Schrems gegen Facebook – Bleiben Standarddatenschutzklauseln weiterhin zulässig?

Der österreichische Datenschützer Maximilian Schrems und Facebook streiten sich seit Jahren vor Gericht. Der Rechtsstreit wird nun zum zweiten Mal vor dem EuGH verhandelt. Mit den Schlussanträgen des Generalanwalts ist die mündliche Phase des Verfahrens abgeschlossen. Die Schlussanträge enthalten eine rechtliche Analyse der für den Rechtsstreit entscheidenden Fragen und enden mit einem Entscheidungsvorschlag. Diesem muss der EuGH nicht folgen; gleichwohl können die Schlussanträge häufig aufzeigen, in welche Richtung der Gerichtshof entscheiden wird.

Nach der Europäischen Grundrechtecharta hat jede Person das Recht auf Achtung ihres Privatlebens und auf den Schutz der sie betreffenden personenbezogenen Daten. Außerdem muss ein wirksamer Rechtsbehelf zur Verfügung stehen, mit dem eine Rechtsverletzung gerichtlich überprüft werden kann. Die Verletzung ebendieser Rechte durch die Datenübertragung in die USA unter Nutzung sog. Standarddatenschutzsklauseln (Standard Contract Clauses, SCC) steht gerade auf dem Prüfstand.

SCC sind ein Instrument der Datenschutzgrundverordnung (DSGVO), die eine datenschutzkonforme Datenübermittlung in Länder außerhalb der EU und des EWR ermöglichen. Es handelt sich dabei um vorformulierte Vertragsklauseln, die zwischen dem Verantwortlichen in der EU (dem Datenexporteur) und dem Datenempfänger im Drittland vereinbart werden. Sie verpflichten den Datenempfänger auf die Einhaltung des Datenschutzes und sollen so ein angemessenes Datenschutzniveau gewährleisten. Die Europäische Kommission hat drei Zusammenstellungen von SCC erarbeitet. In der Praxis sind diese ein gängiges Mittel im internationalen Datenverkehr.

Die Vorlagefragen

Der irische High Court hat dem EuGH eine Reihe von Fragen vorgelegt, mit denen er im Wesentlichen die Wirksamkeit der SCC in Frage stellt. Ausgangspunkt ist die Feststellung der gezielten und massenhaften Überwachung durch die amerikanischen Regierungsbehörden unter gleichzeitigem Mangel von Rechtsbehelfen für EU-Bürger. Angesichts dieser Feststellungen könnte nach Ansicht des irischen Gerichts eine Verletzung der Europäischen Grundrechte (Recht auf Achtung des Privatlebens, Schutz personenbezogener Daten, Recht auf einen wirksamen Rechtsbehelf) durch die Übertragung von Daten auf Grundlage der SCC in die USA in Betracht kommen. Die SCC gelten nur zwischen dem Datenexporteur und dem Datenimporteur und entfalten gegenüber nationalen Behörden eines Drittlandes keine Bindungswirkung. Dies könnte in Verbindung mit den weitreichenden Befugnissen zum Datenzugriff der amerikanischen Behörden dazu führen, dass die SCC keine geeigneten Garantien für den Schutz der personenbezogenen Daten bieten können. Konsequenz hieraus sei letztlich die Unwirksamkeit der SCC.

Die Schlussanträge

In seinen Schlussanträgen sieht der Generalanwalt keinen Anlass, von der Unwirksamkeit der SCC auszugehen. Als Ausgangspunkt seiner Überlegungen stellt er fest, dass die Wirksamkeit der SCC von dem Datenschutzniveau des Drittlands unabhängig sei. Die SCC sollen nämlich gerade eventuelle Unzulänglichkeiten im Vergleich mit dem europäischen Datenschutzniveau ausgleichen, indem sie geeignete Garantien für den Schutz personenbezogener Daten bieten. Die Tatsache, dass die Sicherheitsbehörden in den USA weitreichenden Zugriff auf personenbezogene Daten haben, könne die Wirksamkeit der SCC daher nicht generell in Frage stellen.

Nach Ansicht des Generalanwalts hängt die Wirksamkeit der SCC vielmehr davon ab, ob diese die Möglichkeit vorsehen, einzelne Datenübertragungen auszusetzen oder zu verbieten. Es könne nämlich sein, dass die Rechtsordnung eines Drittlandes dem Datenempfänger Pflichten auferlegt, die es ihm unmöglich machen, seine in den SCC geregelten Pflichten zu erfüllen. Bei einer Verletzung der SCC müssten diese aber Mechanismen vorsehen, die Datenübertragung auf ihrer Grundlage zu unterbinden. Dies ist nach Ansicht des Generalanwalts der Fall.

Die von der Kommission beschlossenen SCC enthalten Klauseln, wonach der Verantwortliche oder – falls dieser nicht handelt – die Aufsichtsbehörden die Datenübermittlung aussetzen oder verbieten können. Hierbei haben diese nach Ansicht des Generalanwalts nicht nur das Recht, sondern auch die Pflicht, entsprechende Maßnahmen zu ergreifen, wenn sich nach einer Prüfung des Einzelfalls ergibt, dass die Rechtsordnung des Drittlandes der Anwendung der SCC widerspricht und damit einem angemessenen Schutz für die übermittelten Daten entgegensteht. Bei einem Konflikt zwischen den durch die SCC auferlegten datenschutzrechtlichen Pflichten und den Bestimmungen einer ausländischen nationalen Rechtsordnung sollen der Verantwortliche oder die Aufsichtsbehörde die Datenübermittlung aussetzen oder verbieten.

Die Wirksamkeit des Privacy Shield

Obgleich es nach Ansicht des Generalanwalts im vorliegenden Fall nicht darauf ankam, hält er es trotzdem für angebracht, einige Ausführungen zum Privacy Shield zu machen. Dieses wurde vom High Court in seinen Vorlagefragen zumindest teilweise einbezogen. Beim Privacy Shield handelt es sich um einen Beschluss der Kommission, auf deren Grundlage Daten in die USA übertragen werden können. Der Nachfolger des Safe Harbor Abkommens steht unter Datenschützern aus den gleichen Gründen, die schon zu dessen Aufhebung geführt hatten, massiv in der Kritik. So steht auch der Generalanwalt dem Privacy Shield kritisch gegenüber.

Ausgangspunkt der Überlegungen zum Privacy Shield sind die durch Edward Snowden aufgedeckten Überwachungsmaßnahmen der US-Behörden. Sie begründen Zweifel an dem Bestehen eines der DSGVO im wesentlichen vergleichbaren Schutzniveau für den Schutz personenbezogener Daten. Gerade dies war aber Grundlage des Beschlusses zum Privacy Shield. Die Rechtsgrundlage für die Überwachungsmaßnahmen im amerikanischen Recht sind nach Ansicht des Generalanwalts nicht klar und präzise genug formuliert, um Rechtssicherheit zu bieten und um Missbrauch vorzubeugen. Zwar könne der Schutz der nationalen Sicherheit eine Einschränkung des durch DSGVO garantierten Datenschutzes rechtfertigen. Diese müssten aber mit Schutzmaßnahmen einhergehen, die im Wesentlichen dem von der DSGVO geforderten Schutzniveau entsprechen.

Insofern ist problematisch, dass die Maßnahmen der US-Behörden weder im Vorfeld noch im Nachhinein von einer unabhängigen Stelle überprüft werden. Eine Benachrichtigung der betroffenen Person erfolgt nicht und ein wirksamer Rechtsbehelf gegen die Maßnahmen ist nicht vorgesehen. Auch die im Privacy Shield vorgesehene Einrichtung einer Ombudsperson ändert diese Einschätzung nicht.

Unser Kommentar

Die Stellungnahme des Generalanwalts nimmt die Verantwortlichen und die Aufsichtsbehörden in die Pflicht. Diese müssen auch bei Verwendung der Standardvertragsklauseln weiter überprüfen, ob die Datenübermittlung in einen Drittstaat DSGVO-konform ist und anderenfalls die Datenübermittlung unterbinden. Im Verlauf des Verfahrens hatten viele Datenschützer befürchtet, der EuGH werde die Standardvertragsklauseln für unwirksam erklären. Dies hätte weitreichende Folgen für den internationalen Datenverkehr. Sollte der EuGH den Schlussanträgen folgen, kann diesbezüglich erst einmal Entwarnung gegeben werden. Sicher ist das jedoch nicht; Beobachter des Verfahrens stellten fest, dass die Fragen des Gerichts deutlich kritischer ausfielen als die Schlussanträge des Generalanwalts.

Die Stellungnahme zum Privacy Shield wird sich zwar voraussichtlich nicht auf den Ausgang dieses konkreten Verfahrens auswirken; gleichwohl kann sie Einfluss auf die Rechtsprechung des EuGH in einem anderen Verfahren haben. Mitte Januar 2020 werden die Schlussanträge in einem Verfahren erwartet, in dem die Wirksamkeit des Privacy Shields überprüft wird. Hier stehen sich die Organisation La Quadrature du Net und die Europäische Kommission gegenüber, die von diversen Staaten und Unternehmen unterstützt wird.

Es bleibt daher abzuwarten, ob der EuGH internationale Transfers mit seinen Entscheidungen erheblich erschwert oder gar vollständig verhindert. Vorzugswürdiger wäre jedoch ein Mittelweg, der zumindest eine der Transfermöglichkeiten zulässt, um den Bedürfnissen einer globalisierten Wirtschaft – insbesondere im Bereich der IT und Datenverarbeitung – ausreichend Rechnung zu tragen.

Gerrit Feuerherdt
Associate
Köln

Yvonne Wolski
Wissenschaftliche Mitarbeiterin
Köln