Facebook-Urteil: EuGH erklärt Datenweitergabe an USA für nicht zulässig

Der Gerichtshof der Europäischen Union (EUGH) mit Sitz in Luxemburg hat heute sein Urteil in der Rechtssache Facebook Ireland vs. Max Schrems gefällt und die bisherige Praxis der Datenweitergabe an die Facebook-Zentrale in die USA gekippt.

After a first read of the judgement on #PrivacyShield it seems we scored a 100% win – for our privacy

The US will have to engage in serious surveillance reform to get back to a "privileged" status for US companies.

More details here: https://t.co/t7LFgE7LmT#ThanksToEveryone!

— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020

Verhandelt wurde, ob das soziale Netzwerk gegen europäisches Recht verstößt, wenn Daten aus der EU an die amerikanische Zentrale in den USA übermittelt werden und hier auch den amerikanischen Sicherheits-Behörden zum uneingeschränkten Zugriff vorliegen.

Das EuGH stimmt damit nicht nur der Kritik des klagenden Datenschutz-Aktivisten Max Schrems zu, sondern kippt mit dem Urteil die zwischen den USA und Europa gültige Datenschutzvereinbarung „Privacy Shield“.

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

In diesem PDF erklärt der Gerichtshof die Hintergründe der vor wenigen Minuten veröffentlichten Entscheidung. Ein Auszug:

[…] Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können. Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. […]

Damit steht fest: Es reicht nicht aus, wenn Facebook USA der eigenen Tochter in Irland zusichert, die übermittelten Daten im Sinne der DSGVO zu behandeln. Unternehmen müssen europäischen Aufsichtsbehörden mit sogenannten Standardvertragsklauseln vielmehr nachweisen, dass diese in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird.

Schrems kommentiert: „Das Gericht hat ausdrücklich betont, dass die Aufhebung des Datenschutzschildes kein ‚Rechtsvakuum‘ schaffen wird, da die unbedingt notwendigen Datenflüsse weiterhin stattfinden können. Die USA werden nun einfach in ein durchschnittliches Land ohne besonderen Zugang zu EU-Daten zurückversetzt“.