12.10.2017 EuGH überprüft EU-Standardvertragsklauseln

Rss-Feed abonnieren

Der Datentransfer in die USA könnte erneut eine wichtige rechtliche Grundlage verlieren. Nachdem der österreichische Jurist und Datenschützer Max Schrems bereits 2015 in seinem ersten Verfahren wegen der Weitergabe von Daten durch Facebook in Irland das Safe-Harbor-Abkommen zu Fall gebracht hatte, sollen jetzt die EU-Standardvertragsklauseln durch den Europäischen Gerichtshof (EuGH) überprüft werden.

EU-Standardverträge – was ist das?

EU-Standardverträge legitimieren den Datentransfer eines EU-Unternehmens in datenschutzrechtlich unsichere Länder, sogenannte unsichere Drittstaaten. Zu diesen Ländern zählen unter anderem die USA. In der ab Mai 2018 europaweit gültigen Datenschutz-Grundverordnung sind sie explizit als geeignetes Mittel aufgeführt, um bei einem solchen Datentransfer ein angemessenes Datenschutzniveau zu garantieren.

EU-Standardverträge sind die praktisch einzige rechtssichere Möglichkeit, bei Datenübermittlungen in die USA ein ausreichendes Datenschutzniveaus herzustellen. Zwar existiert seit Sommer 2016 mit dem EU-US Privacy Shield – der Nachfolger des gekippten Safe-Harbor-Abkommens – eine weitere Rechtsgrundlage für den Datentransfer. Doch auch der Privacy Shield wird teilweise heftig kritisiert und deshalb als alleinige Grundlage für Datentransfers in unsichere Drittstaaten von deutschen Datenschutzbehörden als nicht ausreichend erachtet.

Kein angemessener Schutz der Daten

Um zu verstehen, warum jetzt auch die EU-Standardverträge vor dem EuGH gelandet sind, lohnt ein Blick in die Vergangenheit. Nach einer Klage von Max Schrems hatte der EuGH die Rechtmäßigkeit von Safe Harbor zu prüfen.

Zu dem Abkommen führte der Gerichtshof damals aus (Urteil vom 6. Oktober 2015 hier abrufbar), dass der erlaubte Zugriff von Geheimdiensten und anderen Behörden auf Daten in den USA "den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt". US-Unternehmen seien verpflichtet, in Europa geltende Datenschutzregeln außer Acht zu lassen, wenn US-Behörden aus Gründen der nationalen Sicherheit bzw. des öffentlichen Interesses Zugriff auf persönliche Daten verlangen. Gleichzeitig gebe es für EU-Bürger keine Möglichkeit, per Rechtsbehelf die Löschung ihrer Daten zu verlangen. Das verletze "den Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz", so der EuGH.

An diesem Zustand hat sich nach Ansicht von Schrems seitdem nichts geändert, weil Überwachungsgesetze weiterhin den undifferenzierten Zugriff auf private Daten erlauben. Er hatte die irische Datenschutzbehörde nach der Safe-Harbor-Entscheidung daher aufgefordert, die Weitergabe seiner Daten in die USA zu stoppen. Es sei Aufgabe der irischen Datenschutzbehörde gewesen, von der in Artikel 4 der Standardvertragsklauseln vorgesehenen "Notfall Regelung" Gebrauch zu machen. Diese Regelung gibt Datenschützern die Möglichkeit, Datentransfers umgehend zu stoppen. Dagegen hatte sich die irische Datenschutzbehörde allerdings gewehrt und war selbst gegen die Standardvertragsklauseln vor Gericht gezogen. Begründung: Eine einseitige Anwendung des Stopps gegen Facebook verstoße gegen den Gleichbehandlungsgrundsatz.

Der Irische Oberste Gerichtshof verwies die Klage zur Klärung Anfang Oktober an den EuGH, der nun zu entscheiden hat.

Privacy Shield nicht betroffen
Von diesem Verfahren ist der Safe-Harbor-Nachfolger nicht betroffen. Sollte aber der EU-US Privacy Shield, der derzeit durch die EU erstmalig überprüft wird, ebenfalls für nichtig erklärt werden, werden Datentransfers von EU-Unternehmen in Drittländer mit einem Mal rechtswidrig. Als letzter Ausweg könnten dann nur noch sogenannte Binding Corporate Rules, also verbindliche Konzernregelungen, die innerhalb von Konzernen auszuhandeln und anschließend von der zuständigen Aufsichtsbehörde zu genehmigen sind, Abhilfe schaffen.

Betroffene Unternehmen müssen trotzdem nicht in Panik ausbrechen. Erstens ist mit einem Urteil des EuGH erst frühestens in einem Jahr zu rechnen. Zweitens ist es sehr unwahrscheinlich, dass bei einem negativen Urteil des Gerichtshofes keine Alternativen zu den Standardverträgen angeboten werden. Denn die EU-Kommission ist sich bewusst, welches wirtschaftliche Chaos entstehen würde, ließe man die Unternehmen mit ungültigen Standartvertragsklauseln alleine. (nl)

Quellen:

heise online vom 03.10.2017: Europäischer Gerichtshof muss erneut über Datenweitergabe in die USA entscheiden

heise online vom 06.10.2015: Datenschutz bei Facebook & Co.: EuGH erklärt Safe Harbor für ungültig

Netzpolitik vom 04.10.2017: NSA-Überwachung: Europäischer Gerichtshof muss Weitergabe privater Daten an USA prüfen

golem.de vom 04.10.2017: EuGH soll über Standardvertragsklauseln entscheiden

The Irish Times vom 03.10.2017: High Court asks ECJ to examine Facebook case


News

An Skandale hat sich die Öffentlichkeit beim Fahrdienst-Vermittler Uber inzwischen gewöhnt. Doch der jüngste Vorfall bei dem Start-up aus San Francisco schockiert ... weiter
Am 8. November 2017 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Berlin seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2017 ... weiter
Der Sächsische Datenschutzbeauftragte Andreas Schurig hat in seinem aktuellen Tätigkeitsbericht für den nicht-öffentlichen Bereich auf die Pflicht von ... weiter
Mit großer Mehrheit hat das EU-Parlament den Entwurf für eine E-Privacy-Verordnung verabschiedet . Damit wurde die Grundlage geschaffen für die Trilog-Verhandlungen ... weiter
Die EU-Kommission hat in der zweiten Oktoberhälfte ihren ersten Prüfbericht zum Stand der Umsetzung der Datenschutz-Vereinbarung mit den USA , der sog. EU-US Privacy ... weiter
 
Datenschutz-Seminare (IHK) buchen. Termine, Seminarangebote, Anzahl freier Plätze einsehen. ...weiter
Bestellung eines externen Datenschutzbeauftragten. 
Datenschutzberatung für Ihr Unternehmen. ...weiter
© procado Consulting, IT- & Medienservice GmbH Kontakt | AGB | Impressum| Datenschutz | Home Adjustment CMS