Aktuell in der CR

Zwischen Rechtsvereinheitlichung und Verantwortungsdiffusion: Die Prüfung grenzüberschreitender Datenübermittlungen nach „Schrems II“ (Botta, CR 2020, 505)

Lieber ein Ende mit Schrecken als ein Schrecken ohne Ende – das könnte das vorschnelle Fazit aus dem EuGH-Urteil in der Sache „Schrems II“ sein (EuGH v. 16.7.2020 - C-311/18, CR 2020, 529). Schließlich herrscht nun Rechtssicherheit darüber, dass der lang umstrittene EU-US Privacy Shield keine gültige Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU in die USA ist. Da transatlantische Informationstransfers auf den ersten Blick dennoch weiterhin möglich bleiben, Standarddatenschutzklauseln sei dank, scheinen sich die Wogen auf den internationalen Datenströmen zu glätten.

Die höchstrichterliche Prüfung des US-amerikanischen Datenschutzniveaus wirkt jedoch weit über den einzelnen Angemessenheitsbeschluss hinaus. Der nachfolgende Beitrag ordnet „Schrems II“ daher in die Systematik der Art. 44 ff. DSGVO ein und stellt vier besonders relevante Entwicklungen heraus:

  • Erstens hat der EuGH den Prüfungsmaßstab für grenzüberschreitende Datenübermittlungen vereinheitlicht.
  • Zweitens errichtet dieser Maßstab hohe Hürden für die EU-Kommission, wenn sie neue Angemessenheitsbeschlüsse – etwa für das Vereinigte Königreich – erlassen will.
  • Drittens verliert das Instrument der Angemessenheitsbeschlüsse dadurch erheblich an Bedeutung, was die Stellung der EU-Kommission im Gefüge der Art. 44 ff. DSGVO schwächt.
  • Viertens liegt es nunmehr vornehmlich an den einzelnen Unternehmen und Aufsichtsbehörden, dafür zu sorgen, dass außereuropäische Informationstransfers rechtmäßig sind, woraus das Risiko einer Verantwortungsdiffusion erwächst.

Ein Ende der rechtlichen Unwägbarkeiten im globalen Datenverkehr ist mithin (noch) nicht in Sicht.

INHALTSVERZEICHNIS:

I. Rechtsgrundlage der Angemessenheitsbeschlüsse (Art. 45 Abs. 3 DSGVO)

1. Einordnung in die Systematik der Art. 44 ff. DSGVO

2. Prüfungsmaßstab der Gleichwertigkeit

a) Vergleichsmaßstab im Bereich nationaler Sicherheit: Unionsrecht oder nationales Recht und EMRK?

aa) Ansatz des Generalanwalts
bb) Ansatz des EuGH
cc) Zweierlei Maß beim Schutz der nationalen Sicherheit

b) Beschränkung von Grundrechtseingriffen auf das absolut Notwendige

3. Bewertung des EU-US Privacy Shield

a) Datenzugriffe durch US- Sicherheitsbehörden
b) Datenverarbeitung durch zertifizierte Unternehmen

4. Chancen für zukünftige Angemessenheitsbeschlüsse

a) USA
b) Vereinigtes Königreich
c) „Entmachtung“ der EU-Kommission

II. Rechtsgrundlage der Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO)

1. Einordnung in das System der Art. 44 ff. DSGVO

2. Einheitlicher Prüfungsmaßstab der Art. 44 ff. DSGVO

3. Adressaten der Prüfpflicht

a) SCC verwendende Unternehmen

b) Datenschutz-Aufsichtsbehörden

aa) In den Mitgliedstaaten
bb) Europäischer Datenschutzausschuss

4. Folgen der Ungültigkeit des EU-US Privacy Shield

III. Alternative Rechtsgrundlagen oder die Gefahr eines rechtlichen Vakuums?

IV. Ungeklärtes Verhältnis des Art. 3 Abs. 2 DSGVO zu den Art. 44 ff. DSGVO

V. Fazit


 

I. Rechtsgrundlage der Angemessenheitsbeschlüsse (Art. 45 Abs. 3 DSGVO)

[1] Der Unionsgesetzgeber hat in den Art. 44 ff. DSGVO spezielle Voraussetzungen für die grenzüberschreitende Übermittlung personenbezogener Daten aus der EU in Drittländer niedergelegt.1 Jede derartige Übermittlung muss sich auf eine Rechtsgrundlage des 5. Verordnungskapitels stützen können (Art. 44 S. 1 Halbs. 1 DSGVO). Zweck dieses Kapitels ist es, das EU-Datenschutzniveau auch extraterritorial zu sichern (Art. 44 S. 2 DSGVO).

1. Einordnung in die Systematik der Art. 44 ff. DSGVO

[2] Im Zentrum der Art. 44 ff. DSGVO steht das Instrument der Angemessenheitsbeschlüsse. Dabei handelt es sich um Durchführungsrechtsakte, mit denen die EU-Kommission das Datenschutzniveau in einem Sektor, einer Region oder einem ganzen Drittland für mit dem Unionsrecht angemessen erklären kann (Art. 45 Abs. 1 S. 1 DSGVO). In Art. 1 Abs. 1 des Privacy-Shield-Beschlusses hat die EU-Kommission festgehalten, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die im Rahmen des Privacy Shield aus der EU an Unternehmen in den USA übermittelt werden.2

[3] Existiert ein Angemessenheitsbeschluss, bedarf eine Datenübermittlung in das jeweilige Land keiner weiteren Genehmigung (Art. 45 Abs. 1 S. 2 DSGVO). Die EU-Kommission hat es folglich in der Hand festzulegen, wie niedrigschwellig personenbezogene Daten aus der Union international verarbeitet werden dürfen. Von ihrer Entscheidung sind auch die anderen Rechtsgrundlagen des 5. Verordnungskapitels abhängig. So leitet sowohl der Wortlaut des Art. 46 DSGVO, der die geeigneten Garantien wie die Standarddatenschutzklauseln beinhaltet, als auch der des Art. 49 DSGVO, in dem die Ausnahmetatbestände verankert sind, damit ein, dass kein Beschluss nach Art. 45 Abs. 3 DSGVO vorliege. Angemessenheitsbeschlüsse sind mithin die primäre Rechtsgrundlage für außereuropäische Datenübermittlungen. Die anderen Tatbestände greifen nur subsidiär.

2. Prüfungsmaßstab der Gleichwertigkeit

[4] Der materielle Kern eines Angemessenheitsbeschlusses ist die rechtsvergleichende Analyse der drittstaatlichen Rechtsordnung. Die EU-Kommission muss insbesondere die Rechtsstaatlichkeit, die Achtung der Menschenrechte, die Rechtsschutzmöglichkeiten und das Bestehen funktionsfähiger, unabhängiger Datenschutz-Aufsichtsbehörden berücksichtigen (Art. 45 Abs. 2 DSGVO).

[5] Die Formulierung angemessen lässt fälschlicherweise auf gewisse Bewertungsspielräume bei dieser Analyse schließen. Schon in seinem Urteil in der Sache „Schrems I“ hat der EuGH indes entschieden, dass angemessen in diesem Zusammenhang gleichwertig bedeute, 3 was er in „Schrems II“ bekräftigt hat 4 .

[6] Gleichwertig heißt zwar ausdrücklich nicht identisch, Unterschiede dürfen jedoch nur noch bei der Auswahl der Mittel bestehen, um im Drittland ein hohes Datenschutzniveau zu erreichen.5 Das Schutzniveau selbst steht nicht zur Disposition. Die EU-Kommission verfügt mithin nur über eine äußerst begrenzte Einschätzungsprärogative.6

a) Vergleichsmaßstab im Bereich nationaler Sicherheit: Unionsrecht oder nationales Recht und EMRK?

[7] Der EuGH ist dem Generalanwalt zwar bei seiner Bewertung der Datenzugriffsrechte US-amerikanischer Sicherheitsbehörden gefolgt (s. unten Rz. 14 f.), er hat sich jedoch dezidiert von seinem Vergleichsmaßstab abgegrenzt. (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht


Verlag Dr. Otto Schmidt vom 17.08.2020 09:18

zurück zur vorherigen Seite