Übertragung personenbezogener Daten in nicht-EU-Staaten jetzt prüfen!
Der EuGH befasst sich mit Datentransfers der Facebook Ireland Ltd. an ihre Muttergesellschaft in den USA auf Basis der EU-Standardvertragsklauseln. Die Entscheidung kann wegweisende Bedeutung für Datentransfers in die USA sowie andere Drittländer erlangen.
Sachverhalt
Ausgangspunkt ist ein langjähriger Rechtsstreit zwischen Maximilian Schrems, einem österreichischen Datenschützer, und der Facebook Ireland Ltd. über die Zulässigkeit der Weiterleitung personenbezogener Daten europäischer Facebook-Nutzer an die amerikanische Muttergesellschaft Facebook Inc. Im Fokus des aktuellen Verfahrens stehen die sog. EU-Standardvertragsklauseln, von der EU-Kommission anerkannte Musterverträge. Sie sind die zentrale Rechtsgrundlage für Datenflüsse aus der EU in Drittstaaten. Zudem könnte auch die Zertifizierung der Facebook Inc. unter dem sog. „EU-US Privacy Shield“, dem Nachfolger von „Safe Harbor“ für Datentransfers in die USA, eine Rolle für die Entscheidung des Rechtsstreits spielen. Der irische High Court hat dem EuGH zu beiden Instrumenten eine Reihe ausgesprochen komplexer Fragen vorgelegt.
Mögliche Entscheidungsinhalte
Die Fragen des High Courts zielen auf eine Erläuterung der Maßstäbe für die Rechtmäßigkeit und auf die Klärung der Gültigkeit der Standardvertragsklauseln ab. Zudem betreffen sie das Verhältnis zwischen Standarddatenschutzklauseln und dem Privacy Shield, der für Datentransfers an hierunter zertifizierte Unternehmen in den USA ein adäquates Datenschutzniveau anerkennt. Somit stehen sowohl die Standardvertragsklauseln als zentrale Rechtsgrundlage für Datentransfers in Drittländer als auch der Privacy Shield, der eine Vielzahl von Datenübermittlungen aus der EU in die USA betrifft, auf dem Prüfstand des EuGH.
Zwar strebt der Initiator des Ausgangsverfahrens, Maximilian Schrems, keine generelle Aufhebung der Standardvertragsklauseln an. Ihm geht es vielmehr darum, die irische Datenschutzbehörde zu einem Einschreiten gegen Facebooks Datentransfers auf Basis der Standardvertragsklauseln zu bewegen. Zudem hält er den Privacy Shield nicht für unionsrechtskonform. Die Bedenken der irischen Datenschutzbeauftragten hingegen, die auch Eingang in die Vorlagefragen des High Court gefunden haben, richten sich primär gegen die Wirksamkeit der Standardvertragsklauseln.
Mit Blick auf die Vorlagefragen und den bisherigen Prozessverlauf lässt sich nicht ausschließen, dass der EuGH die Standardvertragsklauseln generell für ungültig erklärt. Dieses Schicksal erlitt 2015 auch die sog. „Safe Harbor“-Entscheidung, die Vorläuferin des „Privacy Shield“ als Rechtsgrundlage für Datentransfers aus der EU in die USA. Zentral hierfür war die Bewertung, dass kein hinreichender Schutz vor staatlichem Zugriff auf personenbezogene Daten gewährleistet war. Auch mit einem Vertragspartner vereinbarte Standardvertragsklauseln können keinen Schutz vor staatlichen Eingriffen bieten.
Alternativ wäre denkbar, dass der EuGH zusätzliche Anforderungen an eine auf Standardvertragsklauseln basierte Datenübertragung definiert. Dann wären die Datenschutzbehörden der Mitgliedstaaten künftig dafür verantwortlich, die Wirksamkeit der Vereinbarung im Einzelfall zu prüfen bzw. Datentransfers auf Grundlage der Standardvertragsklauseln zu untersagen, wenn diese Voraussetzungen nicht vorliegen.
Schließlich ist auch noch weitgehend offen, ob und ggf. welche Relevanz die Europarichter dem „Privacy Shield“ und der Zertifizierung der Facebook Inc. hierunter beimessen werden. Es ist durchaus möglich, dass der EuGH in diesem Verfahren eine Aussage zur Gültigkeit dieser Entscheidung trifft.
Folgerungen für die Praxis
Auch wenn die mündliche Verhandlung im Juli 2019 noch nicht erkennen ließ, zu welcher Entscheidung – und welchem Entscheidungsumfang – die Richter des EuGH tendieren, sind Unternehmen gut beraten, das laufende Verfahren aufmerksam zu beobachten und für die eigenen Datentransfers einen Plan B zu entwickeln. Im Zeitalter von Globalisierung und Digitalisierung werden in nahezu jedem Unternehmen Daten in Drittstaaten übertragen. Diese Datenübertragungen sollten schon im Vorfeld einer Entscheidung identifiziert und näher geprüft werden. Sollten die Standardvertragsklauseln und/oder der Privacy Shield tatsächlich für ungültig erklärt werden, werden die hierauf gestützten Datentransfers unzulässig. Entsprechend können hohe Bußgelder nach DSGVO anfallen.
In einigen Fällen können die Datentransfers auch auf andere Rechtsgrundlagen gestützt werden. So etwa, wenn sie zur Durchführung eines Vertrags mit den Betroffenen erforderlich sind. Auch kann im Einzelfall – trotz Risiko eines Widerrufs - eine Einwilligungslösung in Betracht kommen. Schließlich sollten – sofern möglich - Vertragspartner in Drittstaaten durch solche im EU-In- oder Ausland ersetzt werden.
Ein wichtiger Termin ist insoweit der 12. Dezember 2019 – für dieses Datum werden die Schlussanträge des Generalanwalts erwartet. Dessen Ausführungen geben häufig – wenn auch nicht immer – die Richtung der Entscheidung vor. Die Entscheidung des EuGH wird für Anfang 2020 erwartet.
EuGH, Rs. C-311/18 – Facebook ./. Schrems (noch nicht entschieden)
Dr. Carolin Küll, LL.M., Rechtsanwältin
Düsseldorf