Jörg Ukrow

EuGH: Regelungen für Übermittlungen von Daten aus der EU können in Kraft bleiben


Nach Auffassung des dänischen Generalanwalts Henrik Saugmandsgaard Øe in seinen Schlussanträgen v. 19.12.2019 (Rs. C-311/18), bestehen gegen den Beschluss 2010/87/EU der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern keine durchgreifenden unionsrechtlichen Bedenken. Die Verantwortlichen für die Datenverarbeitung und die Kontrollbehörden müssen aber den Transfer von Daten stoppen, wenn gegen EU-Datenschutz-Vorgaben verstoßen werde.

Das zu Grunde liegende Vorabentscheidungsersuchen erfolgt i.R.d. fortdauernden Streitigkeiten zwischen Maximilian Schrems und der irischen Datenschutzbehörde über die Wahrung von EU-Datenschutz durch das Unternehmen Facebook.

 

In seinen Schlussanträgen betont der Generalanwalt zunächst, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87/EU gültig sei, mit dem die EU-Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Schrems genannten Übermittlungen geltend gemacht worden seien.

 

EU-Datenschutzrecht ist aus Sicht des Generalanwalts auf Transfers personenbezogener Daten in einen Drittstaat auch dann anwendbar, wenn die zu gewerblichen Zwecken übermittelten Daten durch Behörden dieses Drittstaats für Zwecke der nationalen Sicherheit verarbeitet werden können. Die Bestimmungen der Datenschutzgrundverordnung (DS-GVO) über Übermittlungen in Drittländer bezweckten, ein dauerhaft hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder auf Grund geeigneter Garantien übermittelt werden, die vom Exporteur gegeben werden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein Drittstaat auf Grund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten übermittelt werden, ein Schutzniveau sicherstellt, das dem Niveau, das sich aus der im Licht der GRCh ausgelegten DS-GVO ergibt, im Wesentlichen gleichwertig ist. Andererseits müssten die vom Exporteur – insb. vertraglich – gegebenen geeigneten Garantien selbst ein solches Schutzniveau sicherstellen. Die Standardvertragsklauseln der EU-Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

 

Sodann prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87/EU anhand der GRCh. Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslands nicht binden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der GRCh hänge vielmehr davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

 

Schließlich stellt der Generalanwalt hilfsweise klar, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen hinsichtlich der Gültigkeit des EU-US-Privacy-Shields stellen.

Dr. Jörg Ukrow, LL.M.Eur., ist geschäftsführendes Vorstandsmitglied des Instituts für Europäisches Medienrecht e.V. (EMR) und stellvertretender Direktor der Landesmedienanstalt Saarland (LMS).