Lex Laux: Der Europäische Gerichtshof in Sachen Schrems II

17. Juli 2020, 10:55
  • kolumne
  • datenschutz
  • eu
  • usa
  • lex laux
image

Der Schmerz nimmt zu. Und der Datenschutz? Unser Kolumnist hat die verstreuten gesetzlichen Vorgaben zur Cybersicherheit zusammengesucht.

Gestern hat der Europäische Gerichtshof (EuGH) sein Urteil in der Angelegenheit Schrems II bekannt gegeben. Schon wenige Stunden danach wussten es in Datenschutzkreisen alle, unter Einschluss von Kind und Kegel, Hamster und Hund und wer sonst sich in der Nähe aufhielt. Auch inside-it.ch berichtete: Transatlantische Datenflüsse aus Europa in die USA können nicht mit dem sogenannten Privacy-Shield-Modell gerechtfertigt werden; der Privacy Shield ist aufgehoben. Ende 2018 hatte ich den rechtlichen Rahmen dafür und die Hintergründe zum Fall beschrieben. Und heute liest man immerhin auf der Titelseite der 'NZZ' darüber.
Im Jahr 2015 hatte der EuGH bereits das Safe Harbor-Programm aufgehoben. Der damalige Vorwurf an die EU-Kommission lautete, dass sie die Situation in den USA gar nicht geprüft hatte. Der EuGH hatte eine rein formelle Prüfung angelegt.
Mit dem Privacy-Shield-Programm hat die EU-Kommission diesem Vorwurf Rechnung getragen und ist auf die Situation in den USA eingegangen. Dabei ist sie zum Schluss gekommen, dass Personendaten dort bei materieller Betrachtung in Bezug auf Behördenzugriffe durchaus gleichwertig behandelt würden wie in der EU. Auch in Europa greifen die Behörden im Rahmen von Strafverfolgungen oder aus Gründen der inneren Sicherheit ganz selbstverständlich auf Personendaten zu.
Der EuGH sagte in seinem gestrigen Urteil nichts dazu, ob die amerikanischen Strafverfolgungsbehörden und Nachrichtendienste in Bezug auf das Sammeln und Auswerten von Personendaten nun schlechter vorgehen als die europäischen Behörden. Der EuGH hob aber einen formellen Unterschied hervor: Nach europäischer Rechtstradition würden Bürger durch Limitierungen in formellen Gesetzen geschützt, in den USA stünden Limitierungen nur in einer Weisung des US-Präsidenten, der Presidential Directive PPD 28. Das genüge den Standards der EU-Verfassung nicht. Ausserdem würden bei gewissen Erlassen, welche vornehmlich die nachrichtendienstliche Arbeit ausserhalb der USA betreffen, Rechtsschutzbehelfe für Betroffene fehlen.
Man hätte den Fall auch anders lösen können und den Blick darauf richten können, wie Personendaten tatsächlich geschützt werden (materielle Prüfung). Das hat der EuGH nicht getan. Wie schon 2015 nahm der EuGH erneut eine rein formelle Prüfung vor.
Das Urteil ist aber gewichtiger als der Entscheid zu Safe Harbor im Jahr 2015, weil der EuGH nunmehr konkreten Kulturexport betrieben hat: "Hey ihr dort drüben, schreibt ein Gesetz dazu, so wie wir das gemacht haben, und seht Rechtsbehelfe für Einzelne vor – dann sind wir zufrieden."

Was passiert jetzt?

1. Ich erinnere an das Modell der Wassersäulen (dazu mein Beitrag von 2018). Es gibt noch immer Wassersäulen in der Wüste der USA, aber heute weniger als noch vorgestern.
2. Man darf weiterhin auf Basis von Standardvertragsklauseln Daten in andere Länder übermitteln. Das Unternehmen, das Daten übermittelt (Datenexporteur), muss aber einen Mindestschutz bei den Empfängern im Ausland garantieren. Ob dieser Ansatz gelingt, wird sich zeigen: Privatrechtliche Verträge können Mängel in der Rechtsordnung des Ziellands ja wohl nicht heilen. Diesbezüglich verkennt der EuGH die Tragweite seines Urteils wohl selber, wenn er in der Pressemitteilung sagt, das System der Standardvertragsklauseln bleibe bestehen. Das zeigt sich auch in vereinzelten Aussagen, welche die Funktionsweise von Art. 45 DSGVO verkennen und auf einen Zirkelschluss hinauslaufen (z.B. Rz. 141 des Urteils, zur Sorgfaltspflicht des Verantwortlichen bei Einsatz von Standardvertragsklauseln: "Bei ihrer Beurteilung, ob eine solche Verpflichtung erforderlich ist, müssen die genannten Akteure gegebenenfalls berücksichtigen, dass das vom betreffenden Drittland gebotene Schutzniveau in einem gemäss Art. 45 Abs. 3 der DSGVO erlassenen Angemessenheitsbeschluss der Kommission für angemessen erklärt wurde.").
3. Nach EU-Recht können Datenschutzbehörden eingreifen, wenn sich herausstellt, dass die Zusicherungen des Datenexporteurs (siehe Punkt 2) nicht greifen oder falsch sind. Zwei Aspekte sind zu berücksichtigen: Es braucht, erstens, eine Einzelfallprüfung und, zweitens, liegt die Beweislast für Verletzungen durch den Verantwortlichen bei der Datenschutzbehörde. Aus diesen Gründen wird es den Behörden fürs Erste schwerfallen, Datenexporteure zu sanktionieren. Die Behörden werden namentlich nachweisen müssen, wie die Geheimdienste in den USA tatsächlich Daten verwenden. Im Rahmen dieser Prüfverfahren wird eine materielle Prüfung zum Tragen kommen müssen. Es geht um die Freiheit des Datenexporteurs, Angebote z.B. mit US-Bezug zu nutzen. Diese Freiheit ist verfassungsrechtlich geschützt (Wirtschaftsfreiheit). Ein Eingriff in die Wirtschaftsfreiheit aus rein formellen Gründen lässt sich vor der EU-Grundrechtscharta nicht rechtfertigen – immerhin geht es um Freiheitsrechte!
4. Datenexporteure werden sich stärker absichern, um Haftung durch unterlassene Schutzmassnahmen abzuwenden (zu solchen Schutzmassnahmen z.B. unser Rechtsgutachten aus dem Jahr 2019; insofern wird es eine Angleichung geben an geheimnisgeschützte Daten, worauf zu Recht bereits hingewiesen wurde). Um Haftung abzuwenden, werden Datenexporteure betroffene Personen ausführlicher darüber informieren, dass Behörden auf ihre Daten zugreifen könnten. Es ist mit einer Zunahme von solchen Hinweisen zu rechnen.
5. Provider werden Verfahren aufstellen, wie sie im Fall eines Behördenzugriffs auf Daten vorgehen.
6. Der schweizerische Privacy Shield mit den USA könnte aufrechterhalten werden. Im Rahmen der formellen Prüfung des EuGHs war die EU-Grundrechtscharta die zentrale Grundlage. Diese gilt nicht in der Schweiz. Anzunehmen ist aber, dass der EDÖB den Entscheid des EuGHs "autonom nachvollzieht" und den schweizerischen Privacy Shield mit den USA dennoch aufhebt. Man darf auf die Begründung gespannt sein.
7. Ich gehe davon aus, dass sich im Alltag ansonsten im Resultat nicht viel verändern wird, wenn man ausklammert, dass Verhandlungen über Datenschutzvorhaben mit Drittlandbezug mühsamer werden, was Anwälten viel Arbeit bescheren dürfte.
Und hier die Würdigung des Kolumnisten: In einem Asterix-Band (Asterix und die Normannen) hiess es in einer Szene am Strand, wo der Atlantik das europäische Festland vom Rest der Welt trennt: "Der Schmerz nimmt zu, aber die Angst bleibt aus." Ich fühle mich daran erinnert, mit leicht veränderten Vorzeichen – einfach Angst und Datenschutz als austauschbare Begriffe denken.

Über den Autor:

Dr. Christian Laux, LL.M. ist Anwalt und fokussiert auf IT-Rechtsangelegenheiten. Für inside-it.ch äussert er sich an dieser Stelle regelmässig zu Rechtsfragen, welche die Schweizer IT-Branche in relevanter Weise betreffen.

Loading

Mehr zum Thema

image

Die IT-Woche: Polit-Krimi

Neue Bundesräte, die neue Heimat des NCSC und geschredderte Daten sorgten diese Woche für viel Diskussionsstoff.

publiziert am 9.12.2022
image

Mgmt-Summary: Künstliche Intelligenz

In der Kolumne Mgmt-Summary erklärt Rafael Perez Süess Buzzwords. Heute sagt er, was KI mit Noilly Prat oder Art Brut zu tun hat – und warum es sie eigentlich gar nicht gibt.

publiziert am 9.12.2022
image

EU: Ab 28. Dezember 2024 gilt USB-C-Pflicht

Wer ab dem Stichtag ein Gerät auf den europäischen Markt bringt, muss einen USB-C-Anschluss bieten. Laptop-Hersteller haben noch etwas mehr Zeit.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022