Unternehmen sollten wachsam bleiben

Neue Gefahr für Datenübermittlungen in die USA – EU-Standardvertragsklauseln bald vor dem EuGH?
Ein Gastbeitrag von Michael Kamps

Beitrag als PDF (Download)

Die irische Datenschutzbehörde hat Ende Mai angekündigt, die sogenannten „EU-Standardvertragsklauseln“ gerichtlich überprüfen zu lassen. Letztlich könnte auch dieser Fall beim Europäischen Gerichtshof (EuGH) landen, der im Oktober 2015 schon das „Safe Harbor“-Konzept für unwirksam erklärt hatte. Fallen auch die EU-Standardvertragsklauseln bei der gerichtlichen Prüfung durch, können die Auswirkungen für alle europäischen Unternehmen erheblich sein, die personenbezogene Daten in die USA übermitteln – sei es zu anderen Konzerngesellschaften oder zu Dienstleistern mit Sitz oder Infrastruktur in den USA.

Was ist das Kernproblem?

Aus Sicht der EU-Datenschutzrichtlinie und der nationalen Datenschutzgesetze in den EU-Mitgliedstaaten ist nur innerhalb der EU und des Europäischen Wirtschaftsraums ein angemessenes Datenschutzniveau gewährleistet. Werden personenbezogene Daten an Empfänger in einem Drittstaat übermittelt, ist dies nur unter ergänzenden Voraussetzungen zulässig. Neben extrem eng definierten gesetzlichen Ausnahmebestimmungen hat die EU-Kommission für einige Drittstaaten ein angemessenes Datenschutzniveau allgemein festgestellt. Hierzu gehören Andorra, Argentinien, Kanada, die Schweiz, die Faröer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay.

Ein Sonderfall galt bis Oktober 2015 für Datenübermittlungen in die USA: Unter dem Safe-Harbor-Konzept konnten sich US-Empfänger im Rahmen einer Selbstzertifizierung zur Einhaltung eines angemessenen Schutzniveaus verpflichten. Die entsprechende Safe-Harbor-Entscheidung der EU-Kommission hat der EuGH mit seiner weithin beachteten Entscheidung für unwirksam erklärt.

Allerdings sahen die europäischen Datenschutzgesetze weitere Gestaltungsmöglichkeiten für die Übermittlung personenbezogener Daten in Drittstaaten vor, etwa verbindliche Unternehmensregelungen („Bindung Corporate Rules“) bei Datentransfers innerhalb einer Unternehmensgruppe, Einzelfallgenehmigungen der Aufsichtsbehörden und die EU-Standardvertragsklauseln.

Vorteile der EU-Standardvertragsklauseln: überschaubarer Implementierungsaufwandes

Bereits vor der Safe-Harbor-Entscheidung des EuGH nutzten viele Unternehmen die EU-Standardvertragsklauseln auch als Grundlage für Datenübermittlungen in die USA. Die Beliebtheit dieser Gestaltungsalternative beruht vor allem auf dem praktisch überschaubaren Implementierungsaufwand und dem Umstand, dass in vielen EU-Mitgliedstaaten – jedenfalls bei unveränderter Verwendung der vorgegebenen Vertragsklauseln – keine Genehmigung der Aufsichtsbehörden erforderlich war. Besonders bedeutsam waren die EU-Standardvertragsklauseln auch für Dienstleister in den USA, die europäischen Kunden Cloud- oder „Software as a Service“-Anwendungen zur Verfügung stellen und hierbei personenbezogene Daten verarbeiten.

Rechtliche Bedenken auch gegen die EU-Standardvertragsklauseln

Allerdings wurden nach dem Safe-Harbor-Urteil auch rechtliche Bedenken gegen die EU-Standardvertragsklauseln geltend gemacht, weil sich die vom EuGH aufgezeigten Erwägungen des EuGH nahezu unverändert auch auf die EU-Standardvertragsklauseln übertragen lassen.

Das, wozu Safe-Harbor-zertifizierte Empfänger im Zweifel verpflichtet waren, nämlich US-Behörden den Zugriff auf personenbezogene Daten zu gewähren, gilt auch unter den EU-Standardvertragsklauseln. Zudem sind die Befugnisse der US-Behörden – insbesondere der Geheimdienste – im Hinblick auf die anlasslose Überwachung jeglicher elektronischen Kommunikation und die fehlenden Rechtsschutz-, Berichtigungs- und Löschungsmöglichkeiten für EU-Bürger mit den Wertungen des europäischen Rechts nicht zu vereinbaren.

Ob die Wertungen der Safe-Harbor-Entscheidung tatsächlich auch gegen eine Wirksamkeit der EU-Standardvertragsklauseln (oder der entsprechenden Entscheidungen der EU-Kommission) sprechen, wird nun auf Veranlassung der irischen Aufsichtsbehörde zunächst durch ein irisches Gericht und sodann durch den EuGH geprüft werden.

Optionen im Fall der Unwirksamkeit auch der EU-Standardvertragsklauseln

Welche Optionen für Datenübermittlungen in die USA für europäische Unternehmen verbleiben, wenn auch die EU-Standardvertragsklauseln gerichtlich für unwirksam erklärt werden, ist derzeit noch nicht absehbar. Dies hat vor allem mit der dynamischen Entwicklung nach dem Safe-Harbor-Urteil zu tun: Zwar hatte die EU-Kommission mit ihren US-Verhandlungspartnern Anfang Februar 2016 das „EU-US Privacy Shield“ als Nachfolgekonzept präsentiert. Auch dieses folgt dem bekannten Grundprinzip der Selbstzertifizierung auf Grundlage eines definierten Regelwerks. Allerdings sollen die Einhaltung der Regeln besser überwacht und die Nichteinhaltung stärker sanktioniert werden. Zudem versichert die US-Seite, dass der Zugriff auf Daten durch US-Behörden klaren Beschränkungen, Sicherungs- und Überprüfungsmechanismen unterliege und keine Massenüberwachung stattfinde. Die Einhaltung dieser Zusicherung soll eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sicherstellen. Der Datenschutzschild sieht überdies erweiterte Rechtsschutzmöglichkeiten für EU-Bürger vor: Diese sollen sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden und Ansprüche auch vor US-Gerichten geltend machen können.

Mittlerweile haben die europäischen Aufsichtsbehörden und der EU-Datenschutzbeauftragte erhebliche Kritik auch an dem Nachfolgekonzept geäußert. Ohne signifikante Nachbesserungen steht zu erwarten, dass die europäischen Aufsichtsbehörden keine abschließende zustimmende Einschätzung zum Datenschutzschild geben werden; eine gerichtliche Prüfung des neuen Konzepts durch den EuGH steht zu erwarten. Auch dieser Schritt könnte – wie im Safe-Harbor- und im EU-Standardvertragsklausel-Fall – durch einzelne nationale Datenschutzbehörden initiiert werden.

Für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln müssen oder die Leistungen von Dienstleistern in den USA in Anspruch nehmen, könnte sich die Anzahl der zur Verfügung stehenden Gestaltungsmöglichkeiten für rechtskonforme Datenübermittlungen deshalb erheblich reduzieren. Dies betrifft vor allem diejenigen Unternehmen, für die eine Datenverarbeitung ausschließlich innerhalb der EU keine praktikable Alternative ist.

Die nächsten Schritte

Nach der Ankündigung der irischen Aufsichtsbehörde in der vergangenen Woche wird diese wohl zunächst das Verfahren vor dem irischen High Court initiieren. Wie lange dieses Verfahren dauern wird, ist ebenso wenig verlässlich abzusehen wie der Zeitraum bis zu einer möglichen Entscheidung des EuGH in dieser Sache. Als Anhaltspunkt mag der Zeitraum für die EuGH-Entscheidung zu Safe Harbor dienen: Seinerzeit wurde das Vorabentscheidungsersuchen im Juli 2014 beim EuGH eingereicht, bis zur Entscheidung am 06.10.2015 vergingen demnach rund 15 Monate.

Betroffene Unternehmen mit Sitz in der EU sollten die weitere Entwicklung zu rechtskonformen Datentransfers an Empfänger außerhalb der EU aufmerksam verfolgen. Dies gilt insbesondere für Verlautbarungen der europäischen und der zuständigen nationalen Datenschutzbehörden – denn diese werden letztlich für die Durchsetzung der datenschutzrechtlichen Regelungen gegenüber Unternehmen zuständig sein.

michael.kamps@cms-hs.com