Datenexportkontrolle am Maßstab der EU-Grundrechtecharta – tatbestandlicher Gleichlauf, wohin?
Der EuGH hat die Maßstäbe für die Zulässigkeit von Datenexporten aus der EU in Drittstaaten neu abgesteckt (Rs. C-311/18 – Schrems II, EWS 2020, 204). Das Urteil behandelt entgegen dem Eindruck vielfacher Pressemeldungen nicht allein das Privacy-Shield-Abkommen mit den USA, sondern systematisiert umfassend das Datenexportregime der Art. 44–49 DSGVO. Wichtige Fragen bleiben allerdings offen.
Der EuGH hat nach dem Safe-Harbor-Abkommen (Rs. C-362/14 – Schrems I) nun auch dessen Nachfolger, das Privacy-Shield-Abkommen zwischen der EU und den USA, als unzureichende Grundlage für den transatlantischen Datenexport befunden. Der darauf bezogene Angemessenheitsbeschluss der Europäischen Kommission über das Schutzniveau für personenbezogene Daten in den USA nach Art. 45 Abs. 1 und 2 DSGVO ist unwirksam. Der EuGH begründet dies mit der Verletzung von Artt. 7, 8, 47 GRCh (Rn. 199), welche die Rechte auf Privatsphäre, Datenschutz, wirksame Rechtsbehelfe und unparteiische Gerichte verbürgen. Diese Rechte seien Prüfungsmaßstab für das beim Datenexport in Drittstaaten erforderliche Schutzniveau (Rn. 169, 186). Die Europäische Kommission hätte aus dem Privacy-Shield-Abkommen kein angemessenes Schutzniveau für personenbezogene Daten von EU-Bürgern in den USA folgern dürfen, da darin Eingriffsbefugnisse für Geheimdienste der USA weder tatbestandlich hinreichend klar umrissen (Rn. 180) noch mit wirksamen Rechtsbehelfen versehen seien (Rn. 197).
Datenexporteure können sich nun allerdings ebenso wenig auf die Standarddatenschutzklauseln unter Art. 46 Abs. 2 c) DSGVO berufen. Denn die in Art. 46 Abs. 1 DSGVO genannten Anforderungen an “geeignete Garantien”, “durchsetzbare Rechte” und “wirksame Rechtsbehelfe” seien im Licht von Art. 44 DSGVO auszulegen, der ein hohes Schutzniveau für Datenexporte verlange (Rn. 92 f.). Daher müssten auch hier die EU-Grundrechte zur Geltung kommen, wobei die “Elemente, die im Kontext von Art. 46 der DSGVO zu berücksichtigen sind, denen [entsprechen], die in ihrem Art. 45 Abs. 2 in nicht abschließender Weise aufgezählt werden” (Rn. 101, 104). Damit stellt der EuGH einen Gleichlauf zwischen der Übermittlung auf Grund von Angemessenheitsbeschlüssen und Standarddatenschutzklauseln hinsichtlich der erforderlichen Grundrechtsstandards im Bestimmungsland her und verpflichtet die Datenschutzbehörden zum Eingreifen (Rn. 121). Ein “rechtliches Vakuum” sieht der EuGH für Datenexporte in die USA dennoch nicht, da Art. 49 DSGVO insoweit “klare Regelungen” enthalte (Rn. 202).
Überraschend ist zunächst die umfassende Harmonisierung der Übermittlungstatbestände nach Artt. 45 und 46 DSGVO. Denn wenn für beide eine gleichsam umfassende Feststellung angemessener Grundrechtsstandards im Bestimmungsland erforderlich ist, bleibt im Dunkeln, welche eigenständige Funktion den nach den Standarddatenschutzklauseln privatrechtlich abgegebenen Garantien zukommt. Immerhin sah Generalanwalt Saugmandsgaard \Oe in diesen eine Kompensation für das Rechtsschutzdefizit eines Bestimmungslandes, welches einem Angemessenheitsbeschluss im Wege stehen würde (s. Schlussanträge Rs. C-311/18, Rn. 118 ff.). Es dürfte kaum zu erwarten sein, dass Unternehmen auf Grund von Standarddatenschutzklauseln und selbst getroffener Feststellungen zu den Rechtsschutzstandards im Bestimmungsland einen Datenexport vornehmen werden, wenn die Einschätzung der Grundrechtestandards in den USA wiederholt nicht einmal der Europäischen Kommission zu gelingen vermag. Diese Rechtsunsicherheit dürfte insbesondere auch die konzerninterne Datenweitergabe auf Grund interner Datenschutzvorschriften (binding corporate rules) nach Art. 46 Abs. 2 b) i.V. m. Art. 47 DSGVO verhindern, da Art. 46 Abs. 1 DSGVO sich auf seinen gesamten Abs. 2 bezieht. Schließlich wird der Anwendungsbereich von Art. 45 Abs. 7 DSGVO durch diesen tatbestandlichen Gleichlauf fraglich, wo doch die Norm ausdrücklich ein abstraktes Nebeneinander der Übermittlungsvarianten ermöglicht (vgl. Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 45 Rn. 26; Voigt/Posedel, PinG 2016, 40, 42).
Bei aller Skepsis gegenüber einem umfassenden Gleichlauf der DSGVO-Exporttatbestände bleibt nur übrig, die vom EuGH angedeuteten Möglichkeiten des Art. 49 DSGVO zu eruieren. Hier ist allerdings sein Ausnahmecharakter hinderlich (“Ausnahmen für bestimmte Fälle”; kritisch auch Ambrock/Karg, ZD 2017, 154, 157 ff.; zum Meinungsstand Pauly, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018, Art. 49 Rn. 2). Regelmäßiger Datenexport findet hierunter kaum hinreichende Rechtssicherheit. Wo standardmäßig auf die Einwilligung nach Art. 49 Abs. 1 a) DSGVO abgestellt wird, kommt es auch zu einer strukturellen Verschiebung der Angemessenheitsfrage in den Verantwortungsbereich der Datensubjekte selbst – ob dies eine Datenverarbeitung nach “Treu und Glauben” (Art. 8 Abs. 2 S. 1 GRCH) ermöglicht, ist angesichts der Asymmetrien zwischen Verbrauchern und kommerziellen Datennutzern zweifelhaft. Weiterhin dürfte auch bei einer Übermittlung unter Art. 49 DSGVO ein zu Artt. 45 und 46 DSGVO äquivalentes Grundrechteschutzniveau erforderlich sein, denn der EuGH bezieht diese Anforderung auf das gesamte Kapitel V. der DSGVO (Rn. 92). Geschäftsmodelle, die den Datenexport als essentiellen Bestandteil enthalten, stehen folglich grundsätzlich in Frage, solange nicht die Kommission einen wirksamen Angemessenheitsbeschluss erlässt.
Dr. Michael Denga, LL.M. (London), Maîître en Droit (Paris), Humboldt-Universität zu Berlin