Das Ende des internationalen Datentransfers

Maximilian Schrems schlägt wieder zu: Nachdem der EUGH im Oktober 2015 das Safe-Harbor-Abkommen aufgrund der Klage des damaligen Jura-Studenten gekippt hat, geht der heutige Rechtsanwalt gegen die EU-Standardvertragsklausel für die Datenübermittlung vor. [...]

Der Oberste Irische Gerichtshof (High Court) hat nun den EuGH angerufen, um über die Wirksamkeit der EU-Standardvertragsklauseln zu entscheiden. Werden die EU-Standardvertragsklauseln aufgehoben, fehlt eine Rechtsgrundlage, mit der personenbezogene Daten aus der EU heraus in Drittstaaten übermittelt werden können.
Grundlage des Verfahrens in Irland ist erneut eine Auseinandersetzung zwischen Maximilian Schrems und Facebook darüber, ob die Übermittlung personenbezogener Daten durch Facebook in die USA zulässig ist. Auf Initiative von Maximilian Schrems hat der EuGH bereits das Safe-Harbor-Abkommen aufgehoben, weil die personenbezogenen Daten in den USA nicht ausreichend geschützt werden.
Der EuGH hat seine Entscheidung im Wesentlichen auf die folgenden Punkte gestützt: Die nationalen Behörden insbesondere die Nachrichtendienste der USA werden durch das Safe-Harbor Abkommen nicht verpflichtet, die Datenschutzgrundsätze des Abkommens einzuhalten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA Vorrang vor den Grundsätzen des Safe Harbor Abkommens.
Unternehmen, die die Safe Harbor Grundsätze umsetzen wollen, bleiben damit dennoch verpflichtet, die nationalen Gesetze der USA anzuwenden, soweit die Datenschutzgrundsätze im Konflikt mit jenen höherrangigen Interessen stehen. Letztlich werden dadurch Eingriffe der US-Behörden in die Grundrechte der europäischen Bürger gestattet, ohne dass die Entscheidung der Europäischen Kommission feststellt, dass es in den USA effektive Schutzmechanismen zur Wahrung der Interessen der europäischen Bürger gibt – etwa einen wirksamen gerichtlichen Rechtsschutz oder ein Informationsrecht über Art und Weise der Datenverarbeitung.
Infolge des Urteils haben die USA und die EU mit dem EU-US Privacy Shield ein Abkommen geschaffen, das die Nachfolge von Safe Harbor antreten soll. Das EU-US Privacy Shield adressiert die vom EuGH in seiner Safe Harbor Entscheidung aufgeworfenen Kritikpunkte. Jedoch ist das Nachfolgeabkommen bereits angegriffen worden und der EuGH muss in naher Zukunft auch über dessen Wirksamkeit entscheiden.
Unbeachtet von dem Safe-Harbor Abkommen sind die EU-Standardvertragsklauseln weiterhin angewendet worden. Maximilian Schrems ist weiterhin der Ansicht, dass in den USA kein angemessenes Datenschutzniveau herrscht, da dort etwa die Ermittlungsbehörden und die Geheimdienste umfangreiche Überwachungsbefugnisse haben.
Die EU-Kommission hat das Urteil des EuGH zum Safe Harbor Abkommen nicht zum Anlass genommen, die EU-Standardvertragsklauseln zu überarbeiten, trotz dem die Kritikpunkte des EuGH grundsätzlich auch die EU-Standardvertragsklauseln betreffen. Denn der Regelungsmechanismus zwischen Safe-Harbor und den EU-Standardvertragsklauseln ist weitgehend identisch. Besonders brisant ist, dass anders als bei Safe-Harbor die EU-Standardvertragsklauseln nicht nur den Datentransfer zwischen der EU und den USA, sondern zwischen der EU und allen anderen Drittländern betreffen.
Bedeutung der EU-Standardvertragsklauseln
Möchte eine verantwortliche Stelle personenbezogene Daten an eine andere Stelle außerhalb der Europäischen Union übermitteln, bedarf dies neben den üblichen Rechtmäßigkeitsvoraussetzungen, zum Beispiel einer Einwilligung oder einer gesetzlichen Erlaubnis, zusätzlicher Gewährleistungen eines angemessenen Datenschutzniveaus im Empfängerland. Dies trägt dem Umstand Rechnung, dass die personenbezogenen Daten, wenn diese die Europäische Union verlassen haben, in einem Umfeld verarbeitet werden, das den Datenschutz gegebenenfalls nicht in gleichem Maß Rechnung trägt. Die personenbezogenen Daten der Betroffenen wären dann also schlechter geschützt, als dies bei einer Verarbeitung innerhalb der Europäischen Union der Fall wäre.
Deshalb verlangt das europäische Datenschutzrecht, dass im Empfängerland ein angemessenes Datenschutzniveau herrscht. Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, muss der Datenexporteur individuelle Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau herzustellen. Hierfür können Datenexporteur und Datenimporteur auf die EU-Standardvertragsklauseln zurückgreifen. Die EU-Standardvertragsklausel enthalten Regelungen für den Umgang mit personenbezogenen Daten, die dann individuell zwischen Datenexporteur und Datenimporteur wirksam werden. Dadurch wird in diesem bilateralen Verhältnis ein angemessenes Datenschutzniveau geschaffen, welches den Datentransfer legitimiert.
Überprüfung der Standardvertragsklauseln
Der irische High Court bezweifelt nun, ob die EU Standardvertragsklauseln rechtmäßig sind. Nach Ansicht des Gerichtshofs steht die Vereinbarkeit der Standardvertragsklauseln mit dem Schutz der Privatsphäre und dem Schutz von personenbezogenen Daten nach der EU Grundrechte Charta in Frage. Denn in den USA fehle es an wirksamen Maßnahmen, mit denen EU-Bürger den Schutz der sie betreffenden personenbezogenen Daten in den USA begehren und durchsetzen können. Damit stellt der irische High Court auf die Argumentation des EuGH in dessen Entscheidung zu Safe Harbor ab. Es ist daher sehr wahrscheinlich, dass der EuGH auch die EU-Standardvertragsklauseln beanstanden wird.
Mögliche Auswirkungen des Urteils
Eine Unwirksamkeit der Standardvertragsklauseln hätte große Auswirkungen. Nicht nur für Facebook, sondern ebenfalls für eine Vielzahl anderer Unternehmen in Deutschland. Ein Großteil der Unternehmen, die personenbezogene Daten in Drittstaaten übermitteln, setzen auf die EU Standardvertragsklauseln als Rechtsgrundlage. Würde diese Rechtsgrundlage für unwirksam erklärt werden, wäre es in den meisten Fällen unzulässig, personenbezogene Daten in Drittstaaten zu übermitteln.
Um diesen Datentransfer zu legitimieren, müssten dann aufwändigere Maßnahmen ergriffen werden. Zum Beispiel könnten die Betroffenen ausdrücklich in den Datentransfer einwilligen. Oder, für den konzerninternen Datentransfer, könnten verbindliche Unternehmensrichtlinien (sogenannte Binding Corporate Rules) erlassen werden. Wichtig ist, dass die Unwirksamkeit der EU-Standardvertragsklauseln nicht nur den Datentransfer in die USA, sondern in sämtliche Drittstaaten betreffen würde.
Wahrscheinlicher ist jedoch, dass der EuGH die EU-Standardvertragsklauseln zwar beanstanden wird, der EU Kommission aber Zeit für Nachbesserungen einräumen wird. So hat der EuGH im Fall des Safe Harbor Abkommens entschieden. Allerdings ist es wahrscheinlich, dass der EuGH nach den Erfahrungen mit dem EU-US Privacy Shield strengere Vorgaben für die Nachbesserungen äußern wird. Insofern hätte ein Urteil schwerwiegende Folgen für die Praxis.
* Christian Kuss und Michael Rath sind Rechtsanwälte bei der Luther Rechtsanwaltsgesellschaft mbH in Köln.

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*