Standardvertragsklauseln
Datenschutz: EU vs. USA
von
Nils
Müller - 31.03.2020
Foto: Andy Shell / shutterstock.com
Der EuGH-Generalanwalt hat seine Schlussanträge zu den Standardvertragsklauseln vorgelegt. Die unterschiedlichen Regeln der EU und Staaten, die außerhalb des DSGVO-Geltungsbereiches liegen, sind nicht immer leicht in Einklang zu bringen.
Im Dezember 2019 hat Generalanwalt Henrik Saugmandsgaard Øe seine Schlussanträge im Fall C-311/18 des EuGH zu Standardvertragsklauseln für die Datenübermittlung in Staaten außerhalb des DSGVO-Geltungsbereichs veröffentlicht. Anlass für das Verfahren ist eine Vorlage des irischen High Court. Der österreichische Datenschutzexperte Maximilian Schrems hatte in einer Beschwerde bei der irischen Datenschutzbehörde erklärt, dass Recht und Praxis in den USA eine ausreichende Sicherheit der dorthin übermittelten Daten nicht gewährleisten können und die Datenübermittlung daher gestoppt werden müsse. Zum einen stünden die Klauseln in der Facebook-Vereinbarung für die Übermittlung personenbezogener Daten in die USA nicht mit den Standardvertragsklauseln des Beschlusses 2010/87/EU der EU-Kommission in Einklang, zum anderen könnten diese Standardvertragsklauseln keinesfalls die Übermittlung der ihn betreffenden personenbezogenen Daten in die Vereinigten Staaten rechtfertigen, da es keinen Rechtsbehelf gebe, der es Betroffenen erlauben würde, sich in den Vereinigten Staaten auf ihr Recht auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten zu berufen.
Laut Generalanwalt soll die Gültigkeit des Beschlusses 2010/87/EU durch die Fragen, die das irische Gericht an den EuGH gerichtet hat, nicht beeinträchtigt werden. Die Vereinbarkeit des Beschlusses mit der Charta hänge davon ab, ob es hinreichend solide Mechanismen gibt, die gewährleisten, dass Übertragungen auf der Grundlage der Standardvertragsklauseln ausgesetzt oder verboten werden, wenn diese Klauseln verletzt werden oder nicht eingehalten werden können. Daher böten die Standardvertragsklauseln grundsätzlich einen gültigen Mechanismus zur Erleichterung der internationalen Übermittlung personenbezogener Daten. Sei jedoch absehbar, dass ein Vertragspartner die Standardvertragsklauseln nicht einhalten könne, seien die Datenschutzbehörden in der Pflicht, die Datenübermittlung zu prüfen und gegebenenfalls Maßnahmen zu ergreifen, notfalls auch die Übermittlung zu untersagen.
Die Schlussanträge des Generalanwalts binden den EuGH nicht, sind aber ein Hinweis auf das ausstehende Urteil. Auch dieses ist zunächst nicht bindend, bildet aber die Grundlage für Entscheidungen von Aufsichtsbehörden und anderer Gerichte. Unternehmen sollten also baldmöglichst prüfen, ob sie Standardvertragsklauseln verwenden oder verwenden möchten. – Wie die noch für den Februar erwartete Entscheidung des EuGH ausgefallen ist, stand zu Redaktionsschluss noch nicht fest.
