EU-Standardvertragsklauseln auf dem Prüfstand

„Stellen die EU-Standardvertragsklauseln noch eine ausreichende Garantie hinsichtlich des Schutzes der Privatsphäre für eine Übermittlung personenbezogener Daten in Drittländer dar?“ Diese Frage legte der Oberste Irische Gerichtshof dem Europäischen Gerichtshof am 03.10.2017 vor.

Noch Fragen?
Wir bieten Hilfe zu allen Fragen auf dem Gebiet des Datenschutzrechts
0228 - 74 89 80

Hintergrund: Was sind Standardvertragsklauseln?

Infolge der Globalisierung werden Daten heutzutage regelmäßig an Dienstleister übermittelt, die ihren Sitz in einem Drittland außerhalb der Europäischen Union haben. In diesen Konstellationen gilt die Vermutung, dass diese Drittländer kein ausreichendes, europäischen Vorgaben entsprechendes Datenschutzniveau erfüllen, sofern nicht die EU-Kommission für das jeweilige Drittland ein angemessenes Datenschutzniveau anerkannt hat. Hervorzuheben ist dabei insbesondere die Stellung der USA, welche nicht zu den sog. „sicheren Drittländern“ zählen. Die Übermittlung personenbezogener Daten in nicht sichere Drittländer wäre grundsätzlich unzulässig.

Zur Herstellung eines angemessenen Datenschutzniveaus schuf man deshalb das Instrument der EU-Standardvertragsklauseln. Dabei handelt es sich um ein vorgefertigtes Vertragswerk der EU-Kommission mit Hilfe dessen vereinbart wird, sich dem europäischen Datenschutzniveau zu verpflichten. Unterschieden wird zwischen drei Versionen für Standardvertragsklauseln. Zum einen gibt es zwei verschiedene Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen (Controller-Controller-Transfer), die sich in der Haftung und Bindung an aufsichtsbehördliche Hinweise sowie die Gestaltungs- bzw. Ergänzungsspielräume unterscheiden. Zum anderen gibt es die Standardvertragsklauseln für die Datenübermittlung zwischen für die Verarbeitung Verantwortlichen und den nach deren Weisung handelnden Auftragsverarbeitern (Controller-Prozessor-Transfer). Das dadurch als sichergestellt geltende Datenschutzniveau ermöglicht somit die Datenübermittlung.

Weitere Instrumente der Datenübermittlung

Safe-Harbour-Abkommen

Mittlerweile überholt ist das Safe-Harbour-Abkommen, eine Übereinkunft zwischen den USA und der EU zur Sicherstellung eines angemessenen Datenschutzniveaus. Wenn US-Unternehmen sich den Prinzipien des Abkommens unterwarfen, galten sie als Unternehmen mit angemessenem Datenschutzniveau und wurden in die Liste des US Department of Commerce aufgenommen. Ein Zertifikat bescheinigte die Einhaltung des EU-Standards für ein Jahr.

Seit dem Urteil des EuGH vom 06.10.2015 gilt das Safe-Harbour-Abkommen als ungültig. Folge dessen ist, dass die Einhaltung eines angemessenen Datenschutzniveaus somit nicht mehr vermutet wird. Dem EuGH-Urteil zugrunde lag das Begehren eines Bürgers, ob die irische Datenschutzbehörde zu prüfen hat, inwieweit Facebook personenbezogene Daten in die USA übertragen darf. Der EuGH sah trotz der Unterwerfung Facebooks unter die Safe-Harbour-Regeln die Möglichkeit und sogar Verpflichtung der irischen Datenschutzbehörde die Einhaltung des Datenschutzniveaus zu überprüfen. Der EuGH kippte das Abkommen vor dem Hintergrund, dass US-Unternehmen europäisches Datenschutzniveau unter Umständen außer Acht hätten lassen müssen, falls US-Behörden den Zugriff auf die Daten aus Gründen der nationalen Sicherheit oder öffentlichen Interesses verlangt hätten. Dabei wären europäische Bürger gegen diese Maßnahmen ohne Rechtsbehelfe gewesen.

Der im zugrundeliegenden Verfahren als Kläger aufgetretene Max Schrems war der Auffassung, die Datenübermittlungen aus Europa in die USA und die folgenden Überwachungsmaßnahmen durch den amerikanischen Staat verstießen gegen EU-Recht. Bereits 2013 legte er gegen Facebook bei der irischen Datenschutzbehörde Beschwerde ein. Dieser wurde jedoch nicht abgeholfen, weshalb der Beschwerdesteller in der Folge erstmals vor den EuGH zog. Dieses Verfahren führte 2015 zur Auflösung des Safe Harbour Abkommens.

EU-US Privacy Shield

Als Nachfolger des Safe-Harbour-Abkommens einigten sich USA und EU auf einen neuen Datentransfermechanismus namens „EU-US Privacy Shield“. Es verpflichtet zur Einhaltung von Datenverarbeitungsstandards und begrenzt im Gegensatz zu Safe Harbour den Zugriff auf Daten von EU-Bürgern durch US-Behörden. Ferner werden Bürgern bei möglichen Verletzungen ihrer Rechte Rechtschutzmöglichkeiten in Form von Ombuds- und Schiedsverfahren bereitgestellt. Eine Überprüfung findet jährlich statt.

Auch das EU-US-Privacy-Shield stand kürzlich auf dem Prüfstand. Die EU Kommission entschied in ihrer ersten jährlichen Prüfung Mitte Oktober 2017, dass das Privacy-Shield einen ausreichenden Schutz personenbezogener Daten gewährleiste. In einem weiteren Verfahren geht Schrems nun gegen die weitere Möglichkeit der Datenübermittlung der Standardvertragsklauseln vor: Er behauptet, dass die irische Datenschutzaufsicht die Weitergabe seiner persönlichen Daten hätte durch Art. 4 der Standardvertragsklauseln verhindern können. Die irische Datenschutzaufsicht wehrte sich dagegen. Mit der Begründung, eine einseitige Anwendung des Stopps gegen Facebook würde gegen den Grundsatz der Gleichbehandlung verstoßen, zog die irische Datenschutzaufsicht vor Gericht. Nun landete die Sache vor dem EuGH.

Der Oberste Irische Gerichtshof begründet seine Zweifel am ausreichenden Schutz personenbezogener Daten von EU-Bürgern in den USA damit, dass der Rechtsschutz für europäische Bürger in den USA nur lückenhaft sei. Nach der EuGH-Entscheidung über das Safe-Harbour-Abkommen änderte sich an den Überwachungsgesetzen in den USA nichts. US-Geheimdienste haben weiterhin die Möglichkeit fast unbegrenzten Zugriffs auf personenbezogene Daten. Das europäische Datenschutzrecht müsse aber gerade einheitlich angewandt werden, um dem Schutzzweck gerecht zu werden.

EuGH-Entscheidung wird erwartet

Wie der EuGH entscheiden wird, ist derzeit noch nicht abzuschätzen. Er wird sich aber mit allen Kriterien des Datenschutzes befassen und beurteilen, welchen Sinn und Zweck strengere Datenschutzvorschriften der DSGVO haben, wenn sie in Drittländern nur auf dem Papier einzuhalten wären.

Aufgrund der durchschnittlichen Verfahrensdauer vor dem EuGH von etwa einem Jahr dürfte das Urteil noch auf sich warten lassen. Zu erwarten ist, dass im Fall der Unwirksamkeit der Standardvertragsklauseln seitens des Gerichts eine Alternative zum rechtskonformen Datenaustausch angeboten wird, um den angesprochenen Kreisen Hilfestellung zu rechtskonformem Handeln an die Hand zu geben. Möglich scheint auch, dass der EuGH die Standardvertragsklauseln beanstanden wird, aber der EU Kommission die Möglichkeit einräumt, die Klauseln nachzubessern, wie er es auch im Urteil über das Safe-Harbour-Abkommen gemacht hat.

Ausblick und mögliche Folgen einer Unwirksamkeit für Unternehmer

Standardvertragsklauseln sind das bislang am häufigsten genutzte Instrument für einen rechtssicheren Datentransfer in die USA. Insbesondere werden Standardvertragsklauseln von Unternehmen genutzt, die sich früher auf das Safe-Harbour-Abkommen stützten. Eine Unwirksamkeit der Standardvertragsklauseln wäre ein Desaster im Hinblick auf die erst im Mai 2018 in Kraft tretende Datenschutz-Grundverordnung. Denn diese nennt die Standardvertragsklauseln explizit als geeignetes Mittel zur Gewährleistung eines angemessenen Datenschutzniveaus bei dem Datentransfer in ein unsicheres Drittland.

Deshalb ist diese Entscheidung des EuGH nun für alle Unternehmen mit internationalem Datentransfer von essentieller Bedeutung. Unternehmen sollten jedenfalls schon jetzt gewarnt sein, rechtzeitig Alternativen zu entwickeln, um auch künftig ein hinreichendes Datenschutzniveau zu gewährleisten.