Werden nun auch die EU-Standardvertragsklauseln aufgehoben?

Das Ende des internationalen Datentransfers

Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Maximilian Schrems schlägt wieder zu: Nachdem der EUGH im Oktober 2015 das Safe-Harbor-Abkommen aufgrund der Klage des damaligen Jura-Studenten gekippt hat, geht der heutige Rechtsanwalt gegen die EU-Standardvertragsklausel für die Datenübermittlung vor.

Der Oberste Irische Gerichtshof (High Court) hat nun den EuGH angerufen, um über die Wirksamkeit der EU-Standardvertragsklauseln zu entscheiden. Werden die EU-Standardvertragsklauseln aufgehoben, fehlt eine Rechtsgrundlage, mit der personenbezogene Daten aus der EU heraus in Drittstaaten übermittelt werden können.

Nicht nur Staaten, sondern auch Unternehmen müssen sich an eine Vielzahl von Gesetzesvorgaben halten, wenn es um in ihrem Besitz befindliche personenbezogene Daten geht.
Nicht nur Staaten, sondern auch Unternehmen müssen sich an eine Vielzahl von Gesetzesvorgaben halten, wenn es um in ihrem Besitz befindliche personenbezogene Daten geht.
Foto: franz12 - shutterstock.com

Grundlage des Verfahrens in Irland ist erneut eine Auseinandersetzung zwischen Maximilian Schrems und Facebook darüber, ob die Übermittlung personenbezogener Daten durch Facebook in die USA zulässig ist. Auf Initiative von Maximilian Schrems hat der EuGH bereits das Safe-Harbor-Abkommen aufgehoben, weil die personenbezogenen Daten in den USA nicht ausreichend geschützt werden.
Der EuGH hat seine Entscheidung im Wesentlichen auf die folgenden Punkte gestützt: Die nationalen Behörden insbesondere die Nachrichtendienste der USA werden durch das Safe-Harbor Abkommen nicht verpflichtet, die Datenschutzgrundsätze des Abkommens einzuhalten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA Vorrang vor den Grundsätzen des Safe Harbor Abkommens.

Unternehmen, die die Safe Harbor Grundsätze umsetzen wollen, bleiben damit dennoch verpflichtet, die nationalen Gesetze der USA anzuwenden, soweit die Datenschutzgrundsätze im Konflikt mit jenen höherrangigen Interessen stehen. Letztlich werden dadurch Eingriffe der US-Behörden in die Grundrechte der europäischen Bürger gestattet, ohne dass die Entscheidung der Europäischen Kommission feststellt, dass es in den USA effektive Schutzmechanismen zur Wahrung der Interessen der europäischen Bürger gibt - etwa einen wirksamen gerichtlichen Rechtsschutz oder ein Informationsrecht über Art und Weise der Datenverarbeitung.

Infolge des Urteils haben die USA und die EU mit dem EU-US Privacy Shield ein Abkommen geschaffen, das die Nachfolge von Safe Harbor antreten soll. Das EU-US Privacy Shield adressiert die vom EuGH in seiner Safe Harbor Entscheidung aufgeworfenen Kritikpunkte. Jedoch ist das Nachfolgeabkommen bereits angegriffen worden und der EuGH muss in naher Zukunft auch über dessen Wirksamkeit entscheiden.

Unbeachtet von dem Safe-Harbor Abkommen sind die EU-Standardvertragsklauseln weiterhin angewendet worden. Maximilian Schrems ist weiterhin der Ansicht, dass in den USA kein angemessenes Datenschutzniveau herrscht, da dort etwa die Ermittlungsbehörden und die Geheimdienste umfangreiche Überwachungsbefugnisse haben.

Die EU-Kommission hat das Urteil des EuGH zum Safe Harbor Abkommen nicht zum Anlass genommen, die EU-Standardvertragsklauseln zu überarbeiten, trotz dem die Kritikpunkte des EuGH grundsätzlich auch die EU-Standardvertragsklauseln betreffen. Denn der Regelungsmechanismus zwischen Safe-Harbor und den EU-Standardvertragsklauseln ist weitgehend identisch.
Besonders brisant ist, dass anders als bei Safe-Harbor die EU-Standardvertragsklauseln nicht nur den Datentransfer zwischen der EU und den USA, sondern zwischen der EU und allen anderen Drittländern betreffen.

Bedeutung der EU-Standardvertragsklauseln

Möchte eine verantwortliche Stelle personenbezogene Daten an eine andere Stelle außerhalb der Europäischen Union übermitteln, bedarf dies neben den üblichen Rechtmäßigkeitsvoraussetzungen, zum Beispiel einer Einwilligung oder einer gesetzlichen Erlaubnis, zusätzlicher Gewährleistungen eines angemessenen Datenschutzniveaus im Empfängerland. Dies trägt dem Umstand Rechnung, dass die personenbezogenen Daten, wenn diese die Europäische Union verlassen haben, in einem Umfeld verarbeitet werden, das den Datenschutz gegebenenfalls nicht in gleichem Maß Rechnung trägt.
Die personenbezogenen Daten der Betroffenen wären dann also schlechter geschützt, als dies bei einer Verarbeitung innerhalb der Europäischen Union der Fall wäre.

Deshalb verlangt das europäische Datenschutzrecht, dass im Empfängerland ein angemessenes Datenschutzniveau herrscht. Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, muss der Datenexporteur individuelle Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau herzustellen. Hierfür können Datenexporteur und Datenimporteur auf die EU-Standardvertragsklauseln zurückgreifen.
Die EU-Standardvertragsklausel enthalten Regelungen für den Umgang mit personenbezogenen Daten, die dann individuell zwischen Datenexporteur und Datenimporteur wirksam werden. Dadurch wird in diesem bilateralen Verhältnis ein angemessenes Datenschutzniveau geschaffen, welches den Datentransfer legitimiert.

Inhalt dieses Artikels