Der Gerichtshof der Europäischen Union hat festgestellt, dass die Vereinigten Staaten im Hinblick auf den Schutz personenbezogener Daten, die aus der EU in die USA übermittelt werden, den von der EU übernommenen Grundsatz der Verhältnismäßigkeit aufgrund ihrer unzureichend angepassten Überwachungsprogramme nicht einhalten. Dies ist ein deutliches Warnsignal an alle Verantwortlichen für die Datenverarbeitung. Der Gerichtshof befand, dass die US-Überwachung der Verarbeitung personenbezogener Daten nicht den EU-Standards für Nicht-US-Bürger entspricht. Die von den US-Behörden angewandten Anforderungen gewähren Einzelpersonen keine gerichtlich durchsetzbaren Rechte.
Ist die Datenübertragung in die USA sicher?
Eine für ungültig erklärte Entscheidung bedeutet nicht, dass personenbezogene Daten nicht in die USA übermittelt werden dürfen. Diese Möglichkeit besteht weiterhin gemäß Artikel 49 der DSGVO, vorausgesetzt:
- Die betroffene Person hat ihre Einwilligung erteilt, wurde aber zuvor über die mit der Datenübermittlung verbundenen Risiken informiert.
- Die Übermittlung ist für die Erfüllung des Vertrags zwischen dem Verantwortlichen und der betroffenen Person erforderlich.
- Die Übermittlung der Daten ist zur Geltendmachung von Ansprüchen erforderlich.
- oder die Daten werden auf Wunsch des Betroffenen aufgrund des Abschlusses eines zukünftigen Vertrags übermittelt.
Ungültigkeit der Entscheidung 2016/1250
Das Urteil des EuGH erging im Anschluss an eine Beschwerde von Maxymillian Schrems bei der irischen Aufsichtsbehörde. Er beantragte, Facebook Ireland die Übermittlung personenbezogener Daten von EU-Nutzern an Server der Facebook Inc. in den USA zu untersagen. Schrems argumentierte, die USA schützten Nutzerdaten nicht ausreichend vor dem Zugriff öffentlicher Stellen. Die Europäische Kommission wies die Beschwerde zurück (Beschluss 2000/520). Daraufhin legte das irische Gericht dem EuGH eine Vorabentscheidungsersuchen vor. Der Gerichtshof erklärte den genannten Kommissionsbeschluss für ungültig (Urteil Schrems I). Schrems änderte daraufhin seine Beschwerde und beantragte die Aussetzung oder das Verbot der Übermittlung seiner personenbezogenen Daten in die USA. Der Erfolg von Schrems’ Beschwerde hing von der Gültigkeit des Beschlusses 2010/87 ab. Daher leitete die irische Aufsichtsbehörde ein gerichtliches Verfahren ein, um dem EuGH ein Vorabentscheidungsersuchen zu stellen.
Die Kommission erließ den Beschluss 2016/1250 über die Angemessenheit des durch die DSGVO und den Privacy Shield gewährleisteten Schutzes im Hinblick auf die von den USA angewandten Vorschriften. Der Gerichtshof äußerte Zweifel an der Gültigkeit der Beschlüsse 2010/87 und 2016/1250. Er erklärte den Beschluss 2010/87 im Hinblick auf die Charta der Grundrechte der Europäischen Union für gültig, den Beschluss 2016/1250 jedoch für ungültig.
Der Gerichtshof wertete die Entscheidung 2016/1250 als eine Entscheidung, die der nationalen Sicherheit, dem öffentlichen Interesse und der Einhaltung der US-Gesetzgebung Vorrang einräumte, was zu einem Eingriff in die Grundrechte der Personen führte, deren Daten übertragen wurden.
