Oktober 2019 Blog

Über­tra­gung personen­be­zogener Da­ten in nicht-EU-Staaten jetzt prüfen!

Der EuGH befasst sich mit Datentransfers der Facebook Ireland Ltd. an ihre Mutter­gesellschaft in den USA auf Basis der EU-Standardvertragsklauseln. Die Entschei­dung kann wegweisende Bedeutung für Datentransfers in die USA sowie andere Drittländer erlangen.

Sachverhalt

Ausgangspunkt ist ein langjähriger Rechtsstreit zwischen Maximilian Schrems, einem österreichischen Datenschützer, und der Facebook Ireland Ltd. über die Zulässigkeit der Weiterleitung personenbezogener Daten europäischer Facebook-Nutzer an die amerikanische Mutter­gesellschaft Facebook Inc. Im Fokus des aktuellen Verfahrens stehen die sog. EU-Standardvertragsklauseln, von der EU-Kommission anerkannte Musterverträge. Sie sind die zentrale Rechtsgrundlage für Datenflüsse aus der EU in Drittstaaten. Zudem könnte auch die Zertifizierung der Facebook Inc. unter dem sog. „EU-US Privacy Shield“, dem Nachfolger von „Safe Harbor“ für Datentransfers in die USA, eine Rolle für die Entscheidung des Rechtsstreits spielen. Der irische High Court hat dem EuGH zu beiden Instrumenten eine Reihe ausgesprochen komplexer Fragen vorgelegt.

Mögliche Entscheidungsinhalte

Die Fragen des High Courts zielen auf eine Erläuterung der Maßstäbe für die Rechtmäßigkeit und auf die Klärung der Gültigkeit der Standard­­vertrags­klauseln ab. Zudem betreffen sie das Verhältnis zwischen Standard­daten­schutz­klauseln und dem Privacy Shield, der für Daten­transfers an hierunter zertifizierte Unternehmen in den USA ein adäquates Datenschutz­niveau anerkennt. Somit stehen sowohl die Standardvertrags­klauseln als zentrale Rechts­grund­­lage für Datentransfers in Drittländer als auch der Privacy Shield, der eine Vielzahl von Datenübermittlungen aus der EU in die USA betrifft, auf dem Prüfstand des EuGH.

Zwar strebt der Initiator des Ausgangsverfahrens, Maximilian Schrems, keine generelle Aufhebung der Standardvertragsklauseln an. Ihm geht es vielmehr darum, die irische Datenschutzbehörde zu einem Einschreiten gegen Facebooks Datentransfers auf Basis der Standardvertragsklauseln zu bewegen. Zudem hält er den Privacy Shield nicht für unionsrechtskonform. Die Bedenken der irischen Datenschutzbeauftragten hingegen, die auch Eingang in die Vorlagefragen des High Court gefunden haben, richten sich primär gegen die Wirksamkeit der Standardvertragsklauseln.

Mit Blick auf die Vorlagefragen und den bisherigen Prozessverlauf lässt sich nicht aus­schließen, dass der EuGH die Standardvertragsklauseln generell für ungültig erklärt. Dieses Schicksal erlitt 2015 auch die sog. „Safe Harbor“-Entscheidung, die Vorläuferin des „Privacy Shield“ als Rechtsgrundlage für Datentransfers aus der EU in die USA. Zentral hierfür war die Bewertung, dass kein hinreichender Schutz vor staatlichem Zugriff auf personen­bezogene Daten gewährleistet war. Auch mit einem Vertragspartner vereinbarte Standard­vertragsklauseln können keinen Schutz vor staatlichen Eingriffen bieten. 

Alternativ wäre denkbar, dass der EuGH zusätzliche Anforderungen an eine auf Standardvertragsklauseln basierte Datenübertragung definiert. Dann wären die Datenschutz­behörden der Mitgliedstaaten künftig dafür verantwortlich, die Wirksamkeit der Verein­barung im Einzelfall zu prüfen bzw. Datentransfers auf Grundlage der Standardvertrags­klauseln zu untersagen, wenn diese Voraussetzungen nicht vorliegen.

Schließlich ist auch noch weitgehend offen, ob und ggf. welche Relevanz die Europarichter dem „Privacy Shield“ und der Zertifizierung der Facebook Inc. hierunter beimessen werden. Es ist durchaus möglich, dass der EuGH in diesem Verfahren eine Aussage zur Gültigkeit dieser Entscheidung trifft.

Folgerungen für die Praxis

Auch wenn die mündliche Verhandlung im Juli 2019 noch nicht erkennen ließ, zu welcher Entscheidung – und welchem Entscheidungsumfang – die Richter des EuGH tendieren, sind Unternehmen gut beraten, das laufende Verfahren aufmerksam zu beobachten und für die eigenen Datentransfers einen Plan B zu entwickeln. Im Zeitalter von Globalisierung und Digitalisierung werden in nahezu jedem Unternehmen Daten in Drittstaaten übertragen. Diese Datenübertragungen sollten schon im Vorfeld einer Entscheidung identifiziert und näher geprüft werden. Sollten die Standardvertragsklauseln und/oder der Privacy Shield tatsächlich für ungültig erklärt werden, werden die hierauf gestützten Datentransfers unzulässig. Entsprechend können hohe Bußgelder nach DSGVO anfallen.

In einigen Fällen können die Datentransfers auch auf andere Rechtsgrundlagen gestützt werden. So etwa, wenn sie zur Durchführung eines Vertrags mit den Betroffenen erforderlich sind. Auch kann im Einzelfall – trotz Risiko eines Widerrufs - eine Einwilligungslösung in Betracht kommen. Schließlich sollten – sofern möglich - Vertragspartner in Drittstaaten durch solche im EU-In- oder Ausland ersetzt werden.

Ein wichtiger Termin ist insoweit der 12. Dezember 2019 – für dieses Datum werden die Schlussanträge des Generalanwalts erwartet. Dessen Ausführungen geben häufig – wenn auch nicht immer – die Richtung der Entscheidung vor. Die Entscheidung des EuGH wird für Anfang 2020 erwartet.

EuGH, Rs. C-311/18 – Facebook ./. Schrems (noch nicht entschieden)

Dr. Carolin Küll, LL.M., Rechtsanwältin
Düsseldorf

Anmeldung zum GvW Newsletter

Melden Sie sich hier zu unserem GvW Newsletter an - und wir halten Sie über die aktuellen Rechtsentwicklungen informiert!