EuGH-Generalanwalt: Regeln für Datentransfers aus Europa können in Kraft bleiben

Die aktuellen Regeln für Datentransfers aus Europa können vermutlich in Kraft bleiben. Der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ist zumindest nach Ansicht des Generalanwaltes Henrik Saugmandsgaard Øe gültig. Die Verantwortlichen für die Datenverarbeitung und die Kontrollbehörden seien allerdings verpflichtet, die Übermittlung zu stoppen, wenn gegen Datenschutz-Vorgaben verstoßen werde (Schlussanträge vom 19.12.2019, Az.: C-311/18, BeckRS 2019, 32163).

Streit um Standardvertragsklauseln

Die Datenschutz-Grundverordnung (VO (EU) 2016/679) sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten (RL 95/46/EG), an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können unter anderem die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Hintergrund: Urteil im Fall Schrems

Zur Vorgeschichte des Ausgangsrechtsstreits gehört das Verfahren des österreichischen Facebook-Nutzers Maximilian Schrems (NZA 2015, 1373). Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung, wonach die Vereinigten Staaten im Rahmen der sogenannten Safe-Harbor-Regelung ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, für ungültig erklärt. Im Anschluss daran erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren. Zu diesem Zweck bat Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20.11.2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

Zweifel an Standardvertragsklauseln als Grundlage für Datenübermittlung

In seiner neu formulierten Beschwerde machte Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Kontrollstelle leitete Verfahren beim High Court ein

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die USA einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Schrems von der Frage abhänge, ob der Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

Generalanwalt geht von Gültigkeit des Beschlusses aus

In seinen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem EuGH vor zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte. Der Generalanwalt stellte zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Schrems genannten Übermittlungen geltend gemacht worden seien.

Unionsrecht anwendbar

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar ist, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Ziel auf unterschiedliche Weise erreichbar

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung über Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt werden, die vom Exporteur gegeben werden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten übermittelt werden, ein Schutzniveau sicherstellt, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergibt, im Wesentlichen gleichwertig ist. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Für Datenverarbeitung Verantwortliche und Kontrollstellen müssen Übermittlung aussetzen können

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta. Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge vielmehr davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten. Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Entscheidung über Datenschutzschild-Beschluss nicht erforderlich

Der Generalanwalt stellte außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12.07.2016, dem sogenannten Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt werden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt werden, gewährt werde. Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es allerdings nicht für erforderlich, dass der EuGH über die Gültigkeit des Datenschutzschild-Beschlusses entscheidet, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.

EuGH, Schlussanträge vom 19.12.2019 - C-311/18

Redaktion beck-aktuell, 23. Dezember 2019.

Mehr zum Thema

Aus der Datenbank beck-online

Generalanwalt beim EuGH, Protection of natural persons with regard to the processing of personal data, BeckRS 2019, 32163 (Schlussanträge in englischer Sprache)

Mense, EU-US-Privacy-Shield – der kleinste gemeinsame Nenner angemessenen Datenschutzes?, ZD 2019, 351

Molnár-Gábor/Kaffenberger: EU-US-Privacy-Shield – Bedeutung des Angemessenheitsbeschlusses der EU-Kommission, ZD 2018, 162

EuGH, Ungültigkeit der Safe-Harbor-Entscheidung der EU betreffend die USA, NZA 2015, 1373

Weichert, Max Schrems, Kämpf um deine Daten, ZD-Aktuell 2014, 04112

Aus dem Nachrichtenarchiv

EuGH, "Safe Harbor"-Entscheidung der Europäischen Kommission ungültig, Meldung der beck-aktuell-Redaktion vom 06.10.2015, becklink 2001275

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.