12.10.2017 EuGH überprüft EU-Standardvertragsklauseln

Rss-Feed abonnieren

Der Datentransfer in die USA könnte erneut eine wichtige rechtliche Grundlage verlieren. Nachdem der österreichische Jurist und Datenschützer Max Schrems bereits 2015 in seinem ersten Verfahren wegen der Weitergabe von Daten durch Facebook in Irland das Safe-Harbor-Abkommen zu Fall gebracht hatte, sollen jetzt die EU-Standardvertragsklauseln durch den Europäischen Gerichtshof (EuGH) überprüft werden.

EU-Standardverträge – was ist das?

EU-Standardverträge legitimieren den Datentransfer eines EU-Unternehmens in datenschutzrechtlich unsichere Länder, sogenannte unsichere Drittstaaten. Zu diesen Ländern zählen unter anderem die USA. In der ab Mai 2018 europaweit gültigen Datenschutz-Grundverordnung sind sie explizit als geeignetes Mittel aufgeführt, um bei einem solchen Datentransfer ein angemessenes Datenschutzniveau zu garantieren.

EU-Standardverträge sind die praktisch einzige rechtssichere Möglichkeit, bei Datenübermittlungen in die USA ein ausreichendes Datenschutzniveaus herzustellen. Zwar existiert seit Sommer 2016 mit dem EU-US Privacy Shield – der Nachfolger des gekippten Safe-Harbor-Abkommens – eine weitere Rechtsgrundlage für den Datentransfer. Doch auch das Privacy Shield wird teilweise heftig kritisiert und deshalb als alleinige Grundlage für Datentransfers in unsichere Drittstaaten von deutschen Datenschutzbehörden als nicht ausreichend erachtet.

Kein angemessener Schutz der Daten

Um zu verstehen, warum jetzt auch die EU-Standardverträge vor dem EuGH gelandet sind, lohnt ein Blick in die Vergangenheit. Nach einer Klage von Max Schrems hatte der EuGH die Rechtmäßigkeit von Safe Harbor zu prüfen.

Zu dem Abkommen führte der Gerichtshof damals aus (Urteil vom 6. Oktober 2015 hier abrufbar), dass der erlaubte Zugriff von Geheimdiensten und anderen Behörden auf Daten in den USA "den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt". US-Unternehmen seien verpflichtet, in Europa geltende Datenschutzregeln außer Acht zu lassen, wenn US-Behörden aus Gründen der nationalen Sicherheit bzw. des öffentlichen Interesses Zugriff auf persönliche Daten verlangen. Gleichzeitig gebe es für EU-Bürger keine Möglichkeit, per Rechtsbehelf die Löschung ihrer Daten zu verlangen. Das verletze "den Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz", so der EuGH.

An diesem Zustand hat sich nach Ansicht von Schrems seitdem nichts geändert, weil Überwachungsgesetze weiterhin den undifferenzierten Zugriff auf private Daten erlauben. Er hatte die irische Datenschutzbehörde nach der Safe-Harbor-Entscheidung daher aufgefordert, die Weitergabe seiner Daten in die USA zu stoppen. Es sei Aufgabe der irischen Datenschutzbehörde gewesen, von der in Artikel 4 der Standardvertragsklauseln vorgesehenen "Notfall Regelung" Gebrauch zu machen. Diese Regelung gibt Datenschützern die Möglichkeit, Datentransfers umgehend zu stoppen. Dagegen hatte sich die irische Datenschutzbehörde allerdings gewehrt und war selbst gegen die Standardvertragsklauseln vor Gericht gezogen. Begründung: Eine einseitige Anwendung des Stopps gegen Facebook verstoße gegen den Gleichbehandlungsgrundsatz.

Der Irische Oberste Gerichtshof verwies die Klage zur Klärung Anfang Oktober an den EuGH, der nun zu entscheiden hat.

Privacy Shield nicht betroffen
Von diesem Verfahren ist der Safe-Harbor-Nachfolger nicht betroffen. Sollte aber das EU-US Privacy Shield, das derzeit durch die EU erstmalig überprüft wird, ebenfalls für nichtig erklärt werden, werden Datentransfers von EU-Unternehmen in Drittländer mit einem Mal rechtswidrig. Als letzter Ausweg könnten dann nur noch sogenannte Binding Corporate Rules, also verbindliche Konzernregelungen, die innerhalb von Konzernen auszuhandeln und anschließend von der zuständigen Aufsichtsbehörde zu genehmigen sind, Abhilfe schaffen.

Betroffene Unternehmen müssen trotzdem nicht in Panik ausbrechen. Erstens ist mit einem Urteil des EuGH erst frühestens in einem Jahr zu rechnen. Zweitens ist es sehr unwahrscheinlich, dass bei einem negativen Urteil des Gerichtshofes keine Alternativen zu den Standardverträgen angeboten werden. Denn die EU-Kommission ist sich bewusst, welches wirtschaftliche Chaos entstehen würde, ließe man die Unternehmen mit ungültigen Standartvertragsklauseln alleine. (nl)

Quellen:

heise online vom 03.10.2017: Europäischer Gerichtshof muss erneut über Datenweitergabe in die USA entscheiden

heise online vom 06.10.2015: Datenschutz bei Facebook & Co.: EuGH erklärt Safe Harbor für ungültig

Netzpolitik vom 04.10.2017: NSA-Überwachung: Europäischer Gerichtshof muss Weitergabe privater Daten an USA prüfen

golem.de vom 04.10.2017: EuGH soll über Standardvertragsklauseln entscheiden

The Irish Times vom 03.10.2017: High Court asks ECJ to examine Facebook case


News

Die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK), ein Zusammenschluss aller 18 deutschen ... weiter
Der Datentransfer in die USA könnte erneut eine wichtige rechtliche Grundlage verlieren. Nachdem der österreichische Jurist und Datenschützer Max Schrems bereits 2015 ... weiter
Das Ausmaß der Cyberattacke von 2013 auf den Internetriesen Yahoo ist deutlich größer als bisher angenommen. Das hat eine erneute Überprüfung durch den ... weiter
Die EU will in der zweiten Oktoberhälfte ihren ersten Prüfbericht zur Umsetzung der Datenschutz-Vereinbarung mit den USA, das sogenannte EU-US Privacy Shield, vorlegen. ... weiter
Das Bürgerbündnis für mehr Videoaufklärung und mehr Datenschutz hat einen Gesetzesentwurf für ein "Artikel-Gesetz für mehr Sicherheit und mehr Datenschutz in ... weiter
 
Datenschutz-Seminare (IHK) buchen. Termine, Seminarangebote, Anzahl freier Plätze einsehen. ...weiter
Bestellung eines externen Datenschutzbeauftragten. 
Datenschutzberatung für Ihr Unternehmen. ...weiter
© procado Consulting, IT- & Medienservice GmbH Kontakt | AGB | Impressum| Datenschutz | Home Adjustment CMS