Die Verordnung (EU) 2016/679 ("Datenschutzgrundverordnung") hört nicht auf, Unternehmen und Datenschützer zu beschäftigen. Dabei muss man noch nicht mal über Sinn oder Unsinn des Datenschutzes diskutieren, um überhaupt diskutieren zu können. Vielmehr ist die Anwendung der Datenschutzvorschriften oft schon schwierig genug.
Mit seinem Urteil vom 16.07.2020 (Rechtssache C-311/18, ECLI:EU:C:2020:559) hat der Europäische Gerichtshof (EuGH) einen weiteren Schwierigkeitsgrad hinzugefügt. Ausgangspunkt war ein Rechtsstreit zwischen dem Datenschutzbeauftragten Irlands auf der einen Seite und der Facebook Ireland Ltd sowie Herrn Maximilian Schrems auf der anderen Seite. Herr Schrems ist ein zwischenzeitlich einer breiten Öffentlichkeit bekannter Datenschutzaktivist.
In dem EuGH-Urteil allerdings spielt der Rechtsstreit zwischen Facebook und Herrn Schrems kaum eine Rolle. Es geht nicht um die Datenverwendung von Facebook oder deren Unternehmenspraktiken, sondern um abstrakte Rechtsfragen. Geschuldet ist das zwar dem Wesen des Vorabentscheidungsverfahrens nach Artikel 267 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV), denn danach soll der EuGH immer über abstrakte Rechtsfragen entscheiden. Zur Folge hat das Vorabentscheidungsverfahren damit aber, dass es jenseits konkreter Sachverhalte spielt. Im Nachgang stellen sich deshalb typischerweise viele Fragen für alle Rechtsanwender.
EuGH "kippt" den EU-US-Privacy Shield
Zu den wesentlichen Inhalten des EuGH-Urteils gehört dann, dass der EuGH den von der Kommission gestalteten sogenannten "Datenschutzschild" ("privacy shield") für ungültig erklärt, der bisher erleichterte Bedingungen für Datenübertragungen in die USA bereitgestellt hatte. In den Worten des Gerichts:
"Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 […] über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ist ungültig.” (Urteilstenor Nummer 5, ECLI:EU:C:2020:559)
Der Richterinnen und Richter in Luxemburg sehen darin auch keine Schwierigkeit für die Praxis, denn
"[es] ist festzustellen, dass in Anbetracht von Art. 49 der DSGVO durch die Nichtigerklärung eines Angemessenheitsbeschlusses […] kein solches rechtliches Vakuum entstehen kann. In dieser Vorschrift ist nämlich klar geregelt, unter welchen Voraussetzungen personenbezogene Daten in Drittländer übermittelt werden können, falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 der DSGVO vorliegt noch geeignete Garantien im Sinne ihres Artikel 46 bestehen." (ECLI:EU:C:2020:559 Rn. 202)
Freilich hat der EuGH aber zuvor gerade für die Frage der geeigneten Garantien für den Datenverkehr mit den USA festgestellt, dass natürlichen Personen keine ausreichenden Rechtsbehelfe gegen die Überwachungsmaßnahmen der US-amerikanischen Geheimdienste zustünden, und mit gerade dieser Begründung den Angemessenheitsbeschluss der Kommission für ungültig erklärt. Im Klartext bedeutet die Entscheidung des Europäischen Gerichtshof für den Datenverkehr mit den USA deshalb wohl, dass dieser künftig zunächst auf Artikel 49 der Verordnung (EU) 2016/679 zu stützen sein wird.
Was ist mit anderen Drittstaaten?
Der Europäische Gerichtshof hat sich in seinem Urteil vom 16.07.2020 (Rechtssache C-311/18, ECLI:EU:C:2020:559) nicht zu der Frage der Datenübermittlung in andere Drittstaaten als die USA geäußert, sondern dazu der Verordnung (EU) 216/2016 nur allgemeine Vorgaben entnommen. Insbesondere sieht das höchste Gericht der Europäischen Union danach die Unternehmen in der Pflicht, sich dann, wenn sie die Datenübertragung in das Drittland auf die sogenannten “Standardvertragsklauseln” stützen wollen, vom Datenschutzniveau in dem jeweiligen Drittstaat auch selbst zu überzeugen (Urteilstenor Nummer 2, ECLI:EU:C:2020:559). Dafür ist insbesondere eine Prüfung der wesentlichen Elemente der dortigen Rechtsordnung erforderlich. Sollten die Standardvertragsklauseln nicht eingehalten werden (können), dann hat die Datenübertragung zu unterbleiben (Urteilstenor Nummer 3, ECLI:EU:C:2020:559).
Die Gegenfrage muss aber wohl lauten: Wenn diese Maßstäbe sich schon für die USA nicht einhalten lassen, für welchen Drittstaat denn dann? Einige wird es wohl geben, aber auf der Erde gibt es 202 Staaten und einige Gebiete, die sich zumindest selbst Staatlichkeit zuschreiben. Die Prüfliste wird folglich lang und die Prüfung für viele Orte auf dem Planeten schwierig.
Die derzeit mögliche Lösung für viele Sachverhalte der Datenübertragung in Drittstaaten könnte deshalb wohl vorerst insbesondere Artikel 49 der Verordnung (EU) 679/2016 werden. Die Regelung lautet unter anderem:
"Artikel 49 Ausnahmen für bestimmte Fälle (1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
c) die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,
d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig, e) die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
[…] Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 - einschließlich der verbindlichen internen Datenschutzvorschriften - gestützt werden könnte und keine der Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen; dies erfolgt zusätzlich zu den der betroffenen Person nach den Artikeln 13 und 14 mitgeteilten Informationen. [...]"
Was bedeutet das für die Luftfahrt?
Wenn Luftfahrtunternehmen ihre Passagiere nach Zielen außerhalb der Europäischen Union fliegen wollen, dann bedeutet diese Regelung in Artikel 49 der Verordnung (EU) 679/2016, dass das Augenmerk besonders auf drei Möglichkeiten liegt:
1. Einwilligung des betroffenen Menschen in die Übertragung ihrer Daten, 2. Notwendigkeit der Datenübertragung zur Durchführung des Vertrages mit dem betroffenen Menschen, 3. Notwendigkeit der Datenübertragung zur Durchführung eines Vertrages mit einem anderen Menschen im Interesse des/ der Betroffenen.
Wenn man bedenkt, dass Luftfahrtunternehmen in beinahe jedem Staat der Erde verpflichtet sind, Passagierdaten wie Name, Ausweisdaten oder sogar Essenswünsche an staatliche Behörde weiterzugeben, und es im Übrigen unausweichlich ist, Dienstleister vor Ort (zum Beispiel Handlingsagenten) einzuschalten, dann sind diese drei Möglichkeiten ein schmaler Pfad, aber immer noch besser als nichts.
Die Lösung über eine Einwilligung dürfte eher seltener gelingen. Das liegt daran, dass sich im Unionsdatenschutzrecht die Auffassung zu verbreiten beginnt, eine wirksame Einwilligung könne nur gegeben werden, wenn es auch möglich ist, sie nicht zu geben, ohne dass dies Nachteile bedeutet. Wenn ein Fluggast in die USA reisen möchte, dann ist es aber nun einmal ausgeschlossen, seine Daten nicht an die TSA weiterzugeben. Eine Verweigerung der Einwilligung führt deshalb zwingend dazu, dass das Luftfahrtunternehmen dem Fluggast die Beförderung verweigern muss.
Aber natürlich ist es in genau dieser Situation so, dass die Weitergabe der Daten an die TSA oder auch an Handlingsagenten vor Ort für das Luftfahrtunternehmen erforderlich ist, um den Passagier überhaupt in die USA fliegen zu können. Angenommen, der Mensch hat den Flug für sich selbst gebucht und ist deshalb auch selbst der Vertragspartner des Luftfahrtunternehmens, dann ist die Weitergabe der Daten deshalb auch auf der Grundlage von Artikel 49 der Verordnung (EU) 679/2016 möglich. Zu achten ist dann jedoch unbedingt darauf, dass auch wirklich nur jene Daten weitergegeben werden, für die dies zwingend notwendig ist. Empfehlenswert dürfte zudem auch sein, Vertragspartner vor Ort vorsorglich doch mittels der Standardvertragsklauseln in die Pflicht zu nehmen. Für Behörden oder andere staatliche Stellen wird das nicht gelingen.
Möglich ist die Datenweitergabe zudem wohl auch dann, wenn beispielsweise Eltern für ihr Kind einen Flug in den Urlaub buchen, denn der Vertrag zwischen Eltern und Luftfahrtunternehmen über die Beförderung des Kindes dürfte dann im Interesse des Kindes liegen. Wenn die Datenübertragung zur Vertragsdurchführung erforderlich ist, darf das Luftfahrtunternehmen diese folglich nach Artikel 49 der Verordnung (EU) 679/2016 auch durchführen. Die möglichen Schutzvorkehrungen, wie etwa die Vereinbarung von Standardvertragsklauseln mit Handlingsagenten und die Beachtung des Grundsatzes der Datensparsamkeit, sind natürlich auch in diesem Fall zu treffen.
Es gibt aber Lebenssachverhalte, die sich weniger einfach lösen lassen, und zumindest einer davon gehört zu den gewöhnlichsten Dingen, die es bisher in der Luftfahrt so gab: Die Geschäftsreise! Wenn der Arbeitgeber den Beförderungsvertrag mit dem Luftfahrtunternehmen schließt, damit der/die Beschäftigte ins Ausland reisen kann, dann dient die Übertragung der Daten des Fluggastes nicht der Durchführung des mit dem Fluggast bestehenden Vertrages. Der Beförderungsvertrag besteht mit dem Arbeitgeber, und zugleich liegt die Dienstreise meist vorrangig im Interesse des Arbeitgebers. Lässt sich dann trotzdem sagen, dass es der Durchführung eines im Interesse des Betroffenen geschlossenen Beförderungsvertrages dient, wenn höchstpersönliche Daten des Fluggastes (Name, Passdaten, Essenswünsche) an Drittstaatsbehörden oder etwa auch an Handlingsagenten vor Ort weitergegeben werden?
Freilich gibt es auch hier unterschiedliche Lösungsmöglichkeiten, zumal die Linienluftfahrt andere Prozesse wird nutzen wollen als die im Gelegenheitsverkehr durchgeführte Geschäftsluftfahrt. Mit dem EuGH-Urteil vom 16.07.2020 ist es aber trotzdem wohl für jedes Luftfahrtunternehmen in der Europäischen Union jetzt dringend notwendig, die eigene Vorgehensweise sorgfältig zu überprüfen und gegebenenfalls anzupassen. Das liegt auch daran, dass die Datenschutzbehörden in den kommenden Monaten und Jahren sicherlich ihre Prüfungsintensität weiter steigern werden. Anzuraten ist deshalb, die Prozessgestaltung und die interne Dokumentation dazu rechtzeitig zu erledigen.
