Neue Rechtsunsicherheit für Datentransfer in Drittstaaten

Irish High Court legt EuGH die EU-Standardvertragsklauseln zur Prüfung vor

Von Bettina Backes

Beitrag als PDF (Download)

Am 04.10.2017 hat der Irish High Court entschieden, Rechtsfragen aus dem Verfahren „Data Commissioner vs. Schrems/Facebook“ dem Europäischen Gerichtshof (EuGH) zur Entscheidung nach Art. 267 des Vertrags über die Europäische Union (EUV) vorzulegen. Das Gericht äußerte Zweifel daran, dass bei Übermittlung von personenbezogenen Daten durch Facebook in die USA das Grundrecht auf gerichtlichen Rechtsschutz für europäische Bürger in den USA gewahrt sei. Es wies auf die aus seiner Sicht begründeten Bedenken hin, die im Hinblick auf fehlende wirksame Abhilfemaßnahmen für EU-Bürger, deren Daten in die USA übertragen werden, in den USA bestünden. Die Daten der EU-Bürger könnten gefährdet sein, weil sie US-Behörden zugänglich gemacht und dort verarbeitet würden. Das Gericht warf die Frage auf, ob dies mit der EU-Charta vereinbar sei.

Zum Hintergrund

Bereits im Jahr 2013 hatte der österreichische Datenschutzaktivist Max Schrems nach der Zurückweisung seiner Beschwerde durch die irische Datenschutzbehörde wegen der Weiterleitung seiner Kundendaten durch Facebook in die USA erreicht, dass der Irish High Court sich mit dem Sachverhalt beschäftigte. Er legte den Fall dem EuGH zur Entscheidung vor. Am 06.10.2015 erklärte der EuGH das Abkommen Safe Harbour, auf dessen Basis die Weiterübertragung der Daten erfolgt war, für rechtswidrig.

In dem nun nachfolgenden Verfahren vor der irischen Datenschutzaufsicht vertritt Schrems die Auffassung, sie hätte die Weitergabe seiner persönlichen Daten durch Facebook verhindern müssen, indem sie von Art. 4 der EU-Standardvertragsklauseln Gebrauch hätte machen müssen. Facebook hatte sich in Bezug auf die Weiterleitung der Kundendaten auf die EU-Standardvertragsklauseln gestützt. Art. 4 der EU-Standardvertragsklauseln gestattet es der Datenschutzaufsicht, die Übermittlung der Daten auszusetzen oder zu verbieten, wenn feststeht, dass der Datenimporteur (Facebook) nach den für ihn geltenden Rechtsvorschriften in seinem Sitzstaat Anforderungen unterliegt, die ihn zwingen, von dem Datenschutzrecht in einem Maße abzuweichen, das über die zulässigen Beschränkungen hinausgeht, so dass die erforderlichen Garantien nicht eingehalten werden können. Die irische Datenschutzbehörde lehnte dieses Vorgehen ab und unterzog die Standardvertragsklauseln einer gerichtlichen Prüfung.

Wie ist die Rechtslage?

Die Übermittlung von Daten in einen Staat außerhalb des EWR ist auf Basis des europäischen Datenschutzrechts untersagt, wenn es sich bei diesem Staat nicht um einen sicheren Drittstaat handelt. Die EU-Kommis­sion hat zum Beispiel die Vereinigten Staaten, Indien und China nicht als sichere Drittstaaten anerkannt, weil ein angemessenes Datenschutzniveau nicht gewährleistet ist.

Eine Datenübertragung in solche Staaten kann dennoch erfolgen, wenn eine Vereinbarung eines solchen Staats mit der EU besteht, die ein angemessenes Datenschutzniveau sicherstellt, und die Stelle, an die die Daten übermittelt werden sollen, sich diesem Abkommen unterwirft. Dies wird durch ein entsprechendes Zertifikat nachgewiesen. Ein solches Abkommen war das Safe-Harbour-Abkommen, das nun nicht mehr gilt.

Inzwischen wurde ein neues Abkommen geschlossen und von der Kommission am 12.07.2016 förmlich angenommen. Es wird als „EU-US Privacy Shield“ (EU-US-Datenschutzschild) bezeichnet. Unternehmen können sich seit 01.08.2016 diesem Abkommen unterwerfen, so dass Datenübertragungen an solche Unternehmen, etwa in den USA, erfolgen dürfen. Der Privacy-Shield wird von der Kommission einer jährlichen Prüfung unterzogen. Diesen Prüfbericht legte die Kommission am 20.10.2017 vor und kam zu dem Ergebnis, der Privacy-Shield sei funktionsfähig, die praktische Handhabung sei aber noch verbesserungsbedürftig. Insbesondere seien die Kontrollen der Unternehmen durch US-Behörden zu intensivieren.

Verschiedene nationale Datenschutzbeauftragte, die der Artikel-29-Gruppe angehören, kritisierten das Vorgehen der Kommission scharf, da sie nur in Bezug auf die faktischen Grundlagen, nicht im Hinblick auf die Bewertung einbezogen worden seien. Sie erarbeiten derzeit einen eigenen Prüfbericht. Sie hatten den Privacy-Shield nur unter Vorbehalt akzeptiert.

Irische und französische Bürgerrechtsorganisationen haben bei dem Gericht der Europäischen Union bereits Nichtigkeitsklage (Az. T-670/16) erhoben. Eine Entscheidung steht noch aus.

Auch eine Datenübermittlung auf Grundlage des Privacy-Shields ist daher unsicher. Die schwierige Rechtslage wird nun noch dadurch verschärft, dass auch die EU-Standardvertragsklauseln – nicht ganz unerwartet – der Kontrolle des EuGH unterliegen.

Wer ist betroffen?

Von der Rechtsunsicherheit betroffen sind alle Unternehmen mit Sitz innerhalb der EU, die personenbezogene Daten in unsichere Drittstaaten, wie die USA oder die hochentwickelten IT-Staaten China, Indien, Weißrussland etc., übermitteln oder auch nur Zugriffsmöglichkeiten auf personenbezogene Daten in der Weise eröffnen, dass diese durch Unternehmen in Drittstaaten eingesehen oder abgerufen werden können. Zahlreiche Unternehmen – nicht nur in der EU ansässige Beteiligungsunternehmen von US-Konzernen – benötigen eine solche Datenübermittlung für ihr operatives Geschäft.

Aber auch Unternehmen mit Sitz in unsicheren Drittstaaten, die Dienstleistungen in Europa erbringen, wie etwa Plattformbetreiber oder Cloudanbieter, Anbieter von digitalen Marketingkampagnen oder CRM-Lösungen, müssen sich mit der aktuellen Rechtslage auseinandersetzen.

Was ist zu tun?

Da die beiden unkompliziertesten Varianten einer Übermittlung personenbezogener Daten in einen unsicheren Drittstaat nun auf dem Prüfstand stehen, bieten sich folgende Wege an:

• Rechtssicherheit bis zu den Entscheidungen des EuGH. Bis zu den letztinstanzlichen Entscheidungen des EuGH, die nur für die Zukunft wirken, ist die Datenübertragung auf Basis des Privacy-Shields und der EU-Standardvertragsklauseln noch rechtmäßig.
• Inanspruchnahme von Dienstleistern, die sich sowohl dem Privacy-Shield unterworfen als auch die Standardvertragsklauseln unterzeichnet haben. Sollte eine Rechtsgrundlage für unwirksam erklärt werden, besteht möglicherweise immer noch die andere. „Auf zwei Beinen steht man immer noch sicherer als auf einem“.
• Ausschließliche Beauftragung solcher Dienstleister aus unsicheren Drittstaaten, die inzwischen einen Unternehmenssitz in der EU oder einem sicheren Drittstaat begründet haben, oder Begründung von Kooperationen mit Sitz in der EU oder im EWR.  Dies dürfte der rechtssicherste Weg sein, den auch bereits viele Unternehmen gegangen sind. Es gibt eine wachsende Tendenz zur Etablierung der Infrastruktur  innerhalb der EU.
• Abschluss individueller Verträge mit Dienstleistern. Diese Verträge müssen von den zuständigen Datenschutzbehörden genehmigt werden, was aufwendig und unsicher ist. Gerade bei der Übertragung von Daten in die USA sind die Datenschutzbehörden im Hinblick auf das angemessene Schutzniveau sehr kritisch. Es ist fraglich, ob solche Verträge genehmigungsfähig werden.
• Einwilligung der Betroffenen. Dies ist ein sicherer Weg, wenn die Einwilligung jeweils wirksam erteilt ist. Die Anforderungen an die Transparenz der erteilten Informationen, die auch Hinweise auf die Risiken einschließen, und an die Freiwilligkeit sind sehr hoch, besonders was Arbeitnehmerdaten anbetrifft. Der Einwilligende muss eine „echte Wahlmöglichkeit“ haben, woran es in den meisten Fällen fehlt. Auch dieser Weg ist sehr aufwendig.
• Zur Vertragserfüllung notwendige Datenübermittlung. Diese Ausnahmeregelung greift nur ein, wenn die Datenübermittlung für die Erfüllung des Vertrags zwingend erforderlich ist (Hotelbuchungen, Tätigkeit eines Arbeitnehmers in dem unsicheren Drittstaat innerhalb eines internationalen Konzerns, Warenbestellung im Ausland etc.). Der Auslandsbezug muss bei Vertragsschluss für den Betroffenen erkennbar sein. Der Anwendungsbereich der Ausnahme ist sehr beschränkt.

Was bringt die Zukunft?

Die ab 25.05.2018 europaweit – mit wenigen Ausnahmen – einheitlich geltende Datenschutz-Grundverordnung (DSGVO) verfolgt gemäß Art. 44 ff. ein ähnliches Konzept wie das bereits geltende Recht. Eine Übermittlung personenbezogener Daten an Stellen in Drittstaaten darf nur erfolgen, wenn diese Staaten als sichere Drittstaaten anerkannt sind, Garantien für ein angemessenes Schutzniveau gegeben werden oder die bereits geschilderten Ausnahmeregelungen greifen (Prüfkaskade). Dies können neben dem Privacy-Shield und den Standardvertragsklauseln oder von der Datenschutzaufsicht genehmigten Individualklauseln sogenannte Binding Corporate Rules (verbindliche unternehmensinterne Vorschriften), aufsichtsbehördliche Standardvertragsklauseln, welche wiederum die Kommission genehmigen muss, genehmigte Verhaltensregeln oder ein genehmigter Zertifizierungsmechanismus sein.

All diesen Regelungen ist jedoch gemeinsam, dass sie ein mangelndes angemessenes Datenschutzniveau in dem Drittstaat nicht ausgleichen können, da sie in diesem Fall nicht genehmigungsfähig sind.

Ein Dilemma. Helfen könnten nur eine globale Angleichung des Datenschutzniveaus oder eine gesicherte Infrastruktur innerhalb der EU. Ersteres scheint unsicherer denn je, Letzteres widerspricht der zunehmend globalen Ausrichtung und den aktuellen Anforderungen der Wirtschaft.

bc@haver-mailaender.de