Ob die Grundpfeiler des transatlantischen Datenverkehrs einstürzen werden, hängt davon ab, inwieweit der EuGH dem Generalanwalt in dessen Analyse des EU-US Privacy Shield und der Standarddatenschutzklauseln folgen wird. Der Generalanwalt empfiehlt, in zwei Fragen von der bisherigen EuGH-Rechtsprechung abzuweichen: (a) wann das Datenschutzniveau eines Drittstaats als angemessen iSv Art. 45 DSGVO gilt (II.) und (b) welcher Vergleichsmaßstab hierfür rechtsdogmatisch heranzuziehen ist (III.). Beide Antworten werden auch nach einem Brexit relevant (IV.).

Der Prüfungsmaßstab der Gleichwertigkeit und seine Reichweite im Bereich der nationalen Sicherheit

Inhaltsverzeichnis:

I.     Datenschutz in einer entgrenzten Welt

1.      Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO)

2.      Angemessenheitsbeschlüsse (Art. 45 Abs. 3 DSGVO)

II.        Angemessenheit im Sinne von Gleichwertigkeit?

1.      Rechtsprechung des EuGH in der Sache „Schrems I“

2.      Prüfkriterien des Art. 45 Abs. 2 DSGVO

3.      Das vergessene Schutzgut?

4.      Übertragung des Prüfungsmaßstabs auf die Standarddatenschutzklauseln

III.        Bewertung des EU-US Privacy Shield

1.      Vergleichsmaßstab für Vorschriften zum Schutz der nationalen Sicherheit

a)      Ansatz des EuGH: GRCh und DSGVO

b)      Ansatz des GA: Mitgliedstaatliches Recht und EMRK

c)      Stellungnahme

d)      Zwischenfazit

2.      Unzureichender Rechtsschutz gegenüber US-Sicherheitsbehörden

a)      Rechtsgrundlagen der US-amerikanischen Auslandsaufklärung

b)      Presidential Policy Directive 28

c)      Privacy Shield Ombudsperson

3.      Konsequenzen für die Wirksamkeit der Standarddatenschutzklauseln

IV.     Exkurs: Datenschutzniveau nach dem Brexit

V.       Fazit

Seit Generalanwalt Henrik Saugmandsgaard Øe am 19.12.2019 seine mit Spannung erwarteten Schlussanträge in der Rechtssache „Schrems II“ veröffentlicht hat, stehen die Zeichen auf Sturm. Die Grundpfeiler des transatlantischen Datenverkehrs sind erneut bedrohlich ins Wanken geraten. Ob sie auch einstürzen werden, hängt davon ab, inwieweit der EuGH dem Generalanwalt in seiner Analyse des EU-US Privacy Shield und der Standarddatenschutzklauseln folgen wird. Seinem Urteil kommt damit eine grundstürzende Bedeutung für die Zukunft internationaler Datenübermittlungen in einer hochgradig vernetzten Welt zu.

Der EuGH hat nicht nur zu entscheiden, wann das Datenschutzniveau eines Drittstaats als angemessen i.S.d. Art. 45 DSGVO zu gelten hat (II.), was Voraussetzung für grenzüberschreitende Informationstransfers in die USA und weltweit ist, sondern auch welcher Vergleichsmaßstab hierfür aus dem Recht der Union bzw. der Mitgliedstaaten rechtsdogmatisch heranzuziehen ist (III.). In beiden Fragen weicht der Generalanwalt von der bisherigen Rechtsprechung des EuGH ab.

Strittig ist insbesondere die Frage, ob sich die weitreichenden Datenzugriffsrechte US-amerikanischer Sicherheitsbehörden allein an der DSGVO und der Grundrechtecharta messen lassen müssen, obwohl der Schutz der nationalen Sicherheit unionsintern nicht in deren Geltungsbereich fällt (III. 1.).

Der Prüfungsmaßstab des Art. 45 DSGVO gibt zudem nicht nur die Anforderungen an die Rechtmäßigkeit des Privacy Shield vor (III. 2.). Angesichts des Brexits ist auch eine zeitnahe Bewertung des britischen Datenschutzniveaus unausweichlich (IV.).

I. Datenschutz in einer entgrenzten Welt

[1] Ob der transatlantische Datenverkehr rechtmäßig erfolgt, bestimmt sich nach einem speziellen Zulässigkeitsregime. Neben den allgemeinen Voraussetzungen müssen grenzüberschreitende Übermittlungen personenbezogener Daten aus der Union in Drittstaaten auch die spezifischen Bedingungen der Art. 44 ff. DSGVO erfüllen. ¹

[2] Die Schutzmechanismen in diesem Verordnungskapitel sollen verhindern, dass Verantwortliche, die dem EU-Datenschutzrecht unterworfen sind, ²  das unionale Datenschutzniveau allein dadurch untergraben können, dass sie Daten außerhalb Europas verarbeiten (Art. 44 S. 2 DSGVO). Daher müssen sie sich entweder wirksam auf einen Angemessenheitsbeschluss (Art. 45 DSGVO), geeignete Garantien wie Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder Ausnahmetatbestände (Art. 49 Abs. 1 DSGVO) stützen können. So wirkt das Datenschutzrecht der EU weit über deren Außengrenzen hinaus.

1. Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO)

[3] Die größte praktische Relevanz haben bislang Standarddatenschutzklauseln erlangt. ³  Sie werden vornehmlich ⁴  von der EU-Kommission erarbeitet und beschlossen (Art. 46 Abs. 2 lit. c DSGVO). Verantwortliche mit Vertragspartnern in Drittstaaten können sich der Klauselwerke bedienen, um Datentransfers zu legitimieren, die zwischen ihnen stattfinden.

[4] In der Rechtssache „Schrems II“ steht das spezielle Klauselwerk für Übermittlungen zwischen einem Verantwortlichen in der Union und einem Auftragsverarbeiter in einem Drittstaat zur Disposition. ⁵  Das Verfahren führt den nie enden wollenden Rechtsstreit fort, der sich zwischen dem österreichischen Datenschutzaktivisten Max Schrems, dem sozialen Netzwerk Facebook und dem irischen Data Protection Commissioner entsponnen hat.

[5] In seinen Schlussanträgen hat der Generalanwalt die Standarddatenschutzklauseln jedenfalls bei einer grundrechtskonformen Auslegung im Ergebnis als zulässig angesehen, ⁶  aber zugleich strengere Handlungspflichten für die Verantwortlichen angemahnt. Insbesondere sei der Verantwortliche in der Union nicht nur dazu berechtigt, die Datenübermittlungen an den Auftragsverarbeiter im Drittstaat zu untersagen, wenn sich dieser nicht an die Klauseln halten kann – er sei hierzu auch verpflichtet (vgl. Klausel 5a) des Beschlusses 2010/87/EU). ⁷

[6] Für die Frage, ob Standarddatenschutzklauseln wirksam sind, komme es zudem wesentlich auf die Prüfungs- und Vollzugsdichte der Datenschutz-Aufsichtsbehörden an. ⁸  Denn auch ihnen steht es zu, eine grenzüberschreitende Datenübermittlung – gestützt auf Art. 58 Abs. 2 lit. f und j DSGVO – zu verbieten. In anderen Worten: Versagen die Verantwortlichen beim Datenschutz im internationalen Datenverkehr, müssen jedenfalls die Aufsichtsbehörden zum Schutz der Betroffenen in die Bresche springen. Dieses zweigliedrige System aus privater und behördlicher Kontrolle (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht