Werden nun auch die EU-Standardvertragsklauseln aufgehoben?

Das Ende des internationalen Datentransfers

19.10.2017 von Christian  Kuss und Michael Rath  
Maximilian Schrems schlägt wieder zu: Nachdem der EUGH im Oktober 2015 das Safe-Harbor-Abkommen aufgrund der Klage des damaligen Jura-Studenten gekippt hat, geht der heutige Rechtsanwalt gegen die EU-Standardvertragsklausel für die Datenübermittlung vor.

Der Oberste Irische Gerichtshof (High Court) hat nun den EuGH angerufen, um über die Wirksamkeit der EU-Standardvertragsklauseln zu entscheiden. Werden die EU-Standardvertragsklauseln aufgehoben, fehlt eine Rechtsgrundlage, mit der personenbezogene Daten aus der EU heraus in Drittstaaten übermittelt werden können.

Nicht nur Staaten, sondern auch Unternehmen müssen sich an eine Vielzahl von Gesetzesvorgaben halten, wenn es um in ihrem Besitz befindliche personenbezogene Daten geht.
Foto: franz12 - shutterstock.com

Grundlage des Verfahrens in Irland ist erneut eine Auseinandersetzung zwischen Maximilian Schrems und Facebook darüber, ob die Übermittlung personenbezogener Daten durch Facebook in die USA zulässig ist. Auf Initiative von Maximilian Schrems hat der EuGH bereits das Safe-Harbor-Abkommen aufgehoben, weil die personenbezogenen Daten in den USA nicht ausreichend geschützt werden.
Der EuGH hat seine Entscheidung im Wesentlichen auf die folgenden Punkte gestützt: Die nationalen Behörden insbesondere die Nachrichtendienste der USA werden durch das Safe-Harbor Abkommen nicht verpflichtet, die Datenschutzgrundsätze des Abkommens einzuhalten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA Vorrang vor den Grundsätzen des Safe Harbor Abkommens.

Unternehmen, die die Safe Harbor Grundsätze umsetzen wollen, bleiben damit dennoch verpflichtet, die nationalen Gesetze der USA anzuwenden, soweit die Datenschutzgrundsätze im Konflikt mit jenen höherrangigen Interessen stehen. Letztlich werden dadurch Eingriffe der US-Behörden in die Grundrechte der europäischen Bürger gestattet, ohne dass die Entscheidung der Europäischen Kommission feststellt, dass es in den USA effektive Schutzmechanismen zur Wahrung der Interessen der europäischen Bürger gibt - etwa einen wirksamen gerichtlichen Rechtsschutz oder ein Informationsrecht über Art und Weise der Datenverarbeitung.

Infolge des Urteils haben die USA und die EU mit dem EU-US Privacy Shield ein Abkommen geschaffen, das die Nachfolge von Safe Harbor antreten soll. Das EU-US Privacy Shield adressiert die vom EuGH in seiner Safe Harbor Entscheidung aufgeworfenen Kritikpunkte. Jedoch ist das Nachfolgeabkommen bereits angegriffen worden und der EuGH muss in naher Zukunft auch über dessen Wirksamkeit entscheiden.

Unbeachtet von dem Safe-Harbor Abkommen sind die EU-Standardvertragsklauseln weiterhin angewendet worden. Maximilian Schrems ist weiterhin der Ansicht, dass in den USA kein angemessenes Datenschutzniveau herrscht, da dort etwa die Ermittlungsbehörden und die Geheimdienste umfangreiche Überwachungsbefugnisse haben.

Die EU-Kommission hat das Urteil des EuGH zum Safe Harbor Abkommen nicht zum Anlass genommen, die EU-Standardvertragsklauseln zu überarbeiten, trotz dem die Kritikpunkte des EuGH grundsätzlich auch die EU-Standardvertragsklauseln betreffen. Denn der Regelungsmechanismus zwischen Safe-Harbor und den EU-Standardvertragsklauseln ist weitgehend identisch.
Besonders brisant ist, dass anders als bei Safe-Harbor die EU-Standardvertragsklauseln nicht nur den Datentransfer zwischen der EU und den USA, sondern zwischen der EU und allen anderen Drittländern betreffen.

Bedeutung der EU-Standardvertragsklauseln

Möchte eine verantwortliche Stelle personenbezogene Daten an eine andere Stelle außerhalb der Europäischen Union übermitteln, bedarf dies neben den üblichen Rechtmäßigkeitsvoraussetzungen, zum Beispiel einer Einwilligung oder einer gesetzlichen Erlaubnis, zusätzlicher Gewährleistungen eines angemessenen Datenschutzniveaus im Empfängerland. Dies trägt dem Umstand Rechnung, dass die personenbezogenen Daten, wenn diese die Europäische Union verlassen haben, in einem Umfeld verarbeitet werden, das den Datenschutz gegebenenfalls nicht in gleichem Maß Rechnung trägt.
Die personenbezogenen Daten der Betroffenen wären dann also schlechter geschützt, als dies bei einer Verarbeitung innerhalb der Europäischen Union der Fall wäre.

Deshalb verlangt das europäische Datenschutzrecht, dass im Empfängerland ein angemessenes Datenschutzniveau herrscht. Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, muss der Datenexporteur individuelle Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau herzustellen. Hierfür können Datenexporteur und Datenimporteur auf die EU-Standardvertragsklauseln zurückgreifen.
Die EU-Standardvertragsklausel enthalten Regelungen für den Umgang mit personenbezogenen Daten, die dann individuell zwischen Datenexporteur und Datenimporteur wirksam werden. Dadurch wird in diesem bilateralen Verhältnis ein angemessenes Datenschutzniveau geschaffen, welches den Datentransfer legitimiert.

Überprüfung der Standardvertragsklauseln

Der irische High Court bezweifelt nun, ob die EU Standardvertragsklauseln rechtmäßig sind. Nach Ansicht des Gerichtshofs steht die Vereinbarkeit der Standardvertragsklauseln mit dem Schutz der Privatsphäre und dem Schutz von personenbezogenen Daten nach der EU Grundrechte Charta in Frage. Denn in den USA fehle es an wirksamen Maßnahmen, mit denen EU-Bürger den Schutz der sie betreffenden personenbezogenen Daten in den USA begehren und durchsetzen können. Damit stellt der irische High Court auf die Argumentation des EuGH in dessen Entscheidung zu Safe Harbor ab. Es ist daher sehr wahrscheinlich, dass der EuGH auch die EU-Standardvertragsklauseln beanstanden wird.

Mögliche Auswirkungen des Urteils

Eine Unwirksamkeit der Standardvertragsklauseln hätte große Auswirkungen. Nicht nur für Facebook, sondern ebenfalls für eine Vielzahl anderer Unternehmen in Deutschland. Ein Großteil der Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln, setzen auf die EU Standardvertragsklauseln als Rechtsgrundlage. Würde diese Rechtsgrundlage für unwirksam erklärt werden, wäre es in den meisten Fällen unzulässig, personenbezogene Daten in Drittstaaten zu übermitteln.

Um diesen Datentransfer zu legitimieren, müssten dann aufwändigere Maßnahmen ergriffen werden. Zum Beispiel könnten die Betroffenen ausdrücklich in den Datentransfer einwilligen. Oder, für den konzerninternen Datentransfer, könnten verbindliche Unternehmensrichtlinien (sogenannte Binding Corporate Rules) erlassen werden. Wichtig ist, dass die Unwirksamkeit der EU-Standardvertragsklauseln nicht nur den Datentransfer in die USA, sondern in sämtliche Drittstaaten betreffen würde.

EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Wahrscheinlicher ist jedoch, dass der EuGH die EU-Standardvertragsklauseln zwar beanstanden wird, der EU Kommission aber Zeit für Nachbesserungen einräumen wird. So hat der EuGH im Fall des Safe Harbor Abkommens entschieden. Allerdings ist es wahrscheinlich, dass der EuGH nach den Erfahrungen mit dem EU-US Privacy Shield strengere Vorgaben für die Nachbesserungen äußern wird. Insofern hätte ein Urteil schwerwiegende Folgen für die Praxis.