Skip to content

LAG Baden-Württemberg: Keine Geldentschädigung nach Art. 82 DSGVO für Verstoß gegen DSGVO durch Datenübermittlung in USA ohne konkreten Schaden

LAG Baden-Württemberg
Urteil vom 25.2.2021
17 Sa 37/20


Das LAG Baden-Württemberg hat entschieden, dass einem Betroffenen keine Geldentschädigung nach Art. 82 DSGVO für den Verstoß gegen die Vorgaben der DSGVO durch Datenübermittlung in die USA oder ein anderes Drittland zusteht, sofern kein konkreter Schaden entstanden ist.

Aus den Entscheidungsgründen:
III. Die Klage ist unbegründet. Dem Kläger steht kein Anspruch gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter der Beklagten in den USA nach Art. 82 DSGVO zu.

1. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsdatenverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO. Art. 82 DSGVO normiert damit einen Schadensersatzanspruch zugunsten der von der Datenverarbeitung betroffenen Person gegen die für die Datenverarbeitung verantwortlichen Stelle für den Fall, dass die Datenverarbeitung gegen Vorgaben der Datenschutzgrundverordnung verstößt (vgl. EU-ArbR/Franzen 3. Aufl. Art. 82 DSGVO Rn. 1).

2. Die Voraussetzungen für eine Schadensersatzverpflichtung in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen danach nicht vor. Dem Kläger oblag es dabei darzulegen, dass die Beklagte als in Anspruch genommene Person als Verantwortlicher (oder Auftragsdatenverarbeiter) an der Datenverarbeitung beteiligt war, dass die Datenverarbeitung gegen Vorschriften der Datenschutzgrundverordnung oder anderer relevanter mitgliedstaatlicher Bestimmungen verstoßen hat, und dass dieser Verstoß kausal war für einen Schaden welcher der betroffenen Person entstanden ist (vgl. EU-ArbR/Franzen Art. 82 DSGVO Rn. 15). Dies ist ihm nicht gelungen.

a) Der Kläger ist nach Art. 82 Abs. 1 DSGVO Anspruchsberechtigter. Die DSGVO enthält nach Art. 1 Abs. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Was „personenbezogene Daten“ im Sinne der Verordnung sind, bestimmt Art. 4 Abs. 1 DSGVO mit allen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Anspruchsberechtigt sind damit natürliche Personen, wobei Art. 82 Abs. 1 DSGVO ausdrücklich von „jeder Person“ spricht. Nachdem personenbezogene Daten des Klägers unstreitig verarbeitet wurden, er also sogar die „betroffene Person“ iSv. Art. 4 Nr. 1 DSGVO ist, gehört der Kläger in jedem Fall zum anspruchsberechtigten Personenkreis.

b) Die Beklagte ist mögliches Haftungssubjekt des vom Kläger geltend gemachten Anspruchs. Nach Art. 82 Abs. 2 Satz 1 DSGVO ist Haftungssubjekt jeder an einer Verarbeitung beteiligte Verantwortliche. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Beklagte als juristische Person und Arbeitgeberin verarbeitet personenbezogene Daten der bei ihr beschäftigten Arbeitnehmer und entscheidet (ob, wofür und wieweit der Datenverarbeitung; vgl. Hartung in: Kühling/Buchner DSGVO 3. Aufl. Art. 4 Nr. 7 Rn. 13) - ggf. mitbestimmt - über die Zwecke und Mittel der Verarbeitung personenbezogener Daten; ihr sind die datenschutzrechtlichen Handlungen innerhalb ihrer Organisation zuzurechnen, weshalb sie Verantwortliche nach Art. 4 Nr. 7 DSGVO ist.

[...]

e) Gleichwohl steht dem Kläger ein Anspruch auf Ersatz des von ihm geltend gemachten immateriellen Schadens deshalb nicht zu, weil der vom Kläger geltend gemachte Schaden nicht dem festgestellten Verordnungsverstoß zugeordnet werden kann bzw. tatsächlich nicht eingetreten ist, dh. nicht „erlitten“ wurde.

aa) Der Verstoß muss für den Schaden kausal sein. Der Schaden muss gerade durch den Rechtsverstoß entstanden sein. Es genügt nicht, dass der Schaden durch eine Verarbeitung entstanden ist, in deren Rahmen es (irgendwann) zu einem Rechtsverstoß gekommen ist. Wenn der Schaden „wegen eines Verstoßes gegen diese Verordnung“ entstanden sein muss, kann nicht davon ausgegangen werden, dass bspw. ein Rechtsverstoß bei einer Datenverarbeitung vor dem Geltungszeitpunkt der DSGVO die fortgesetzte Datenverarbeitung „infiziert“ und zu einem Schadensersatzanspruch führt (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 42). Allenfalls dann, wenn durch den Verstoß die gesamte Datenverarbeitung rechtswidrig wird, kann angenommen werden, dass es keiner Zuordnung des Schadens zu einem konkreten Verordnungsverstoß bedarf (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO aaO). Zudem ist auch unionsrechtlich anerkannt, dass die Kausalitätsprüfung verhindern soll, dass es zu einer uferlosen Schadensersatzpflicht für alle möglichen, noch so entfernten Schäden kommt, für die ein rechtswidriges Verhalten eine Ursache iSe „conditio sine qua non“ gesetzt hat (vgl. zu einer kartellrechtlichen Fragestellung: Kokott Schlussanträge in der Rechtssache - C-557/12 - Rn. 33, 30. Januar 2014, juris). Eine alleinige Kausalität ist aber nicht gefordert, es genügt eine Mitursächlichkeit des Verstoßes für den Schaden, wobei ein hinreichend unmittelbarer Zusammenhang zu fordern ist (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 44 f.) und der Schaden muss für den Schädiger vorhersehbar gewesen sein (vgl. Bergt in: Kühling/Buchner Art. 82 DSGVO Rn. 45).

bb) Danach hat der Kläger keinen durch die Beklagte infolge eines Verordnungsverstoßes verursachten immateriellen Schaden erlitten.

(1) Kein Anknüpfungspunkt für den Schaden können (überschießende) Datenübermittlungen (Datentransfer auf die Sharepoint-Seite der Konzernmutter) sein, denn diese Datenübermittlung hat stattgefunden als die DSGVO noch nicht in Geltung war. Insoweit ist es völlig unerheblich, wie sich das Datenschutzniveau in den USA gestaltet, da jedenfalls die Beklagte nicht für die Datenübermittlung in die USA nach der DSGVO in Anspruch genommen werden kann. Die Beklagte hat nicht gegen die Art. 44 ff. DSGVO verstoßen. Jedwede Begründung eines Schadens mit der Datenübermittlung in die USA (bspw. Zugriffsmöglichkeiten von Behörden oder Dritten in den USA bzw. eine diesbezügliche Unsicherheit) kann einem DSGVO-Verstoß nicht zugeordnet werden. Die Beklagte hat nicht gegen Vorschriften des Kapitels V der DSGVO verstoßen.

(2) Ebenso wenig kann Anknüpfungspunkt der Umstand sein, dass die Beklagte zum Zeitpunkt des Geltungsbeginns der DSGVO (25. Mai 2018) als Verantwortliche personenbezogene Daten bei der Konzernmutter als Auftragsverarbeiterin hat speichern lassen. Die Auftragsdatenverarbeitung erfolgte auf einer ausreichenden vertraglichen Grundlage iSd. Art. 46 Abs. 2 Buchst. c, Abs. 5 DSGVO, welche zudem auch den Anforderungen für eine Auftragsdatenverarbeitung nach Art. 28 DSGVO gerecht wurde. Die Beklagte hat nicht gegen Art. 28 DSGVO verstoßen. Daher kann die behauptete permanente Unsicherheit, dass „unbefugte Dritte“ auf Daten des Klägers Zugriff nehmen, nicht einem Verstoß gegen die DSGVO zugeordnet werden. Die Beklagte hat alle Erfordernisse der DSGVO eingehalten, um eine sichere Auftragsdatenverarbeitung bei ihrer Konzernmutter zu gewährleisten. Dem Kläger wiederum standen bzw. stehen im Verhältnis zur auftragsverarbeitenden Konzernmutter alle Rechte, wie sie nach der DSGVO gegenüber der Beklagten bestehen, zu.

(3) Der einzige Verstoß, welcher der Beklagten vorzuhalten ist, ist die überschießende Datenverarbeitung in Workday vor Einführung von Workday (durch die BV Workday vom 23. Januar 2019), wobei sich diese Datenverarbeitung in Workday auf Daten bezieht, welche die Beklagte rechtmäßig in SAP - auf der Grundlage einer Betriebsvereinbarung zur Nutzung von SAP - bzw. sonst rechtmäßig nach § 26 BDSG zu anderen Zwecken verarbeitete. Die Datenverarbeitung in Workday war nur deshalb nicht rechtmäßig, weil Workday bis zur Einführung nicht produktiv genutzt wurde und es deshalb an der Erforderlichkeit der Datenverarbeitung iSv. § 26 Abs. 1 BDSG bzw. noch an einer Betriebsvereinbarung zur Einführung fehlte. Die Beklagte bedurfte daher der Duldungs-BV als Rechtsgrundlage, um die nach § 26 Abs. 1 BDSG nicht erforderliche Datenverarbeitung nach § 26 Abs. 4 BDSG zu den normierten Testzwecken zu legitimieren. Die Duldungs-BV berechtigte zur Datenverarbeitung der in der Anlage 2 genannten Datenkategorien in dem durch die Betriebsvereinbarung normierten Umfang (§§ 2, 3 Duldungs-BV). Allerdings berechtigte auch die Duldungs-BV nicht dazu, Daten, die nicht in der Anlage 2 genannt sind, zu verarbeiten (betrifft insb. Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers). Diese Daten wiederum durfte die Beklagte aber - unstreitig - außerhalb der Plattform Workday, insb. in SAP zu anderen Zwecken verarbeiten, da die Verarbeitung dieser Daten nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Einen „erlittenen“ Schaden, der allein auf der überschießenden Datenverarbeitung in Workday oder für (Test-)Zwecke von Workday - bei gleichzeitig rechtmäßiger Datenverarbeitung in SAP zu anderen Zwecken - fußt, macht der Kläger nicht geltend und ein solcher „Schaden“ ist auch nicht ersichtlich (die Duldungs-BV schließt insb. eine Nutzung/Verwertung der zu Testzwecken verarbeiteten Daten für Zwecke der Durchführung des Arbeitsverhältnisses gerade aus), vielmehr liegt insoweit nur ein Verordnungsverstoß ohne zuordenbaren Schaden vor. Eine Nutzung der überschießend gespeicherten Daten für andere als die normierten Testzwecke gem. Duldungs-BV ist nicht ersichtlich. Allein der Umstand, dass Jahresgehalt, Monatsgehalt, den Umfang leistungsabhängiger Vergütung, die private Wohnanschrift des Klägers, dessen Geburtsdatum, Alter, Familienstand, die Sozialversicherungsnummer und die Steuer-ID des Klägers auch in Workday gespeichert und zu Testzwecken verarbeitet wurden, löst nach Auffassung der Kammer keinen Schaden aus. Auch der Kläger behauptet einen solchen nicht. Die Speicherung der Daten in Workday bei der Konzernmutter stellt keinen Datenabfluss dar, sondern erfolgte auf der Grundlage einer rechtmäßigen Auftragsverarbeitung nach Art. 28 DSGVO. Auch wenn die Daten in Workday überschießend im Rahmen einer Auftragsdatenverarbeitung verarbeitet wurden, so hat die Beklagte doch alle Erfordernisse der DSGVO eingehalten, die Sicherheit der Daten bei der Konzernmutter sicherzustellen. Soweit der Kläger darüber spekuliert, dass es die Daten unbefugt nach Speicherung in Workday hätten verwendet werden könnten, fehlt es an jedem tatsächlichen Anhaltspunkt hierfür, vor allem aber an einem zuordenbaren Verordnungsverstoß („wegen“). Vielmehr ergibt sich aus den vertraglichen Garantien iSv. Art. 28 DSGVO, die es auch einschließen, dass sämtliche Konzernunternehmen die Bestimmungen des GDPA einzuhalten haben (insb. auch: D. Corporation Global Data Protection Agreement Protocol and Power of Attorney) und damit auch der Ausschluss von Missbrauch durch Konzerngesellschaften. Jedenfalls hat die Beklagte sich verordnungskonform verhalten, um jedweden Missbrauch auszuschließen. In diesem Zusammenhang ist auch ein Kontrollverlust nicht ersichtlich, da die mit der Konzernmutter getroffenen Vereinbarungen gerade sicherstellen, dass dem Kläger alle Rechte, die er gegenüber der Beklagten hat, auch im Rahmen der Auftragsverarbeitung zustehen. Der Kläger konnte daher seine Daten insb. auch löschen lassen, was die Beklagte auch tatsächlich im Verlaufe des Rechtsstreits bzgl. der nach der BV Workday in Workday nicht zu speichernden Daten - trotz Auftragsverarbeitung - veranlasst hat. Der Kläger macht einen verordnungswidrigen Zustand mit Abschluss der BV Workday und BV IT auch nicht geltend; mit anderen Worten: der Kläger war tatsächlich in der Lage, seine überschießend übermittelten Daten löschen zu lassen und konnte sie insoweit kontrollieren. Dabei kann auch nicht davon ausgegangen werden, der tatsächliche Verordnungsverstoß (im Verhältnis zur Duldungs-BV überschießende Datenspeicherung in Workday) habe den gesamten Datenverarbeitungsvorgang „infiziert“, so dass die Beklagte für jeden Schaden in Anspruch genommen werden könnte. Dergleichen könnte allenfalls dann angenommen werden, wenn jede Datenverarbeitung von personenbezogenen Daten des Klägers in Workday verordnungswidrig gewesen wäre. Infolge der Regelungen der Duldungs-BV durfte die Beklagte allerdings diejenigen Datenkategorien der Anlage 2 und damit auch die entsprechenden personenbezogenen Daten des Klägers verarbeiten. Es verbleibt damit dabei, dass die gegenüber der Anlage 2 der Duldungs-BV überschießende Datenverarbeitung von ansonsten rechtmäßig verarbeiteten Daten zu anderen (Test-)Zwecken beim Kläger keinen Schaden ausgelöst hat, der einem der Beklagten zurechenbaren Verordnungsverstoß zugeordnet werden könnte. Bloße Befürchtungen, ein Schaden könnte eintreten, stellen keinen Schaden dar.

(4) Ob dem Kläger ein Schadensersatz nach Art. 82 DSGVO deshalb zusteht, weil die Beklagte ggf. gegen Bestimmungen der DSGVO bei der Auskunftserteilung verstoßen hat (vgl. dazu etwa: ArbG Neumünster 11. August 2020 - 1 Ca 247 c/20 - Rn. 36 ff., ReckRS 2020, 29998; ArbG Düsseldorf 5. März 2020 - 9 Ca 6557/18 - Rn
. 94 ff., NZA-RR 2020, 409), hatte die Berufungskammer nicht zu entscheiden.

Den Volltext der Entscheidung finden Sie hier:


Internet World Business-Beitrag von Rechtsanwalt Marcus Beckmann - Was 2021 Recht wird - Neue Gesetze und Verordnungen für den digitalen Handel

In Ausgabe 1/2021 S. 54-55 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Was 2021 Recht wird". Der Beitrag gibt ein Überblick über die kommenden Gesetzesänderungen und Verordnungen für den digitalen Handel im Jahr 2021.

EU-Kommission veröffentlicht Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer - standard contractual clauses - scc

Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer veröffentlicht:

Entwurf - Standardvertragsklauseln - standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council

Entwurf - Dazugehörige Entscheidung der EU-Kommission


EuGH: EU-US Privacy Shield genügt nicht den Vorgaben der DSGVO und ist ungültig - Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln hingegen gültig

EuGH
Urteil vom 16.07.2020
C-311/18
Data Protection Commissioner / Maximillian Schrems und Facebook Ireland


Der EuGH hat entschieden, dass der EU-US Privacy Shield (Datenschutzschild) nicht den Vorhaben der DSGVO genügt und damit ungültig ist. Der Beschluss 2010/87 der EU-Kommission über Standardvertragsklauseln ist hingegen gültig

Die Pressemitteilung des EuGH

Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig

Der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist hingegen gültig

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Datengrundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften
oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame
Rechtsbehelfe verfügen . Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.

Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, ist seit 2008 Nutzer von Facebook. Wie bei allen anderen im Unionsgebiet wohnhaften Nutzern werden seine personenbezogenen Daten ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, die im Wesentlichen darauf abzielte, diese Übermittlungen verbieten zu lassen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde u. a. mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 (sogenannte „Safe-Harbour Entscheidung“) festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisteten. Mit Urteil vom 6. Oktober 2015 erklärte der Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin diese Entscheidung für ungültig (im Folgenden: Urteil Schrems I).

Nachdem das Urteil Schrems I ergangen war und der irische High Court daraufhin die Entscheidung, mit der die Beschwerde von Herrn Schrems zurückgewiesen worden war, aufgehoben hatte, forderte die irische Aufsichtsbehörde Herrn Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren. Mit seiner umformulierten Beschwerde macht Herr Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Er beantragt, die von Facebook Ireland nunmehr auf der Grundlage der Standardschutzklauseln im Anhang des Beschlusses 2010/877 vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die Vereinigten Staaten für die Zukunft auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, dass die Bearbeitung der Beschwerde von Herrn Schrems insbesondere von der Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln abhänge, und strengte daher ein Verfahren vor dem High Court an, damit er den Gerichtshof mit einem Vorabentscheidungsersuchen befassen möge. Nachdem dieses Verfahren eingeleitet worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes.

Mit seinem Vorabentscheidungsersuchen fragt der irische High Court den Gerichtshof nach der Anwendbarkeit der DSGVO auf Übermittlungen personenbezogener Daten, die auf die Standardschutzklauseln im Beschluss 2010/87 gestützt werden, sowie nach dem Schutzniveau, das diese Verordnung im Rahmen einer solchen Übermittlung verlangt, und den Pflichten, die den
Aufsichtsbehörden in diesem Zusammenhang obliegen. Des Weiteren wirft der High Court die Frage der Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250 auf.

Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig. Der Gerichtshof führt zunächst aus, dass das Unionsrecht, insbesondere die DSGVO, auf eine zu gewerblichen Zwecken erfolgende Übermittlung personenbezogener Daten durch einen in einem Mitgliedstaat ansässigen Wirtschaftsteilnehmer an einen anderen, in einem Drittland ansässigen Wirtschaftsteilnehmer Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können.

Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre. In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf
die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.

Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten
Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet. Sodann prüft der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über
Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hängt sie davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof stellt fest, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Schließlich prüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der Bestimmungen der Charta, die die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz verbürgen. Insoweit stellt er fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit,
des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im PrivacyShield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der
Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich
bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

In Bezug auf das Erfordernis des gerichtlichen Rechtsschutzes befindet der Gerichtshof, dass der im Privacy-Shield-Beschluss 2016/1250 angeführte Ombudsmechanismus entgegen den darin von der Kommission getroffenen Feststellungen den betroffenen Personen keinen Rechtsweg zu einem Organ eröffnet, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären, d. h. Garantien, die sowohl die Unabhängigkeit der durch diesen Mechanismus vorgesehenen Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Aus all
diesen Gründen erklärt der Gerichtshof den Beschluss 2016/1250 für ungültig.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier: