EU-Standardvertragsklauseln vor Gericht

Die sogenannten EU-Standardvertragsklauseln werden von höchstrichterlicher Stelle geprüft. Der irische Gerichtshof hat die Frage der Rechtmäßigkeit der Klauseln dem Europäischen Gerichtshof (EuGH) vorgelegt. Nachdem der EuGH im Jahr 2015 bereits das Safe-Harbor-Abkommen für ungültig erklärte, ist die gerichtliche Überprüfung der Standardvertragsklauseln für Datenschutzexperten keine große Überraschung. Ein ähnlich vernichtendes Urteil würde jedoch alle Unternehmen, die personenbezogene Daten in die USA übermitteln, vor sehr große Probleme stellen.

Update Januar 2020: Generalanwalt beim EuGH hat keine Bedenken hinsichtlich der Standardvertragsklauseln

Mittlerweile hat sich der Generalanwalt in seinem Schlussantrag grundsätzlich positiv hinsichtlich der Standardvertragsklauseln geäußert. An diesen selbst gäbe es grundsätzlich nichts zu bemängeln und sie könnten damit weiter eingesetzt werden.

Allerdings schränkt er den Einsatz der Klauseln bzw. die Verarbeitung in Drittstaaten dann dergestalt ein, dass er Aufsichtsbehörden und Verwender in der Pflicht sieht, die Verarbeitung im Drittstaat bei Zweifeln zu untersagen bzw. einzustellen.

Faktisch hätten somit primär die verwendenden Unternehmen und in zweiter Linie die nationalen Aufsichtsbehörden den „schwarzen Peter“. Diese müssten selbst prüfen, ob die in den Klauseln getroffenen Vereinbarungen durch den Empfänger in seinem Rechtskreis eingehalten werden oder nicht und dann die entsprechenden Konsequenzen ziehen. Unternehmen müssten die Verarbeitung einstellen, hilfsweise müssten die Aufsichtsbehörden die Verarbeitung untersagen.

Im Klartext: Papier ist geduldig. Es kommt auf die rechtlichen und tatsächlichen Gegebenheiten an, ob die Verarbeitung außerhalb der EU möglich ist oder nicht.

Selbst wenn alle anderen Voraussetzungen erfüllt sind, bedarf es für die Übermittlung und Verarbeitung von personenbezogenen Daten in Drittstaaten (also außerhalb der EU bzw. des EWR) immer noch zusätzlich Garantien, dass die personenbezogenen Daten dort im vergleichbaren Maße wie in der EU geschützt werden. Als solche Garantien gelten ein Angemessenheitsbeschluss der EU-Kommission oder eben bestimmte Vertragskonstrukte, wie die EU-Standardvertragsklauseln sie gemäß Art. 46 DSGVO (EU-Datenschutz-Grundverordnung) darstellen.

Laut einer aktuellen repräsentativen Umfrage des Branchenverbandes Bitkom setzen derzeit tatsächlich acht von zehn Unternehmen (79 %), die Daten direkt oder über einen Dienstleister mit den USA austauschen, auf Standardvertragsklauseln. Nur 13 % nutzen das EU-U.S. Privacy Shield, die Nachfolgeregelung von Safe Harbor.

Der irische Gerichtshof hat jedoch generelle Zweifel, ob die Grundrechte europäischer Bürger in den USA gewahrt werden, insbesondere, ob die Möglichkeit auf Rechtsschutz besteht. Eben dies war auch der wesentliche Inhalt des Urteils, das Safe Harbor zu Fall brachte. Mit dieser Argumentation könnte übrigens auch das Privacy Shield bald infrage gestellt werden. Im Ergebnis steht der Datenverkehr mit der USA insgesamt auf dem Prüfstand!

Unternehmen, die auf Basis von EU-Standardvertragsklauseln Daten in die USA übermitteln bzw. dort verarbeiten lassen, müssen nun keinesfalls in Panik verfallen. Das Interesse der EU an einem Austausch europäischer und US-Unternehmen dürfte derart hoch sein, dass ggfs. schnell Nachfolgeregelungen gesucht werden. Wie diese aussehen, hängt aber vor allem auch vom Urteil des EuGHs ab und welche Anforderungen sich daraus entnehmen lassen. Es lohnt sich daher bereits jetzt, über Exitstrategien nachzudenken und diese z. B. durch den betrieblichen Datenschutzbeauftragten prüfen zu lassen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.