwilligung
– muss ausdrücklich sein,
– muss für den bestimmten Fall der betreffenden Datenübermittlung bzw. Reihe von Übermittlungen erteilt werden (d.h. der Datenexporteur muss dafür sorgen, dass vor der Übermittlung eine ausdrückliche Einwilligung eingeholt wird, auch wenn dies erst nach der Erhebung der Daten geschieht) und
– muss in Kenntnis der Sachlage erfolgen, insbesondere, was die möglichen Risiken der Übermittlung betrifft (d.h. die betroffene Person muss auch über die spezifischen Risiken unterrichtet werden, die sich daraus ergeben, dass ihre Daten in ein Land übermittelt werden, das keinen angemessenen Schutz bietet und in dem keine geeigneten Garantien zum Schutz der Daten vorgesehen werden).In Bezug auf Übermittlungen, die für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen erforderlich sind‚ ist zu berücksichtigen, dass personenbezogene Daten nur dann übermittelt werden dürfen, wenn die Übermittlung nur gelegentlich erfolgt. Es müsste von Fall zu Fall festgestellt werden, ob Datenübermittlungen als „gelegentlich“ oder als „nicht gelegentlich“ zu betrachten sind. In jedem Fall kann diese Ausnahmeregelung nur dann geltend gemacht werden, wenn die Übermittlung für die Erfüllung des Vertrags tatsächlich erforderlich ist.
In Bezug auf Übermittlungen, die aus wichtigen Gründen des öffentlichen Interesses notwendig sind (die in den Rechtsvorschriften der EU oder der Mitgliedstaaten (Soweit hier auf „Mitgliedstaaten“ Bezug genommen wird, ist dies als Bezugnahme auf „EWR-Mitgliedstaaten“zu verstehen.) anerkannt werden müssen), weist der EDSA darauf hin, dass die wesentliche Voraussetzung für die Anwendbarkeit dieser Ausnahmeregelung die Feststellung eines wichtigen öffentlichen Interesses und nicht die Art der Organisation ist, und dass diese Ausnahmeregelung zwar nicht auf „gelegentliche“Datenübermittlungen beschränkt ist, dies jedoch nicht bedeutet, dass Datenübermittlungen auf der Grundlage der wichtigen Ausnahmeregelung im öffentlichen Interesse in großem Umfang und systematisch erfolgen können. Vielmehr muss der allgemeine Grundsatz beachtet werden, wonach die Ausnahmen gemäß Artikel 49 DSGVO in der Praxis nicht zur „Regel“ werden dürfen, sondern auf bestimmte Situationen beschränkt bleiben müssen, wobei jeder Datenexporteur sicherstellen muss, dass die Übermittlung der strengen Notwendigkeitsprüfung entspricht.
- Kann ich weiterhin SCCs oder BCR verwenden, um Daten in ein anderes Drittland als die USA zu übermitteln?
Der Gerichtshof hat darauf hingewiesen, dass Standardvertragsklauseln in der Regel immer noch für die Übermittlung von Daten in ein Drittland verwendet werden können, der vom Gerichtshof festgelegte Schwellenwert für Übermittlungen in die USA jedoch auch für jedes andere Drittland gilt. Gleiches gilt für die BCR.Der Gerichtshof wies daraufhin, dass es in der Verantwortung des Datenexporteurs und des Datenimporteurs liegt, zu beurteilen, ob das vom EU-Recht geforderte Schutzniveau in dem betreffenden Drittland eingehalten wird, um festzustellen, ob die Garantien der Standardvertragsklauseln oder der BCR in der Praxis eingehalten werden können. Ist dies nicht der Fall, sollten Sie prüfen, ob Sie zusätzliche Maßnahmen ergreifen können, um ein im Wesentlichen gleichwertiges Schutzniveau wie im EWR zu gewährleisten, und ob das Recht des Drittlandes diese zusätzlichen Maßnahmen nicht beeinträchtigt, um deren Wirksamkeit zu verhindern.
Sie können sich an Ihren Datenimporteur wenden, um die Rechtsvorschriften seines Landes zu überprüfen und bei der Beurteilung zusammenzuarbeiten. Sollten Sie oder der Datenimporteur in dem Drittland feststellen, dass die im Rahmen der Standardvertragsklauseln oder der BCR übermittelten Daten keinen Schutz genießen, der dem im EWR garantierten Schutzniveau im Wesentlichen gleichwertig ist, sollten Sie die Übermittlungen unverzüglich aussetzen. Falls dies nicht der Fall ist, müssen Sie Ihre zuständige Aufsichtsbehörde benachrichtigen (Siehe insbesondere Erwägungsgrund 145 des Urteils des Gerichtshofs. Zu Standardvertragsklauseln siehe Nummer 4 Buchstabe g des Beschlusses 2010/87/EU der Kommission sowie Nummer 5 Buchstabe a des Beschlusses 2001/497/EG der Kommission und Anhang Teil II Buchstabe c des Beschlusses 2004/915/EG der Kommission. Zu BCR siehe Paragraph 6.3 WP256 Rev. 01 (vom EDSA angenommen) und Paragraph 6.3 WP257 Rev. 01 (vom EDSA angenommen)).
Obwohl es, wie der Gerichtshof betont hat, in erster Linie in der Verantwortung der Datenexporteure und Datenimporteure liegt, selbst zu beurteilen, ob es die Rechtsvorschriften des Bestimmungsdrittlandes dem Datenimporteur ermöglichen, die Standarddatenschutzklauseln oder die BCR einzuhalten, werden die Aufsichtsbehörden vor der Übermittlung personenbezogener Daten an dieses Drittland auch eine Schlüsselrolle bei der Durchsetzung der Datenschutz-Grundverordnung und beim Erlass weiterer Entscheidungen über Übermittlungen in Drittländer spielen.
Um divergierende Entscheidungen zu vermeiden, werden sie daher, wie vom Gerichtshof gefordert, ihre Arbeit im Rahmen des EDSA fortsetzen, um die Kohärenz zu gewährleisten, insbesondere wenn Übermittlungen in Drittländer verboten werden müssen.
- Welche zusätzlichen Maßnahmen kann ich ergreifen, wenn ich SCCs oder BCR für die Übermittlung von Daten an Drittländer nutze?
Die zusätzlichen Maßnahmen, die Sie erforderlichenfalls in Betracht ziehen könnten, müssten von Fall zu Fall unter Berücksichtigung aller Umstände der Übermittlung und nach Prüfung des Rechts des Drittlandes getroffen werden, um festzustellen, ob ein angemessenes Schutzniveau gewährleistet ist.Der Gerichtshof betonte, dass es in erster Linie in der Verantwortung des Datenexporteurs und des Datenimporteurs liegt, diese Einschätzung vorzunehmen und die erforderlichen zusätzlichen Maßnahmen zu treffen.
Der EDSA prüft derzeit das Urteil des Gerichtshofs, mit dem ermittelt werden soll, welche rechtlichen, technischen oder organisatorischen Maßnahmen zusätzlich zu Standardvertragsklauseln oder BCR ergriffen werden könnten, um Daten in Drittländer zu übermitteln, in denen Standardvertragsklauseln oder BCR allein nicht das ausreichende Maß an Garantien bieten.
Der EDSA prüft gegenwärtig, worin diese zusätzlichen Maßnahmen bestehen könnten, und wird weitere Orientierungshilfen geben.
- Ich nutze einen Auftragsverarbeiter, der Daten verarbeitet, für die ich als für die Verarbeitung Verantwortlicher verantwortlich bin, wie kann ich wissen, ob dieser Auftragsverarbeiter Daten in die USA oder in ein anderes Drittland übermittelt?
In dem Vertrag, den Sie mit Ihrem Auftragsverarbeiter gemäß Artikel 28 Absatz 3 DSGVO geschlossen haben, muss angegeben werden, ob Datenübermittlungen zulässig sind oder nicht (dabei ist jedoch zu beachten, dass auch die Gewährung des Zugangs zu Daten aus einem Drittland, beispielsweise zu Verwaltungszwecken, einer Übermittlung gleichkommt).Es muss auch eine Genehmigung für Auftragsverarbeiter erteilt werden, Unterauftragsverarbeiter mit der Übermittlung von Daten in Drittländer zu beauftragen. Sie sollten darauf achten und vorsichtig sein, da eine Vielzahl von EDV-Lösungen die Übermittlung personenbezogener Daten in ein Drittland (z.B. zu Speicher-oder Wartungszwecken) mit sich bringen kann.
- Was kann ich tun, um die Dienste meines Auftragsverarbeiters weiterhin in Anspruch zunehmen, wenn aus dem gemäß Artikel28 Absatz3 DSGVO unterzeichneten Vertrag hervorgeht, dass Daten in die USA oder in ein anderes Drittland übermittelt werden können?
Falls Ihre Daten in die USA übermittelt werden dürfen und weder zusätzliche Maßnahmen vorgesehen werden können, um sicherzustellen, dass das US-Recht nicht das im Wesentlichen gleichwertige Schutzniveau beeinträchtigt, das die Übermittlungsinstrumente im EWR bieten, noch Ausnahmereglungen gemäß Artikel 49 DSGVO gelten, besteht die einzige Lösung darin, eine Änderung oder Zusatzklausel zu Ihrem Vertrag auszuhandeln, um die Übermittlung von Daten in die USA zu verbieten. In diesem Fall müssen die Daten nicht nur außerhalb der USA gespeichert, sondern auch verwaltet werden.Falls Ihre Daten in ein anderes Drittland übermittelt werden sollen, sollten Sie auch die Rechtsvorschriften dieses Drittlands überprüfen, um festzustellen, ob sie den Anforderungen des Gerichtshofs und dem erwarteten Schutzniveau für personenbezogene Daten entsprechen. Falls kein hinreichender Grund für die Übermittlung in ein Drittland gefunden werden kann, dürfen personenbezogene Daten nicht in Länder außerhalb des EWR übermittelt werden, und alle Verarbeitungen müssen innerhalb des EWR erfolgen.
Für den Europäischen Datenschutzausschuss
Vorsitzende
Andrea Jelinek
Quelle: NIBIS Portal Datenschutz Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18—Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian Schrems