10. Februar 2020

Datenübermittlung in Drittländer: Standardvertragsklauseln bald vor dem Aus?

Die rechtliche Grundlage für die Übermittlung personenbezogener Daten aus in der EU-ansässigen Unternehmen in Drittländer (Länder, die weder Mitglied der EU, noch des Europäischen Wirtschaftsraums sind, wie zum Beispiel die USA) könnte möglicherweise bald verworfen werden. Bisher dienen hierzu insbesondere die in Art. 46 Abs. 2 lit. c DSGVO genannten Standardvertragsklauseln der Europäischen Kommission, welche die Einhaltung eines europäischen Datenschutzniveaus gewährleisten sollen. Werden diese Standardvertragsklauseln folglich zwischen Unternehmen abgeschlossen, ist die Übermittlung per se in das jeweilige Land möglich. Allerdings könnte diese Vorgehensweise bald der Vergangenheit angehören, da der Europäische Gerichtshof (EuGH) diese Klauseln für das Verhältnis zwischen einem Verantwortlichen und einem Auftragsverarbeiter derzeit auf ihre Zulässigkeit prüft.

Zulässigkeit der Datenübermittlung in Drittländer

Die hier relevanten Standardvertragsklauseln der Kommission stammen aus dem Jahr 2010. Sie gewährleisten bei ihrer Umsetzung durch die Unternehmen derzeit die Einhaltung eines europäischen Datenschutzstandards und könnten unter Umständen bald nicht mehr von Unternehmen genutzt werden, sollten sie für unzulässig erklärt werden.
Neben der Heranziehung von Standardvertragsklauseln ist eine Datenübermittlung unter anderem auch dann möglich, wenn für das Drittland ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO besteht. Dieser liegt jedoch nur für wenige Länder, wie zum Beispiel der Schweiz vor.
Eine Datenübermittlung zwischen der EU und den USA kann auch auf den EU-US Privacy Shield gestützt werden. Nach diesem dürfen US-Unternehmen, welche sich nach den Vorgaben des amerikanischen Rechts zur Einhaltung der Prinzipien des Privacy Shields verpflichten und daher ausreichende Schutzgarantien bieten, personenbezogene Daten verarbeiten, die ihnen von Verantwortlichen aus der EU übermittelt wurden. Das Privacy Shield-Abkommen ist jedoch seit seiner Existenz Gegenstand scharfer Kritik und die Wahrscheinlichkeit, dass dieses in der Zukunft durch den EuGH für unzulässig erklärt wird ist daher nicht gering. Aufgrund dessen wird auch der überwiegende Teil dieser Datentransfers in der Praxis parallel auf Standardvertragsklauseln gestützt.

Hintergrund

Facebook beruft sich derzeit auf Standardvertragsklauseln als Rechtsgrundlage für die Übermittlung von Daten durch Facebook Ireland in die USA.
Gegen dieses Vorgehen klagte nun der österreichische Datenschutzaktivist Max Schrems. Seiner Ansicht nach sei zwar nichts gegen die Standardvertragsklauseln einzuwenden, jedoch sei die Datenschutzbehörde dazu verpflichtet, einzelne Datenübermittlungen zu unterbinden, wenn diese dennoch nicht sicher sein sollten. Das Privacy Shield-Abkommen hingegen solle laut Schrems für ungültig erklärt werden, da es zu wenig Schutz hinsichtlich der faktischen Überwachungsmaßnahmen aufgrund der diese begründenden Gesetzeslage in den USA gewähren würde.
Die irische Datenschutzbehörde hingegen wies jegliche Verantwortung von sich, da ihr ihrer Ansicht nach nicht die Befugnis für die Aussetzung einer Datenübermittlung zustehe, so lange sich Facebook auf die Standardvertragsklauseln der Kommission berufe und somit diese zunächst für ungültig erklärt werden müssten.
Der irische High Court wandte sich nun mit Vorlagefragen an den EuGH, die insbesondere die Frage nach der Gültigkeit des derzeitigen Verfahrens zur Datenübermittlung in die USA und die Rolle der Datenschutzbehörden beinhalten.

Empfehlung des EuGH-Generalanwalts

In seinen Schlussanträgen vom 19. Dezember sprach sich Generalanwalt Henrik Saugmandsgaard Øe für die Gültigkeit der Standardvertragsklauseln aus, da diese grundsätzlich dazu geeignet seien, ein ausreichendes Datenschutzniveau zu garantieren, sofern dies nicht bereits durch die Rechtslage im Drittland gegeben sei. Ergänzend wären gewisse Regelungen zur Einhaltung der Klauseln erforderlich, welche auch gewährleisten, dass eine auf Standardvertragsklauseln begründete Datenübermittlung ausgesetzt würde, sollten Klauseln verletzt werden oder eine Einhaltung dieser nicht möglich sein. Für die Einhaltung der Standardvertragsklauseln seien dabei sowohl die Vertragsparteien als auch insbesondere die Datenschutzbehörden verantwortlich und diese müssten sowohl die Datenübermittlung prüfen als auch entsprechende Maßnahmen (wie gegebenenfalls die Untersagung der Datenübermittlung) treffen, sollte diese nicht den Vereinbarungen entsprechen. Ihre Befugnis dazu leite sich aus der DSGVO ab, welche ihrerseits im Lichte der EU-Grundrechte-Charta auszulegen sei.
Da der High Court innerhalb seiner Vorlagefragen insbesondere einen Beschluss der Europäischen Kommission in Frage gestellt hatte, in dem diese das Datenschutzniveau in den USA bei Übermittlungen auf Grundlage des Privacy Shields für ausreichend erachtet hatte, ging der Generalstaatsanwalt daher zudem noch auf das Privacy Shield-Abkommen ein und zweifelte im Zuge dessen den Beschluss der Kommission hierzu an. Seiner Ansicht nach seien Beeinträchtigungen im Hinblick auf die Rechte auf Achtung des Privatlebens, auf den Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf zu befürchten.

Handlungsempfehlungen

Derzeit ist eine Datenübermittlung in Drittländer auf Grundlage der Standardvertragsklauseln von 2010 möglich. Eine Übermittlung in die USA kann zudem auf das Privacy Shield-Abkommen gestützt werden, wenn das US-Unternehmen entsprechend zertifiziert ist. Sollte dieser die Standardvertragsklauseln für unwirksam erklären, so hat die Kommission die Möglichkeit, sie durch neue Standardvertragsklauseln zu ersetzen, die der Rechtsauffassung des EuGH, der Behörden und des Europäischen Parlamentes entsprechen sowie die aktuellen Entwicklungen in den USA berücksichtigen.

Für Unternehmen, welche bisher ausschließlich auf Standardvertragsklauseln gesetzt haben, wäre dabei zu beachten, dass in diesem Fall mit allen Unternehmen die neuen Standardvertragsklauseln abgeschlossen werden müssten. Sofern ein Partnerunternehmen in den USA in diesem Fall Privacy Shield zertifiziert ist und dieses Abkommen nicht gleichsam für unwirksam erklärt wird, könnte die Übermittlung zwischenzeitlich weiterhin auch auf dieses gestützt werden. Auch dann wäre allerdings weiterhin der Abschluss der neuen Standardvertragsklauseln als zusätzliche Absicherung empfehlenswert.

Für internationale Unternehmensgruppen besteht ein weiteres Instrument zur Einhaltung eines einheitlichen Datenschutzniveaus. Für sie eignet sich die Festlegung von verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) gemäß Art. 47 DS-GVO. Es handelt sich dabei um Unternehmensrichtlinien, die in Gestalt eines Gruppenvertrages alle einbezogenen Unternehmenseinheiten binden und somit auch nur für den unternehmensinternen Datentransfer heranzuziehen sind. Für diese Fälle wären dann keine anderen flankierenden Maßnahmen in Gestalt von etwa Standardvertragsklauseln erforderlich. Allerdings bedürfen diese Richtlinien der Zustimmung der zuständigen Aufsichtsbehörde und können daher nicht ohne weiteres eingesetzt werden.

Weitere Alternativen?

Im Übrigen sind Unternehmen allgemein dazu angehalten, die Datenübermittlung entsprechend der DSGVO zu gestalten und die Zeit bis zur Entscheidung des EuGH zu nutzen, um ihre Datentransfers ins außereuropäische Ausland zu überprüfen. So sollte beispielsweise sichergestellt werden, dass bei Abschluss von Standardvertragsklauseln diese auch entsprechend umgesetzt werden. Es bestehen grundsätzlich noch weitere Möglichkeiten, bei denen die Übermittlung zulässig ist. Dazu gehören die Erforderlichkeit zur Durchführung eines Vertrags oder eine wirksame Einwilligung des Betroffenen. Zumindest letzteres ist allerdings kaum praktikabel und sollte im Einzelfall genau geprüft werden.

Weitere Möglichkeiten sind genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen. Diese haben in der Praxis bisher noch keine Bedeutung erlangt und sind gleichfalls mit größerem Aufwand verbunden. Um den Weg einzuschlagen, der ihnen das höchste Maß an Rechtssicherheit bietet, können sich Unternehmen zudem die Frage stellen, inwieweit sich der Datentransfer möglicherweise auf die EU beschränken lässt.

Es bleibt abzuwarten, ob sich der EuGH in seiner Entscheidung den Ausführungen des Generalanwalts anschließen und weitere grundsätzliche Ausführungen machen wird, die gegebenenfalls sogar das Privacy Shield aushebeln könnten. Grundsätzlich entfalten zwar Schlussanträge keine rechtlich bindende Wirkung, jedoch beeinflussen sie erfahrungsgemäß die Entscheidung des EuGH in hohem Maße.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!