BlnBDI fordert digitale Eigenständigkeit für Europa

Nach „Schrems II“ drängt die BlnBDI, Maja Smoltczyk, datenverarbeitende Stellen in Berlin, die in den USA gespeicherte personenbezogene Daten zu verlagern

[datensicherheit.de, 17.07.2020] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, fordert in ihrer aktuellen Stellungnahme zur Entscheidung des Europäischen Gerichtshofs (EuGH), das „EU-US Privacy Shield“ für ungültig zu erklären, die datenverarbeitenden Stellen in Berlin auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern.

BlnBDI: Personenbezogene Daten dürfen nicht mehr wie bisher in die USA übermittelt werden

Der EuGH hatte in seiner Entscheidung „Schrems II“ (C-311/18) am 16. Juni 2020, festgestellt, dass US-Behörden zu weitreichende Zugriffsmöglichkeiten auf Daten europäischer Bürger hätten.
Daraus folgt demnach, dass personenbezogene Daten bis zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt werden dürften. Ausnahmen bestünden vor allem in den gesetzlich vorgesehenen Sonderfällen, etwa bei Hotelbuchungen in den USA.

BlnBDI betont Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz

Der EuGH habe unter anderem festgestellt, „dass in den USA staatliche Überwachungsmaßnahmen bestehen, die mit einer massenhaften Sammlung personenbezogener Daten ohne klare Beschränkungen einhergehen“. Dies widerspreche der EU-Grundrechtecharta (Rn. 180 ff. des Urteils).
Weiter habe er festgestellt, dass europäische Bürger keine Möglichkeit hätten, Überwachungsmaßnahmen von US-Behörden gerichtlich überprüfen zu lassen. Dadurch sei der Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz verletzt.

BlnBDI erläutert Zulässigkeit der Standardvertragsklauseln unter bestimmten Bedingungen

Übermittlungen personenbezogener Daten in Drittländer seien nur dann zulässig, „wenn diese ein Datenschutzniveau aufweisen, das den europäischen Grundrechten der Sache nach gleichwertig ist“. Da dies nach den Feststellungen des höchsten europäischen Gerichts in den USA weitgehend nicht der Fall sei, hatte der EuGH in seiner Entscheidung das „EU-US Privacy Shield“ für ungültig erklärt, auf dessen Grundlage eine Übermittlung personenbezogener Daten in die USA bisher in vielen Fällen erfolgte.
Die sogenannten Standardvertragsklauseln, die europäische Unternehmen mit Anbietern in Drittländern abschließen könnten, um das europäische Datenschutzniveau auch in den Drittländern zu wahren, habe der EuGH dagegen unter bestimmten Bedingungen für grundsätzlich zulässig erklärt, in diesem Zusammenhang jedoch betont, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet seien, vor der ersten Datenübermittlung zu prüfen, „ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen“ (Rn. 134 f., 142 des Urteils).

BlnBDI unterstreicht: Reiner Abschluss von Standardvertragsklauseln reicht für Datenexporte nicht aus

Bestünden solche Zugriffsrechte, könnten auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssten zurückgeholt werden.
Anders als bisher verbreitet vertreten, genüge der reine Abschluss von Standardvertragsklauseln nicht, um Datenexporte zu ermöglichen (Rn. 126 ff. des Urteils).

BlnBDI stellt klar: Unzulässige Datenexporte zu verbieten

Der EuGH betone ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet seien, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen könnten (Rn. 143 des Urteils).
Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und müsse nach dem europäischen Recht eine abschreckende Höhe aufweisen.

BlnBDI: Nutzer von Cloud-Diensten sollten zu EU-Anbieter wechseln

Die BlnBDI fordert daher nach eigenen Angaben „sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“.
Der EuGH habe in „erfreulicher Deutlichkeit“ ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen könne, sondern die Grundrechte der Menschen im Vordergrund stehen müssten, unterstreicht Smoltczyk. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, seien nach diesem Urteil vorbei: „Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.“

Laut BlnBDI nicht nur USA von EuGH-Entscheidung betroffen

Die BlnBDI schließt ihre Stellungnahme mit einem klaren Bekenntnis: „Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an.“
Dies betreffe natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt habe. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien werde zu prüfen sein, „ob dort nicht ähnliche oder gar größere Probleme bestehen“.

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert / Umetikettierung des Vorgängerinstruments des Privacy Shield – Safe Harbor – mit nur marginalen Verbesserungen führte zu keinem Umdenken der Regierung der USA