Nächste Runde im Fall Max Schrems. Nach dem Safe Harbor-Abkommen könnte der EuGH nun auch die Musterverträge zum Datenschutz kippen, auf die sich viele Unternehmen berufen. Der Irische High Court teilt die Bedenken der Datenschützer.
Max Schrems hat wieder zugeschlagen. Bedingt durch die Beschwerde des ehemaligen Jurastudenten und heutigen Anwalts hat sich der irische oberste Gerichtshof wiederum mit Facebook und den Schwächen des US-amerikanischen Datenschutzes beschäftigt und will nun knifflige Vorlagefragen an den Europäischen Gerichtshof (EuGH) weiterleiten.
Diese Vorlagefragen könnten dazu führen, dass die US-amerikanische Regierung (endlich) eine Ohrfeige in Sachen Datentransfer bekommt und zumindest die Standardverträge gestrichen werden. Schrems hatte schon in der Vergangenheit Facebook gequält, indem er die EU-Behörden mit einem EuGH-Urteil dazu zwang, das ganze Thema des Datenschutzverhältnisses zwischen der EU und den USA neu zu verhandeln.
"Safe Harbor" hat der EuGH bereits gekippt
Problematisch ist die Datenübermittlung in die USA, da diese ein Drittland sind, welches kein mit europäischen Standards vergleichbares Datenschutzrechtsniveau bietet. Deshalb wurde der personenbezogene Datenaustausch bis 2015 auf das sogenannte Safe Harbor-Abkommen gestützt. Dieses Abkommen zwischen den USA und der EU beruhte auf Art. 25 Abs. 6 der Europäischen Datenschutzrichtlinie.
Demnach reicht es aus, wenn sich ein Drittland, welches die europäischen Datenschutzstandards nach dortiger Rechtslage nicht garantieren kann, dazu verpflichtet, die internationalen Regelungen zur Einhaltung eines angemessenen Schutzniveaus einzuhalten.
Parallel zu Safe Harbor arbeitete man hektisch an einer Entwicklung von Musterverträgen, die den vertraglichen Beziehungen zwischen übermittelnder Stelle und dem Empfänger in den USA zugrunde gelegt werden können. Mitte 2001 kam es zur Verabschiedung von zwei Standardvertragsklauseln, erstens für die Übermittlung personenbezogener Daten an Empfänger in Drittländern und zweitens zur Übermittlung an Auftragsdatenverarbeiter in Drittländern.
Das Safe Harbor-Abkommen wurde durch das Urteil des EuGH vom 6. Oktober 2015 aufgehoben, da es nach Ansicht des EuGH gegen die europäische Grundrechtecharta (GRCh) verstößt. Die Frage, ob Datenübermittlungen weiterhin auf sogenannte EU-Standardvertragsklauseln gestützt werden können, ließ der EuGH unbeantwortet.
"Privacy Shield" sollte die neue Grundlage für den Datenaustausch werden
Im Februar 2016 wurde durch die EU-Kommission der sogenannte EU-US-Privacy Shield vorgestellt und am 12. Juli desselben Jahres, nachdem die EU-Staaten mehrheitlich für ihn stimmten, beschlossen.
Dieses Datenschutzschild soll nun anstelle des Safe Harbor-Abkommens die neue rechtliche Grundlage für den personenbezogenen Datenaustausch in die USA darstellen. Inhalt des Privacy-Shields ist die Verpflichtung zur Selbstzertifizierung der US-Unternehmen, gewisse Datenschutzanforderungen einzuhalten.
Zudem wurden erstmals Rechtsschutzmöglichkeiten für Betroffene gegen Unternehmen mit Sitz in den USA geschaffen, sodass dort ein angemessenes Datenschutzniveau angenommen wird, sobald EU-Bürger gegen US-Unternehmen klagen können. Ob dies allerdings mit den bestehenden prozessualen Vorschriften in den Vereinigten Staaten vereinbar ist, bleibt fraglich.
Allerdings benutzen Unternehmen wie Facebook nicht den Privacy Shield, sondern versuchen, mit den alten Standardverträgen zu argumentieren.
2/2 Facebook und Co bleiben bei den alten Standardverträgen
Die Musterverträge für den grenzüberschreitenden Datenaustausch mit dem Nicht-EU-Ausland traten 2010 in Kraft. Damit wurde der Ausweitung von Datenverarbeitungstätigkeiten und neuen Geschäftsmodellen für die internationale Verarbeitung personenbezogener Daten Rechnung getragen. Der Beschluss enthält besondere Bestimmungen, wonach unter bestimmten Bedingungen sowie unter Wahrung des Schutzes personenbezogener Daten die Auslagerung von Verarbeitungstätigkeiten an Unterauftragnehmer zulässig ist.
Danach muss ein Datenimporteur (Datenverarbeiter), der im Auftrag des in der EU ansässigen Datenexporteurs (dem für die Datenverarbeitung Verantwortlichen) durchzuführende Verarbeitungen weitervergeben möchte, vorher die schriftliche Einwilligung des Datenexporteurs einholen. Dem Unterauftragsverarbeiter werden in einer schriftlichen Vereinbarung die gleichen Pflichten auferlegt, die der Datenimporteur gem. den Standardvertragsklauseln erfüllen muss.
Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters uneingeschränkt verantwortlich.
Darüber hinaus umfasst die Unterauftragsverarbeitung ausschließlich die Verarbeitungstätigkeiten, die im ursprünglichen Vertrag zwischen dem Datenexporteur aus der EU und dem Datenimporteur vereinbart wurden. Bestehende Verträge, die auf der Grundlage der durch die Entscheidung 2002/16/EG genehmigten Klauseln geschlossen wurden, bleiben so lange gültig, wie die Übermittlung und die Datenverarbeitungstätigkeiten unverändert fortgeführt werden.
"This is an unusual case"
Die irische High Court-Richterin Caroline Costello gab mit einem 150 Seiten starken Beschluss nun den Bedenken des irischen Datenschutzbeauftragten in Sachen Facebook und Standardverträgen recht.
Mit den Anfangsworten "This is an unusual case" bekräftigte sie, es gebe begründete Hinweise darauf, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehle. Die Daten könnten gefährdet sein, weil sie US-Behörden zugänglich gemacht und dort verarbeitet würden. Dies wiederum könne nach Art. 7, 8 und 47 der EU – Grundrechtecharta unvereinbar mit europäischem Recht sein.
Dann holte der High Court weit aus und schilderte den Stand des US-amerikanischen Datenschutzrechts im Vergleich zum europäischen Datenschutzrecht ebenso wie die die Verfolgung von Edward Snowden. Nach Anhörung zahlreicher Sachverständiger bekräftigte die Richterin, dass vor allem der Rechtsschutz europäischer Bürger in den USA fragmentarisch sei und auch die Zugriffsmöglichkeiten der US Geheimdienste nur als grenzenlos bezeichnet werden könne.
Fallen die Standardklauseln? Das wäre der GAU für viele Unternehmen
Der High Court argumentiert, dass die Datenschutzvorgaben in der EU einheitlich angewandt werden müssten. Nur damit könne verhindert werden, dass die Erlaubnis für Datentransfers von individuellen Entscheidungen nationaler Datenschutzbehörden auf Basis individueller Fälle abhänge. Deshalb müsse der Fall dem europäischen Gerichtshof vorgelegt werden, der nicht durch die Entscheidungen der Kommission in Sachen Privacy Shield gebunden sei.
Auch ungewöhnlich war Costellos Bitte um Formulierungsvorschläge der Parteien zu den an den EuGH zu richtenden klärungsbedürftigen Rechtsfragen. Im Streit stehen daher nur die Standardvertragsklauseln, die in der Vergangenheit zur Geheimwaffe der Datenindustrie geworden sind. Diese Standardvertragsklauseln sind nie übererarbeitet worden, selbst als der EuGH und andere Gerichte Bedenken gegen das Datenschutzniveau in den USA äußerte.
Sollten die Standardvertragsklauseln fallen, droht vielen Unternehmen der Datenschutzgau. Sie könnten nur noch Daten in die USA nach Maßgabe genehmigter Verhaltensregeln oder aufgrund genehmigter Zertifizierungsmechanismen vornehmen.
Es bleibt aber selbst dann noch das Risiko, dass der EuGH zu dem Ergebnis kommt, dass aufgrund der Zugriffsmöglichkeiten der US-Geheimdienste sowie unzureichender Rechtsbehelfe für EU-Bürger kein hinreichender Schutz der Daten in den USA gegeben ist. Dann würden sich die Probleme angesichts eines solchen totalen Fallout potenzieren.
Der Autor Prof. Dr. Thomas Hoeren ist Professor an der WWU Münster und Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht (Landeskompetenzzentrum).
Prof. Dr. Thomas Hoeren, Irischer High Court legt EuGH vor: Fallen nach "Safe Harbor" auch die Standardverträge? . In: Legal Tribune Online, 11.10.2017 , https://www.lto.de/persistent/a_id/24951/ (abgerufen am: 19.03.2024 )
Infos zum Zitiervorschlag