09.07.2019

Schrems gegen Facebook – Runde zwei. Die Wirksamkeit von Datenübermittlungen in Nicht-EU-Staaten

Vor dem Europäischen Gerichtshof (EuGH) begann heute die mündliche Verhandlung in der Rechtssache „Schrems II“. Maximilian Schrems – Jurist und Datenschützer - hatte schon vor Jahren ein Verfahren in die Wege geleitet, um zu überprüfen, ob der Datentransfer in Nicht-EU-Staaten – insbesondere die USA - rechtmäßig ist. Der Rechtsstreit schaffte es zum EuGH und mündete letztendlich in der aufsehenerregenden Aufhebung des Safe-Harbor-Abkommens. Nun verhandelt das Gericht erneut, diesmal zur Wirksamkeit der Standardvertragsklauseln (Standard Contract Clauses, SCC). Sollten diese aufgehoben werden, steht die Rechtmäßigkeit von Datenübertragungen nicht nur in die USA, sondern in alle Nicht-EU-Staaten erneut in Frage.

Background

Nach der seit Mai 2018 geltenden Datenschutzgrundverordnung dürfen personenbezogene Daten nur dann in Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums – sog. Drittländer – übermittelt werden, wenn in diesen Ländern ein der EU vergleichbares Schutzniveau für den Umgang mit diesen Daten gewährleistet ist. Der Verantwortliche muss hierfür geeignete Garantien vorsehen, welche unter anderem in den Standardvertragsklauseln bestehen können.

Facebook Irland hatte personenbezogene Daten auf der Grundlage von Standardvertragsklauseln in die USA übermittelt. In den USA können Sicherheitsbehörden aus Gründen der nationalen Sicherheit jedoch auf diese Daten zugreifen, ohne dass Nicht-US-Bürger hiergegen gerichtlich vorgehen könnten. Diese Tatsache stellt nach Auffassung des irischen High Court die Gültigkeit der Standardvertragsklauseln generell in Frage, da sie nicht mit dem Schutz der Privatsphäre und dem Schutz personenbezogener Daten nach der DSGVO vereinbar seien. Aufgrund dessen hat der High Court diverse Fragen zur datenschutzrechtlichen Zulässigkeit von Datentransfers in Drittländer an den EuGH gestellt.
 

Das Verfahren

In der mündlichen Verhandlung haben alle Beteiligten nun die Gelegenheit, ihre Rechtsauffassungen darzulegen und Stellungnahmen abzugeben. Nach ersten Einblicken in die Berichterstattung aus der mündlichen Verhandlung scheinen sich alle Beteiligten bis auf die irische Datenschutzbehörde für die Wirksamkeit der Standarddatenschutzklauseln auszusprechen.

Kritisiert wird hier insbesondere, dass es an wirksamen Rechtsbehelfen und der Rechtsdurchsetzung durch die (hier irischen) Aufsichtsbehörden mangelt. Dabei handelt es sich um Aspekte, die bereits in der Entscheidung zum Safe-Harbor-Abkommen eine entscheidende Rolle spielten und den EuGH letztendlich zur Abschaffung des Abkommens veranlassten.
 

Ausblick

Es bleibt abzuwarten, ob dies auch hier der Fall sein wird. Sollte der EuGH sich gegen die Wirksamkeit der Standarddatenschutzklauseln aussprechen, hätte dies Auswirkungen auf jeglichen Datenaustausch mit Nicht-EU-Ländern, nicht nur in Bezug auf die USA.Für das konkrete Verfahren käme es dann in einem zweiten Schritt darauf an, ob die Übermittlung der personenbezogenen Daten gegebenenfalls nach dem EU-US Privacy Shield erfolgen durfte. Dieses steht jedoch ebenfalls massiv – sogar durch das Europäische Parlament selbst - in der Kritik. Im worst case könnte der EuGH auch diesen Nachfolger von Safe Harbor kippen.Mit Spannung dürften die Schlussanträge des Generalanwalts zu erwarten sein, an denen sich der EuGH häufig orientiert. Eine Entscheidung des Gerichts dürfte jedoch frühestens gegen Ende des Jahres zu erwarten sein.

Author

Gerrit Feuerherdt