linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

EuGH überprüft EU-Standardvertragsklauseln

Der Datentransfer in die USA könnte erneut eine wichtige rechtliche Grundlage verlieren. Nachdem der österreichische Jurist und Datenschützer Max Schrems bereits 2015 in seinem ersten Verfahren wegen der Weitergabe von Daten durch Facebook in Irland das Safe-Harbor-Abkommen zu Fall gebracht hatte, sollen jetzt die EU-Standardvertragsklauseln durch den Europäischen Gerichtshof (EuGH) überprüft werden.

EU-Standardverträge – was ist das?
EU-Standardverträge legitimieren den Datentransfer eines EU-Unternehmens in datenschutzrechtlich unsichere Länder, sogenannte unsichere Drittstaaten. Zu diesen Ländern zählen unter anderem die USA. In der ab Mai 2018 europaweit gültigen Datenschutz-Grundverordnung sind sie explizit als geeignetes Mittel aufgeführt, um bei einem solchen Datentransfer ein angemessenes Datenschutzniveau zu garantieren.

EU-Standardverträge sind die praktisch einzige rechtssichere Möglichkeit, bei Datenübermittlungen in die USA ein ausreichendes Datenschutzniveaus herzustellen. Zwar existiert seit Sommer 2016 mit dem EU-US Privacy Shield – der Nachfolger des gekippten Safe-Harbor-Abkommens – eine weitere Rechtsgrundlage für den Datentransfer. Doch auch der Privacy Shield wird teilweise heftig kritisiert und deshalb als alleinige Grundlage für Datentransfers in unsichere Drittstaaten von deutschen Datenschutzbehörden als nicht ausreichend erachtet.

Kein angemessener Schutz der Daten
Um zu verstehen, warum jetzt auch die EU-Standardverträge vor dem EuGH gelandet sind, lohnt ein Blick in die Vergangenheit. Nach einer Klage von Max Schrems hatte der EuGH die Rechtmäßigkeit von Safe Harbor zu prüfen.

Zu dem Abkommen führte der Gerichtshof damals aus (Urteil vom 6. Oktober 2015), dass der erlaubte Zugriff von Geheimdiensten und anderen Behörden auf Daten in den USA „den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt“. US-Unternehmen seien verpflichtet, in Europa geltende Datenschutzregeln außer Acht zu lassen, wenn US-Behörden aus Gründen der nationalen Sicherheit bzw. des öffentlichen Interesses Zugriff auf persönliche Daten verlangen. Gleichzeitig gebe es für EU-Bürger keine Möglichkeit, per Rechtsbehelf die Löschung ihrer Daten zu verlangen. Das verletze „den Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz“, so der EuGH.

An diesem Zustand hat sich nach Ansicht von Schrems seitdem nichts geändert, weil Überwachungsgesetze weiterhin den undifferenzierten Zugriff auf private Daten erlauben. Er hatte die irische Datenschutzbehörde nach der Safe-Harbor-Entscheidung daher aufgefordert, die Weitergabe seiner Daten in die USA zu stoppen. Es sei Aufgabe der irischen Datenschutzbehörde gewesen, von der in Artikel 4 der Standardvertragsklauseln vorgesehenen „Notfall Regelung“ Gebrauch zu machen. Diese Regelung gibt Datenschützern die Möglichkeit, Datentransfers umgehend zu stoppen. Dagegen hatte sich die irische Datenschutzbehörde allerdings gewehrt und war selbst gegen die Standardvertragsklauseln vor Gericht gezogen. Begründung: Eine einseitige Anwendung des Stopps gegen Facebook verstoße gegen den Gleichbehandlungsgrundsatz.

Der Irische Oberste Gerichtshof verwies die Klage zur Klärung Anfang Oktober an den EuGH, der nun zu entscheiden hat.

Privacy Shield nicht betroffen
Von diesem Verfahren ist der Safe-Harbor-Nachfolger nicht betroffen. Sollte aber der EU-US Privacy Shield, der derzeit durch die EU erstmalig überprüft wird, ebenfalls für nichtig erklärt werden, werden Datentransfers von EU-Unternehmen in Drittländer mit einem Mal rechtswidrig. Als letzter Ausweg könnten dann nur noch sogenannte Binding Corporate Rules, also verbindliche Konzernregelungen, die innerhalb von Konzernen auszuhandeln und anschließend von der zuständigen Aufsichtsbehörde zu genehmigen sind, Abhilfe schaffen.

Betroffene Unternehmen müssen trotzdem nicht in Panik ausbrechen. Erstens ist mit einem Urteil des EuGH erst frühestens in einem Jahr zu rechnen. Zweitens ist es sehr unwahrscheinlich, dass bei einem negativen Urteil des Gerichtshofes keine Alternativen zu den Standardverträgen angeboten werden. Denn die EU-Kommission ist sich bewusst, welches wirtschaftliche Chaos entstehen würde, ließe man die Unternehmen mit ungültigen Standartvertragsklauseln alleine. (nl)

Quellen:

heise online vom 03.10.2017: Europäischer Gerichtshof muss erneut über Datenweitergabe in die USA entscheiden
heise online vom 06.10.2015: Datenschutz bei Facebook & Co.: EuGH erklärt Safe Harbor für ungültig
Netzpolitik vom 04.10.2017: NSA-Überwachung: Europäischer Gerichtshof muss Weitergabe privater Daten an USA prüfen
golem.de vom 04.10.2017: EuGH soll über Standardvertragsklauseln entscheiden
The Irish Times vom 03.10.2017: High Court asks ECJ to examine Facebook case

Hackerangriff auf Yahoo von 2013 traf alle drei Milliarden NutzerDatenschutzkonferenz formuliert Grundsatzpositionen zum Datenschutz für die...