Das wichtigste vorweg: Über das Urteil des Europäischen Gerichtshof zum wenig klangvollen Aktenzeichen C-311/18 wird viel geredet, es wird viel interpretiert und schrecklich wenig gewusst. Daher hier die Möglichkeit, das Urteil einmal im Wortlaut zu lesen: Urteil C-311/18 vom 16. Juli 2020.
Zum nähren Verständnis
Nun die Erklärung, die nicht kompliziert ist. Wer, außerhalb des rein privaten Kontextes, personenbezogene Daten übermittelt, verarbeitet sie. Die Datenschutzgrundverordnung (DSGVO) geht dann davon aus, dass jede Verarbeitung (und somit auch jede Übermittlung) grundsätzlich rechtswidrig ist, es sei denn, der Betroffene willigt in die Verarbeitung ein oder es gibt eine Rechtsvorschrift, die die Verarbeitung auch ohne Einwilligung zulässt. Für diejenigen, die Freude an der Lektüre gesetzlicher Normen haben: Diese Rechtssatz folgt aus Artikel 5 Absatz 1 lit. a DSGVO i.V.m. ErwG 40 DSGVO. Sofern der für die Verarbeitung Verantwortliche einen solchen Verarbeitungsschritt nicht selbst ausführen will, sondern sich Hilfe beschafft (Auslagerung, Outsourcing), kann er dies ohne Einwilligung oder sonstige Rechtsgrundlage machen, sofern er den Dienstleister sorgfältig auswählt und – geradezu drakonisch – vertraglich bindet. Für die Norm-Fetischisten sei insoweit auf Artikel 28 DSGVO hingewiesen.
Wer aber personenbezogene Daten in ein Land außerhalb der Europäischen Union übermitteln (oder anderweitig dort verarbeiten) will, braucht mehr als „nur“ eine Einwilligung oder eine einwilligungsunabhängige Rechtsvorschrift. Denn die DSGVO geht davon aus, dass außerhalb der Europäischen Union in der Regel nicht das gleiche Datenschutzniveau gegeben ist. Daher ist eine zusätzliche Erlaubnisgrundlage für die Verarbeitung außerhalb der Europäischen Union erforderlich. In Betracht kommt etwa,
- dass die Europäische Kommission zu dem Ergebnis kommt, dass in einem bestimmten Land außerhalb der EU ein angemessenes Datenschutzniveau vorherrscht (sog. Angemessenheitsbeschluss),
- dass die Stelle, die die Daten außerhalb der Europäischen Union verarbeitet, vertraglich zusichert, die datenschutzrechtlichen Grundsätze der Europäischen Union zu achten und hierbei entweder eine von der Kommission vorgegebene Mustervertragsurkunde (sog. Standardvertragsklauseln in unterschiedlichen Varianten) oder eine selbst formulierte Vertragsurkunde, die von einer Aufsichtsbehörde genehmigt wurde (sog. Binding Corporate Rules) nutzt,
- dass der Betroffene in Kenntnis aller Risiken der Verarbeitung außerhalb der Europäischen Union zustimmt.
Es sind weitere Möglichkeiten denkbar. Doch der Rahmen dieses Beitrags soll nicht überdehnt werden.
Zusammenfassend gilt also folgendes: Wer personenbezogene Daten eines EU-Bürgers außerhalb des rein privaten Kontextes verarbeiten will, braucht hierfür einen Erlaubnisgrund (entweder die Einwilligung des Betroffenen oder eine Rechtsvorschrift, die die Verarbeitung ohne Einwilligung erlaubt). Soll die Verarbeitung – zumindest teilweise – außerhalb der Europäischen Union stattfinden, muss zusätzlich zum Erlaubnisgrund eine Rechtsgrundlage für den Grenzüberschritt der Daten haben (bspw. ein Angemessenheitsbeschluss, eine vertragliche Zusage zur Geltung der EU-Datenschutzgrundsätze oder die ausdrückliche Einwilligung des Betroffenen). Diejenigen, die gern in Gesetzen lesen, seien insoweit auf die Artikel 44 – 49 DSGVO hingewiesen.
Sonderfall USA
Dies vorausgeschickt, können wir die Datenübermittlung in die USA betrachten. Zunächst eine banale Tatsache: Datenübermittlungen in die USA sind europäischer Alltag. Viele Unternehmen bedienen sich der Marketingmöglichkeiten von Facebook und Google und nicht wenige speichern ihre Daten längst in der Cloud, etwa bei Microsoft, Amazon Web Services oder – wieder einmal – Google. Zahlreiche Internetseiten und Marketingkampagnen, auch namhafter Unternehmen, beruhen zum großen Teil auf dem exzessiven Einsatz solcher Anbieter. Zur Wahrheit gehört, dass die wenigsten Unternehmen dies in der Absicht tun, Daten zu missbrauchen oder missbrauchen zu lassen. Es ist oftmals schlichtweg Gewohnheit.
Wie kann dies datenschutzrechtlich beurteilt werden? Nun, ich schicke eine Selbstverständlichkeit voraus: Die USA sind nicht Teil der Europäischen Union. Mithin ist diese Datenverarbeitung durch US-Dienstleister rechtmäßig, wenn
- der Betroffene darin einwilligt oder eine einwilligungsunabhängige Rechtsvorschrift dies erlaubt,
- und es eine ergänzende Rechtsgrundlage für die Verarbeitung außerhalb der Europäischen Union gibt.
Die Frage nach dem datenschutzrechtlichen Erlaubnisgrund (Einwilligung, Rechsvorschrift) hängt vom konkreten Einzelfall ab, nicht selten bedienen sich die Unternehmen aber der Einwilligung.
Spannender ist die Frage, welche ergänzende Rechtsgrundlage für die Verarbeitung in den USA greift. Und hier gibt es die Besonderheit: Die Europäische Kommission hat sich nicht dazu durchringen können, den USA ein angemessenes Datenschutzniveau zu attestieren. Mit Recht. Aber: Die Europäische Kommission hat früh erkannt, dass eine US-basierte Datenverarbeitung auch aus dem europäischen Wirtschaftsalltag nicht wegzudenken ist. Daher ist sie einen Sonderweg gegangen: Sie hat mit der US-Regierung eine Vereinbarung getroffen. Danach ist die USA kein sicheres Drittland, jedoch können bestimmte US-Unternehmen „sichere Unternehmen“ werden. Dafür mussten sie sich zertifizieren und in eine Liste eintragen lassen. Die Rede ist vom PrivacyShield-Framework. In allen Unternehmen, die Teil des PrivacyShield-Frameworks waren, galten als sichere Drittunternehmen. Eine Datenverarbeitung durch sie war daher ergänzend gerechtfertigt. Mehr steckt da nicht dahinter.
Was nun entschieden wurde
Der Europäische Gerichtshof hat nun entschieden, dass dieses PrivacyShield-Framework, nicht mit Europäischem Recht vereinbar und daher ungültig ist. Im Urteil heißt es wörtlich:
Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.
Mithin können sich EU-Unternehmen, die Daten von US-Unternehmen verarbeiten lassen, nicht mehr auf das PrivacyShield berufen, um die Verarbeitung außerhalb der EU-Grenzen ergänzend zu rechtfertigen. Das Gericht begründet dies weniger ausführlich als ich erwartet hätte. Mir sind v.a. zwei Argumente aufgefallen:
Zum einen geht der Europäische Gerichtshof davon aus, dass die US-Gesetze, die staatliche Datenzugriffe ermöglichen, nicht dem Grundsatz der Verhältnismäßigkeit genügen. Zum anderen rügt der Europäische Gerichtshof, dass EU-Bürger gegen etwaige Rechtsverletzungen keinen ausreichenden Rechtsschutz haben (wie z.B. Klagerechte). Man mag nun meinen, dass die Begründung am Ergebnis nichts ändere. Doch das wäre ein allzu schneller Trugschluss. Denn wer jetzt eine Lösung für die Zukunft basteln will, sollte die Begründung des Europäischen Gerichtshofes aufmerksam lesen.
Was nun?
Selten war diese stumpfsinnige Frage berechtigter. Ich empfehle dringend, den eigenen Handlungsbedarf schnell zu analysieren (So könnte es gehen). Nur so wird man Lösungen finden. Und genau deshalb war dieser beschreibende Beitrag wichtig. Denn nur wer die Vorgeschichte des Urteils und das Urteil selbst versteht, kann die richtigen Rückschlüsse ziehen. Ich will in einem weiteren Beitrag einige Lösungsideen vorstellen.
Mir bleibt nur zu sagen. Das Urteil ist rechtspolitisch nachvollziehbar, rechtstechnisch aber falsch. Denn ein Europäischer Gerichtshof, der mit Recht den Grundsatz der Verhältnismäßigkeit hochhält, hat ihn selbst nicht beachtet.