Der Beitrag ordnet „Schrems II“ in die Systematik der Art. 44 ff. DSGVO ein und stellt vier besonders relevante Entwicklungen heraus: (i) die Vereinheitlichung des Prüfungsmaßstabs für grenzüberschreitende Datenübermittlungen; (ii) die hohen Hürden für zukünftige Angemessenheitsbeschlüsse; (iii) den faktischen Bedeutungsverlust dieses Instruments und (iv) das Risiko einer Verantwortungsdiffusion infolge der Vielzahl an Akteuren, die den außereuropäischen Datenverkehr fortan zu überwachen hat.

Anzeige:

I. Rechtsgrundlage der Angemessenheitsbeschlüsse (Art. 45 Abs. 3 DSGVO)

1. Einordnung in die Systematik der Art. 44 ff. DSGVO

2. Prüfungsmaßstab der Gleichwertigkeit

a) Vergleichsmaßstab im Bereich nationaler Sicherheit: Unionsrecht oder nationales Recht und EMRK?

aa) Ansatz des Generalanwalts

bb) Ansatz des EuGH

cc) Zweierlei Maß beim Schutz der nationalen Sicherheit

b) Beschränkung von Grundrechtseingriffen auf das absolut Notwendige

3. Bewertung des EU-US Privacy Shield

a) Datenzugriffe durch US- Sicherheitsbehörden

b) Datenverarbeitung durch zertifizierte Unternehmen

4. Chancen für zukünftige Angemessenheitsbeschlüsse

a) USA

b) Vereinigtes Königreich

c) „Entmachtung“ der EU-Kommission

II. Rechtsgrundlage der Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO)

1. Einordnung in das System der Art. 44 ff. DSGVO

2. Einheitlicher Prüfungsmaßstab der Art. 44 ff. DSGVO

3. Adressaten der Prüfpflicht

a) SCC verwendende Unternehmen

b) Datenschutz-Aufsichtsbehörden

aa) In den Mitgliedstaaten

bb) Europäischer Datenschutzausschuss

4. Folgen der Ungültigkeit des EU-US Privacy Shield

III. Alternative Rechtsgrundlagen oder die Gefahr eines rechtlichen Vakuums?

IV. Ungeklärtes Verhältnis des Art. 3 Abs. 2 DSGVO zu den Art. 44 ff. DSGVO

V. Fazit


I. Rechtsgrundlage der Angemessenheitsbeschlüsse (Art. 45 Abs. 3 DSGVO)
1
Der Unionsgesetzgeber hat in den Art. 44 ff. DSGVO spezielle Voraussetzungen für die grenzüberschreitende Übermittlung personenbezogener Daten aus der EU in Drittländer niedergelegt. Jede derartige Übermittlung muss sich auf eine Rechtsgrundlage des 5. Verordnungskapitels stützen können (Art. 44 S. 1 Halbs. 1 DSGVO). Zweck dieses Kapitels ist es, das EU-Datenschutzniveau auch extraterritorial zu sichern (Art. 44 S. 2 DSGVO).

1. Einordnung in die Systematik der Art. 44 ff. DSGVO
2
Im Zentrum der Art. 44 ff. DSGVO steht das Instrument der Angemessenheitsbeschlüsse. Dabei handelt es sich um Durchführungsrechtsakte, mit denen die EU-Kommission das Datenschutzniveau in einem Sektor, einer Region oder einem ganzen Drittland für mit dem Unionsrecht angemessen erklären kann (Art. 45 Abs. 1 S. 1 DSGVO). In Art. 1 Abs. 1 des Privacy-Shield-Beschlusses hat die EU-Kommission festgehalten, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, die im Rahmen des Privacy Shield aus der EU an Unternehmen in den USA übermittelt werden.

3
Existiert ein Angemessenheitsbeschluss, bedarf eine Datenübermittlung in das jeweilige Land keiner weiteren Genehmigung (Art. 45 Abs. 1 S. 2 DSGVO). Die EU-Kommission hat es folglich in der Hand festzulegen, wie niedrigschwellig personenbezogene Daten aus der Union international verarbeitet werden dürfen. Von ihrer Entscheidung sind auch die anderen Rechtsgrundlagen des 5. Verordnungskapitels abhängig. So leitet sowohl der Wortlaut des Art. 46 DSGVO, der die geeigneten Garantien wie die Standarddatenschutzklauseln beinhaltet, als auch der des Art. 49 DSGVO, in dem die Ausnahmetatbestände verankert sind, damit ein, dass kein Beschluss nach Art. 45 Abs. 3 DSGVO vorliege. Angemessenheitsbeschlüsse sind mithin die primäre Rechtsgrundlage für außereuropäische Datenübermittlungen. Die anderen Tatbestände greifen nur subsidiär.

2. Prüfungsmaßstab der Gleichwertigkeit
4
Der materielle Kern eines Angemessenheitsbeschlusses ist die rechtsvergleichende Analyse der drittstaatlichen Rechtsordnung. Die EU-Kommission muss insbesondere die Rechtsstaatlichkeit, die Achtung der Menschenrechte, die Rechtsschutzmöglichkeiten und das Bestehen funktionsfähiger, unabhängiger Datenschutz-Aufsichtsbehörden berücksichtigen (Art. 45 Abs. 2 DSGVO).

5
Die Formulierung angemessen lässt fälschlicherweise auf gewisse Bewertungsspielräume bei dieser Analyse schließen. Schon in seinem Urteil in der Sache „Schrems I“ hat der EuGH indes entschieden, dass angemessen in diesem Zusammenhang gleichwertig bedeute, was er in „Schrems II“ bekräftigt hat.

6
Gleichwertig heißt zwar ausdrücklich nicht identisch, Unterschiede dürfen jedoch nur noch bei der Auswahl der Mittel bestehen, um im Drittland ein hohes Datenschutzniveau zu erreichen. Das Schutzniveau selbst steht nicht zur Disposition. Die EU-Kommission verfügt mithin nur über ...