Datenfluss aus der EU vor dem EuGH: Standardvertragsklauseln /Privacy Shield im Kreuzfeuer

von Dr. Axel Spies, veröffentlicht am 09.07.2019

Vor dem EuGH hat heute eine Anhörung in der Sache „Schrems II“ zu den so genannten Standardvertragsklauseln ("SCC") stattgefunden. Es ging um die spannende Frage, ob diese das EU-Grundrecht auf Privatsphäre verletzen, stattgefunden. Die von der EU- Kommission genehmigten SCC werden von Tausenden von Unternehmen verwendet, um personenbezogene Daten in die USA zu übermitteln.

Zudem ist vor dem EuGH ein weiteres Verfahren gegen den EU-US Privacy Shield („Quadrature du Net et al. / EU-Kommission") anhängig (s. Blogeinträge vom 13.04.2016 und 02.02.2016).  Der EuGH hatte zuvor eine Anhörung in diesem Fall auf einen Termin nach der heutigen Schrems-II-Anhörung verschoben.

Eine mögliche Entscheidung des EuGH, wonach das SCC und/oder das Privacy Shield Framework Agreement ungültig sind, würde - ähnlich wie das bekannte Schrems I-Urteil des EuGH aus dem Jahr 2015 (ZD 2015, 549 m. Anm. Spies und im Blog hier) – erhebliche Auswirkungen auf alle personenbezogenen Datenströme aus der EU/EWR haben.

Hintergrund:

Der EuGH hat ein von der irischen Datenschutzbehörde ("DPC") verwiesenes Verfahren angenommen, das von dem österreichischen Datenschutzaktivisten Max Schrems gegen die SCC eingeleitet wurde.

In der ursprünglichen Beschwerde bei der DPC, die aufgrund des europäischen Hauptsitzes von Facebook in Dublin für dessen Überwachung in Europa zuständig ist, versuchte Herr Schrems das Unternehmen dazu zu bringen, die Übermittlung personenbezogener Daten aus der EU in die USA einzustellen. Herr Schrems argumentierte insbesondere, dass die im Rahmen der SCC übermittelten Daten von US-Geheimdiensten wie der National Security Agency überwacht werden würden.

Die DPC argumentiert, dass der EuGH die SCC für ungültig erklären sollte, weil sie keine ausreichenden Rechtsmittel für Nutzer anbiete, deren Daten von US-Nachrichtendiensten erhoben werden.

Das zweite Verfahren vor dem EuGH stellt die Vereinbarkeit des EU-US Privacy Shield mit dem EU-Grundrecht auf Privatsphäre in Frage. Die EuGH-Richter stellten bislang eine Reihe von Fragen zur Gültigkeit des Privacy Shield Framework nach EU-Recht und gaben zu erkennen, dass sie den Fall für substantiiert halten. Die Richter machten auch deutlich, dass die beiden Fälle miteinander verbunden sind. Gleichwohl dürften zwei unterschiedliche Entscheidungen zu erwarten sein.

Kernaussagen:

- Irische Regierung: "Der Datenschutzbeauftragte hat die notwendige Befugnis, den Datenfluss auszusetzen oder zu verbieten [...]. Wir sind uns der Schwierigkeit der Aufgabe bewusst, aber das sollte nicht bedeuten, dass alle Standardvertragsklauseln für ungültig erklärt werden."

- Schrems Anwalt: "Wenn Daten von Facebook in die USA übertragen werden, wird der Schutz durch das US-Recht geschwächt. Das gilt für alle Übertragungsmechanismen, einschließlich des Privacy Shield. Es ist systemisch."

- Europäischer Datenschutzausschuss (EDPB), das die Regulierungsbehörden vertritt: "Es obliegt der Aufsichtsbehörde, auf der Grundlage einer Beschwerde zu beurteilen, ob die Daten durch Standardvertragsklauseln geschützt sind. Andernfalls können sie die Versetzung aussetzen."

- Facebook: "Die Auswirkungen einer Ungültig-Erklärung von Standardvertragsklauseln auf den Handel wären immens und hätten Auswirkungen auf die ganze EU."

- EU-Kommission: verteidigte ihre Entscheidung, ein Abkommen mit den USA über Datenflüsse abzuschließen. Sie hatte allerdings Mühe, auf die Fragen der Richter zu antworten, ob die US-Geheimdienste Zugang zu Inhaltsdaten von EU-Nutzern hätten.

- U.S. Regierung: "Das US-Gesetz legt strenge Standards für den Zugang der Regierung zu personenbezogenen Daten fest [...]. Diese Standards spiegeln ein Bekenntnis zum Datenschutz wider, das seit der Gründung der Republik in der Verfassung und den Gesetzen der USA verankert ist."

(Quelle: Politico.eu)

Fortgang des Verfahrens:

Die endgültigen Entscheidungen des EuGH in beiden Verfahren werden Anfang 2020 erwartet. Die für den 12.12.19 angekündigte Stellungnahme des Generalanwalts wird mehr Anhaltspunkte für den aktuellen Sachstand bieten.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

3 Kommentare

Kommentare als Feed abonnieren

Die LTO-Presseschau:

EuGH – Schrems und Facebook: Am Dienstag wurde vor dem Europäischen Gerichtshof die Vorlage des irischen High Courts zum Verfahren des österreichischen Netzaktivisten Max Schrems gegen Facebook verhandelt. Es geht um Daten, die das Internetunternehmen in die USA übermittelt. Es erklären die Rechtsanwältin Johanna M. Hofmann auf lto.de und desgleichen zdf.de (Felix W. Zimmermann) die Hintergründe des Verfahrens. Über die Verhandlung selbst berichten ausführlich die SZ (Wolfgang Janisch) und das Hbl (Catrin Bialek). Facebook und die USA beriefen sich u.a. auf Sicherheitsaspekte, die eine Übermittlung der Daten erforderlich machten. "Die nationale Sicherheit erfordert dieses Screening, sonst wäre es unmöglich, Gefahren zu erkennen", wird Facebook-Anwalt Paul Gallagher in der SZ zitiert. Aufgeworfen wurde in der Verhandlung auch die Frage, inwieweit die Entscheidung die sogenannten Standardvertragsklauseln, ein System vertraglicher Datenschutzgarantien, betreffen würde. Würde die Grundlage dieser Klauseln vom EuGH für unwirksam erklärt, könnten digitale Dienstleistungen und Vernetzung erheblich beeinträchtigt werden. Ein Urteil wird vor Ende des Jahres erwartet.

Auch wenn es schwierig ist, den Ausgang des Verfahrens vorherzusagen, halte ich es dennoch für unwahrscheinlich, dass der EuGH die Standardvertragsklauseln insgesamt für ungültig erklären wird. Eine solche Entscheidung hätte zu erhebliche Auswirkungen auf den Datentransfer aus Europa in die USA. Vermutlich wird der EuGH den Ball an die Iren zurückspielen und die Entscheidung an die DPC zurückverweisen.

Noch schwieriger halte ich den Ausgang des Verfahrens zum Privacy Shield einzuschätzen. Am ehesten wird der EuGH wohl einige spezifische Bestimmungen des Privacy Shields für ungültig erklären und der Kommission eine Frist zur deren Überarbeitung setzen.

Sollte der EuGH feststellen, dass die Standardvertragsklauseln und/oder der Privcay Shield gegen EU-Grundrechte verstößt, müssten Datenexporteure und –importeure jedenfalls unverzüglich nach Alternativen zur Übermittlung personenbezogener Daten suchen. Als Alternative kommen spontan die Ausnahmeregelungen des Art. 49 DSGVO in den Sinn, also etwa eine ausdrückliche Zustimmung. Das dürfte in der Praxis jedoch ein schwieriger Weg sein.

0

Ich glaube, dass der EuGH sehr wohl die Standardvertragsklauseln kritische auseinanderpflücken kann. Klar, wenn er sie  ganz und gar aus dem Fenster wirft, dann wäre das eine Überraschung, die vermutlich nicht mal die irische Aufsichtsbehörde will. Obwohl sie bisher der einzige Akteur ist (soweit ich das sehe) , der die Standardvertragsklauseln als Ganzes für nicht tauglich hält.

Was das Privacy Shield angeht – der EuGH möge diesem Zombie-Abkommen ein schnelles Ende bereiten. Wobei „schnell“ natürlich relativ ist. Regelungstaktisch muss man aber durchaus kritisch hinterfragen, warum es die EU-Kommission nicht geschafft hat, die Standardvertragsklauseln zu überarbeiten vor dem Hintergrund

  • der Einführung der EU-DSGVO (wäre ein super Anlass gewesen) und
  • der massiven Kritik am Privacy Shield (… das Ding war doch eh nur ein Provisorium). 

Sowohl die erweiterten Anforderungen der EU-DSGVO als auch die Kritikpunkte am Privacy Shield sind eine gute Arbeitsgrundlage, die die diversen Sets von Standardvertragsklauseln zu verbessern.

Was mir in der Berichterstattung auffällt wie wenig der zentrale Aspekt dargelegt wird, dass bei „Schrems II“ um das „Wie“ Rechtsanwendung der Aufsichtsbehörden geht. Wie groß sind der Entscheidungsspielräume für eine Aufsichtsbehörde, die europäisches Recht umsetzt? Wie konsistent müssen Entscheidungen der Aufsichtsbehörden sein? In ihrer Tragweite werden die Klärungen (ggf. auch Nicht-Klärungen) auch für die Aufsichtspraxis der Behörden in Deutschland sehr relevant sein. Überspitzt formuliert hat die irische Aufsichtsbehörde klar gemacht, dass sie am liebsten gar nichts entscheiden würde…

Die irischen Kollegen von Castlebridge haben ein exzellente Einordnung der Sachlage geschrieben, die ich an dieser Stelle gern empfehle.

 

Kommentar hinzufügen