EuGH er­klärt mit Ur­teil in Sa­chen Schrems II den Pri­va­cy Shield Be­schluss für un­wirk­sam
TCI Rechtsanwälte > eugh

1. Schrems II – Das Urteil

Mit Urteil vom 16.07.2020 (C-311/18) hat der EuGH über Vorlagefragen des Irischen High Courts in einem Rechtsstreit von Max Schrems gegen Facebook Ireland entschieden. Der EuGH erklärt das Privacy-Shield-Abkommen (genau genommen den entsprechenden Beschluss der EU-Kommission) zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam. Privacy-Shield stellt kein der DSGVO entsprechendes Datenschutzniveau sicher, da es insbesondere an einer wirksamen Durchsetzungsmöglichkeit für Betroffenenrechte in den USA fehlt.

Der EuGH äußert sich darüber hinaus auch zu den Standardvertragsklauseln (SCC), welche für die Übermittlung von Daten an Auftragsverarbeiter außerhalb der EU genutzt werden können und hält diese für grundsätzlich geeignet. Diese grundsätzliche Geeignetheit wird durch den EuGH allerdings dadurch eingeschränkt, dass die Parteien auch bei vereinbarten Standardvertragsklauseln sicherstellen müssen, dass wirksame Durchsetzungsmöglichkeiten für Betroffenenrechte bestehen. Dass dies insbesondere im Fall der USA und den dortigen Zugriffsrechten für Geheimdienste derzeit nicht der Fall ist, stellt der EuGH in seiner Urteilsbegründung ausdrücklich fest. Die Erwägungen dürften in dieser Form aber auch auf andere Staaten mit unzureichendem Schutz vor Zugriffen der nationalen Geheimdienste übertragbar sein. Der EuGH stellt zudem fest, dass es eine Aussetzungspflicht der Datenschutzbehörden gibt, wenn die Standardvertragsklauseln im Drittland nicht eingehalten werden oder nicht eingehalten werden können.

Damit ist derzeit offen, wie Datenübermittlungen in die USA unter der DSGVO rechtmäßig gestaltet werden können.

2. Keine Übergangsfrist für Privacy-Shield basierte Datentransfers

Wenn Unternehmen Datentransfers in die USA bisher allein auf eine Privacy Shield-Zertifizierung des amerikanischen Partners / Dienstleisters gestützt haben, sind diese Transfers ab sofort datenschutzrechtswidrig. Eine Übergangsfrist gibt es in diesem Zusammenhang nicht, da der EuGH den entsprechenden Kommissionsbeschluss zu Privacy Shield für unwirksam erklärt hat. Dies gilt sowohl für Übermittlungen an Dienstleister (Auftragsverarbeiter) als auch an Geschäftspartner und Gesellschaften innerhalb von Unternehmensgruppen oder Konzernen.

3. Reaktionen der Aufsichtsbehörden

Der EuGH macht in der Begründung seines Urteils deutlich, dass die zuständigen Aufsichtsbehörden verpflichtet sind, einen Datentransfer auch dann zu verbieten, wenn dieser auf Standardvertragsklauseln basiert, wenn diese im betroffenen Land nicht durchsetzbar sind.

Es ist daher wenig verwunderlich, dass beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit bereits fordert, dass Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln sollen (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf). Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat in einem Interview in der FAZ ausgeführt, dass die europäischen Unternehmen und im Anschluss die einzelnen Datenschutzbehörden im Einzelfall prüfen müssen, ob die Standardvertragsklauseln ausreichen (https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/?GEPC=s3). Andere Aufsichtsbehörden haben angekündigt sich zunächst abstimmen zu wollen. Diese Abstimmungen sollen insbesondere auch mit anderen europäischen Datenschutzbehörden erfolgen.

Unternehmen sollten hier unbedingt weitere Hinweise und etwaige Handlungsempfehlungen der Aufsichtsbehörden beachten und diese entsprechend bewerten.

4. Was müssen Unternehmen nun beachten?

Unternehmen, die personenbezogenen Daten in Drittstaaten übertragen, haben nun akuten Handlungsbedarf:

a) Identifizierung von Privacy-Shield basierten Datenflüssen

Basierend auf ihrem Verarbeitungsverzeichnis sollten Unternehmen prüfen, ob derzeit Datenflüsse allein auf Privacy Shield gestützt werden, also ohne dass (zusätzlich) Standardvertragsklauseln genutzt wurden. Wenn solche Datenflüsse vorhanden sind, sollten diese umgehend auf Standardvertragsklauseln oder eine ausdrückliche Einwilligung der Betroffenen umgestellt werden. Zu prüfen sind in diesem Zusammenhang insbesondere auch Standard-Tracking-, Marketing- und Kollaborationsdienste. Es muss in diesem Zusammenhang auch geprüft werden, inwieweit Anpassungen in Datenschutzhinweisen für Webseitenbesucher, Kunden, Lieferanten oder Mitarbeiter notwendig sind.

b) Prüfung von Datenflüssen die auf Standardvertragsklauseln basieren

Datentransfers in die USA oder andere Drittstaaten unter Standardvertragsklauseln sind weiterhin möglich, die Unternehmen müssen hier aber prüfen, ob im betreffenden Drittland das vom Unionsrecht verlangte Schutzniveau eingehalten wird. Wenn dies nicht der Fall ist, muss geprüft werden, ob der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann. Dabei muss die Prüfung immer die im konkreten Fall zu übermittelnden Daten und den konkreten Empfänger berücksichtigen. Denkbar sind hier beispielsweise der Einsatz von Verschlüsselungstechniken, bei denen der Schlüssel im Besitz des in der EU ansässigen Verantwortlichen bleibt, der Dienstleister also faktisch keine Möglichkeit der Entschlüsselung hat und daher bei Zugriff von Sicherheitsbehörden auch nur verschlüsselte Daten herausgeben könnte. Das heißt, es muss sich um eine echte Ende-zu-Ende-Verschlüsselung handeln, Transportverschlüsselungen sind nicht ausreichend. Unternehmen mit Sitz in der EU sollten in Verhandlungen mit Partnern versuchen, möglichst konkrete Informations- und Handlungspflichten für den Fall von Anfragen von Sicherheitsbehörden zu vereinbaren. Was die Reihenfolge der Prüfungen angeht, empfiehlt es sich den Verträgen Priorität einzuräumen, bei denen die Vertragspartner einschlägigen nationalen Überwachungsgesetzen unterliegen.

Bei neu abzuschließenden Verträgen muss geprüft werden, ob die Standardvertragsklauseln in unveränderter Form ausreichend sind, oder ob zusätzliche Maßnahmen getroffen werden müssen. Dabei ist zu beachten, dass der Text der Standardvertragsklauseln nicht verändert werden darf.

Die vorstehenden Erwägungen gelten auch bei Übermittlungen auf Basis von behördlich genehmigten sog. Binding Corporate Rules (BCR).

c) Datenflüsse, bei denen das Unternehmen selbst Auftragsverarbeiter ist

Wenn die Datenübermittlung in die USA im Rahmen einer Unterbeauftragung stattfindet, ist zu beachten, dass der Verantwortliche selbst und unmittelbar die Standardvertragsklauseln mit dem entsprechenden Unterauftragsverarbeiter in den USA abschließen muss. Viele Anbieter sind auf diese Anforderung bisher nicht eingestellt und es muss geprüft werden, wie diese Anforderung umgesetzt werden kann.

d) Einwilligung des Betroffenen

Ein Datentransfer in ein Drittland kann, wenn der Dienstleister keine Garantie für ein angemessenes Datenschutzniveau bietet, auch auf eine Einwilligung des Betroffenen gestützt werden. An die Einwilligung sind jedoch – nicht erst seit der BGH-Entscheidung zu Cookie Bannern – hohe Anforderungen zu stellen. So muss diese ausdrücklich erfolgen und der Verantwortliche muss über alle Risiken der Datenübermittlung informieren, also auch darüber, welches Risiko für seine Rechte und Freiheiten und welche Einschränkungen des Rechtsschutzes gegenüber der DSGVO und dem europäischen Recht bestehen. Dies muss aufgrund der Transparenz-Anforderungen sorgfältig umgesetzt werden.  

e) Nicht betroffene Datenflüsse

Datenübermittlungen auf Basis von Art. 49 DSGVO, zum Beispiel wenn diese zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich sind und die weiteren Anforderungen der DSGVO erfüllt werden, bleiben zulässig. Dies umfasst zum Beispiel die Abwicklung von Aufträgen von Kunden oder Lieferanten mit Sitz in den USA, die Versendung von E-Mails in die USA oder die Buchungen bei amerikanischen Hotels. Das gleiche gilt für die Übermittlung von Mitarbeiterdaten im Konzern, soweit dies erforderlich ist und der internationale Bezug des Arbeitsverhältnisses bei Abschluss des Arbeitsvertrags bekannt war.

Für weitere Informationen und Rückfragen stehen wir gerne zur Verfügung.

EuGH muss über die Rechts­mä­ßig­keit der deut­schen Vor­rats­da­ten­spei­che­rung ent­schei­den
TCI Rechtsanwälte > eugh

Zum 1. Juli 2017 sollten deutsche Telekommunikationsunternehmen und Anbieter von Internetzugangsdiensten verpflichtet werden, Verkehrsdaten ihrer Kunden wie Telefonnummern, Beginn und Ende von Telefonaten sowie die IP-Adresse bei Internetnutzung für zehn Wochen zu speichern. Doch kurz vor diesem Stichtag hatte am 22. Juni 2017 das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in einem Verfahren des einstweiligen Rechtsschutzes festgestellt, dass diese Anbieter bis zu einem rechtskräftigen Urteil im Hauptsacheverfahren nicht verpflichtet sind, Telekommunikationsverkehrsdaten zu speichern. Aufgrund dieser Entscheidung hat die Bundesnetzagentur mitgeteilt, bis zum rechtskräftigen Abschluss eines Hauptsacheverfahrens von Anordnungen und sonstigen Maßnahmen zur Durchsetzung der in § 113b Telekommunikationsgesetz geregelten Speicherverpflichtungen gegenüber allen verpflichteten Telekommunikationsunternehmen abzusehen und auch keine keine Bußgeldverfahren wegen einer nicht erfolgten Umsetzung einzuleiten (siehe hier).

Das Bundesverwaltungsgericht hat nun mit Beschluss vom 25. September 2019 (Az. 6 C 12.18 und 6 C 13.18) das Verfahren dem Gerichtshof der Europäischen Union (EuGH) vorgelegt. Dieser muss nun entscheiden, ob die im deutschen Telekommunikationsgesetz geregelte anlasslose Vorratsdatenspeicherung in keinem Fall rechtmäßig ist. Nationale Rechtsvorschriften können nämlich zugunsten der öffentlichen Sicherheit und der Strafverfolgung Beschränkungen vorsehen, sofern sie in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig sind. Das Bundesverwaltungsgericht fragt daher den EuGH, ob ein generelles Verbot einer anlasslosen Vorratsdatenspeicherung besteht und ob dieses im Rahmen einer „Kompensation“ durch restriktive Zugriffsregelungen und hohe Sicherheitsanforderungen überwunden werden kann.

Für betroffene Telekommunikationsunternehmen und Anbieter von Internetzugangsdiensten bedeutet dieser Beschluss, dass ihre Verpflichtung zur Vorratsdatenspeicherung vom Urteil des EuGH abhängt, auch wenn sie selber nicht Partei des Verfahrens sind. Denn falls der EuGH die deutschen Regelungen zur Vorratsdatenspeicherung billigt, wird auch die Bundesnetzagentur auf deren Einhaltung bestehen und die vorübergehende Aussetzung der Vorratsdatenspeicherpflicht beenden.

0180er Ruf­num­mern als Kun­den­hot­line un­zu­läs­sig
TCI Rechtsanwälte > eugh

Mit Urteil vom 2. März 2017 (Az. C-568/15) hat der Europäische Gerichtshofs (EuGH) entschieden, dass für einen Anruf bei einer Kundenhotline die Kosten für den Verbraucher nicht höher sein dürfen als die Kosten eines normalen Anrufs bei einer Festnetznummer. Dies gilt nach Ansicht der Richter des EuGHs dann, wenn es sich um Service-Rufnummern handelt, unter denen der Verbraucher Informationen und Hilfe zu bereits geschlossenen Verträgen erhalten. Reine Bestell- oder Info-Hotlines sind von dem Urteil nicht betroffen.

Das Urteil basiert auf einer Klage der Wettbewerbszentrale gegen einen Online-Elektronikhändler. Der Händler hatte auf seiner Webseite eine Kundenhotline mit einer 0180-Rufnummer angegeben, unter der der Kundenservice erreichbar war. Die Kosten für einen Anruf bei dieser Nummer lagen bei EUR 0,14/Minute (aus dem Festnetz) bzw. EUR 0,42 Euro/Minute (aus dem Mobilfunknetz).

Die Wettbewerbszentrale hatte den Elektronikhändler abgemahnt, weil sie in der Nutzung der 0180er-Rufnummer einen Verstoß gegen § 312a Abs. 5 BGB sah, wonach bei Telefonhotlines, die ein Unternehmen für Fragen oder Erklärungen zu einem geschlossenen Vertrag bereitstellt, die Kosten für den Verbraucher „das Entgelt für die bloße Nutzung des Telekommunikationsdienstes“ nicht übersteigen dürfen.

Ihre Entscheidung, dass die Kosten eines Anrufs bei einer Kundenhotline die eines normalen Anrufs nicht übersteigen dürfen begründen die EuGH-Richter mit einem Verweis auf Artikel 21 der EU-Richtlinie 2011/83, wonach sichergestellt sein muss, dass ein Verbraucher bei einem Anruf mit Bezug zu einem mit einem Unternehmen geschlossenen Vertrag nicht mehr als den Grundtarif zahlen muss. Nach Ansicht der Richter ist unter dem Begriff „Grundtarif“ dabei der übliche Tarif für ein Telefongespräch ohne zusätzliche Kosten für den Verbraucher zu verstehen. Die Richter begründen dies damit, dass höhere Anrufkosten die Verbraucher davon abhalten könnten, eine Service-Rufnummer zu nutzen, um insbesondere ihre vertraglichen Rechte, wie z.B. den gesetzlich zustehenden Widerruf zu erklären oder Gewährleistungsansprüche geltend zu machen.

Unternehmen, deren Kundenservice ausschließlich über eine kostenpflichtige 0180-Rufnummer erreichbar ist, müssen daher umgehend handeln, weil insoweit seit dem Urteil eine erhebliche Abmahngefahr durch Mitbewerber oder die Wettbewerbszentralen besteht. Ein grundsätzliches Verbot von 180er-Rufnummern ist mit dem Urteil aber nicht verbunden. Unternehmen können beispielsweise allgemeine Hotlines weiter unter 0180er-Rufnummern anbieten und 0800- oder Festnetz-Rufnummern für Verbraucheranfragen zu bestehenden Verträgen als Kundenhotline nutzen. Die Trennung muss dann aber in der Kommunikation der Rufnummern klar erkennbar sein.