EU-Standardvertragsklauseln auf dem Prüfstand

Der Irische High Court hat am 12.04.2018 dem EuGH zahlreiche Fragen zur Vorabentscheidung vorgelegt, die die Zulässigkeit internationaler Datentransfers auf Basis von Standardvertragsklauseln betreffen. Konkret geht es in dem Verfahren darum, dass Facebooks EU-Zentrale (Facebook Ireland Ltd., nachfolgend: Facebook) alle Daten europäischer Facebook-Nutzer an die US-amerikanische Muttergesellschaft weiterleitet, die die Daten dort verarbeitet. Facebook stützt sich zur Rechtfertigung des Datentransfers auf sogenannte EU-Standardvertragsklauseln, der österreichische Facebook-Nutzer Maximilian Schrems hält seine Daten auch unter Geltung dieser Klauseln jedoch in den USA für unzureichend geschützt, insbesondere gegen die dort praktizierte Massenüberwachung durch US-Geheimdienste. Er hatte daher bei der irischen Datenschutzbeauftragten Beschwerde eingereicht und beantragt, den Transfer seiner Daten durch Facebook in die USA auszusetzen. Die irische Datenschutzbeauftragte hatte jedoch generelle Zweifel an der Gültigkeit der Standardvertragsklauseln. Anstatt von ihrer Befugnis Gebrauch zu machen, Facebook die Datenübermittlungen im konkreten Fall zu verbieten, erhob sie gegen Schrems und Facebook ein Verfahren vor dem High Court. Dieser beschloss im Oktober 2017, den EuGH mit den ungeklärten Fragen rund um die Gültigkeit der Standardvertragsklauseln zu befassen. Ein halbes Jahr später hat der High Court nun die (elf!) Vorlagefragen formuliert.

Danach muss der EuGH nun darüber befinden,

1. ob EU-Recht und damit auch die EU-Grundrechtecharta vorliegend überhaupt anwendbar sind, was Facebook bestreitet, weil es um Fragen der nationalen Sicherheit gehe, die in die Verantwortung der EU-Mitgliedstaaten fallen  (Art. 4 Abs. 2 EUV) und die EU-Datenschutzrichtlinie 95/46/EG auf Datenverarbeitungen, die bestimmte nationale Interessen wie die öffentliche Sicherheit und Landesverteidigung betreffen, nicht anwendbar sei;

2. ob die Prüfung, ob der Datentransfer in ein Drittland, das diese Daten für nationale Sicherheitszwecke weiterverarbeitet, gegen EU-Recht verstößt, anhand eines Vergleichs mit EU-Recht oder (bei dessen Nichtanwendbarkeit) mit nationalem Recht und ggf. sogar Praktiken der Mitgliedstaaten vorzunehmen ist;

3. ob bei der Prüfung, ob das für den Transfer erforderliche Schutzniveau im Drittland vorliege, lediglich das dort geltende Recht und internationale Verpflichtungen abzustellen oder auch auf administrative und nicht-juristische Praktiken und „Rechtsmittel“ einzubeziehen sind,

4. ob – auf Basis der vom High Court festgestellten Fakten zum des US-Recht – der Transfer der personenbezogenen Daten aus der EU in die USA auf Basis von Standardvertragsklauseln die Grundrechte der Betroffenen auf Achtung des Privatlebens und Schutz personenbezogener Daten (Art. 7, 8 EU-GRCh) verletzt;

5. ob – auf Basis der vom High Court festgestellten Fakten zum US-Recht – das Schutzniveau in den USA den Wesensgehalt des Rechts auf effektiven gerichtlichen Rechtsschutz nach Art. 47 der Grundrechtecharta wahrt, und, falls ja, ob die Beschränkung dieses Rechts in den USA verhältnismäßig ist und nicht über das hinausgeht, was in einer demokratischen Gesellschaft zu Zwecken des Schutzes der nationalen Sicherheit notwendig ist;

6. welches Schutzniveau für einen Datentransfer auf Basis von Standardvertragsklauseln gemäß der EU-Datenschutzrichtlinie – ausgelegt im Lichte der Grundrechtecharta – erforderlich ist und was bei der Beurteilung zu berücksichtigen ist;

7. ob Standardvertragsklauseln schon deshalb keine ausreichenden Garantien i.S.d. Art. 26 Abs. 2 der Datenschutzrichtlinie 95/46/EG bieten können, weil sie als vertragliche Instrumente nationale Behörden des Drittlands nicht binden;

8. ob die zuständige EU-Datenschutzbehörde dann, wenn ein Datenempfänger im Drittland Überwachungsgesetzen unterworfen ist, die dem EU-Recht widersprechen, den Datentransfer ins Drittland aussetzen muss, nur in Ausnahmefällen aussetzen muss oder ein Ermessen hat, nicht auszusetzen;

9. ob EU-Datenschutzbehörden und mitgliedstaatliche Gerichte an die Feststellung der Kommission im sogenannten „Privacy Shield-Beschluss“ [(EU) 2016/1250] gebunden sind, wonach die USA ein angemessenes Schutzniveau i.S.v. Art. 25 Abs. 6 der EU-Datenschutzrichtlinie aufweisen, und wenn nicht, welche Bedeutung dieser Beschluss sonst für die Frage hat, ob „ausreichende Garantien“ hinsichtlich des Grundrechtsschutzes vorliegen;

10. ob der im Rahmen des Privacy Shield-Beschlusses [(EU) 2016/1250] geschaffene Ombudsperson-Rechtsbehelf – der laut Anlage A dieses Beschlusses auch für Datentransfers auf der Basis von Standardvertragsklauseln Anwendung finden soll – auf Basis der vom High Court festgestellten Fakten zum US-Recht ein Rechtsmittel i.S.d. Art. 47 der EU-Grundrechtecharta ist, und

11. ob in der Konsequenz die Kommissionsentscheidungen zu den Standardvertragsklauseln die EU-Grundrechte der Betroffenen auf Achtung des Privatlebens und Schutz personenbezogener Daten und effektiven gerichtlichen Rechtsschutz verletzen und daher für ungültig zu erklären sind.

Cep-Expertin Hoffmann: „Die Entscheidung ist wichtig für alle Unternehmen in der EU, die – gestützt auf Standardvertragsklauseln – personenbezogene Daten an solche US-Unternehmen übermitteln, die nach US-Recht verpflichtet sind, Überwachungsbehörden in den USA Zugriff auf diese Daten zu gewähren (insbesondere Betreiber elektronischer Kommunikationsdienste wie Facebook). Die Entscheidung des EuGH hat das Potential, die Zulässigkeit solcher internationalen Datentransfers auf Basis von Standardvertragsklauseln maßgeblich einzuschränken. Interessant wird sein, ob der Gerichtshof die Frage der Gültigkeit der Standardvertragsklauseln im konkreten Fall tatsächlich für entscheidungserheblich hält, wovon der Irische High Court offenkundig ausgeht. Der EuGH muss dies grundsätzlich akzeptieren; nur in wenigen engen Fällen wie etwa bei offensichtlich konstruierten Rechtsstreitigkeiten kann er Vorlageverfahren mangels Entscheidungserheblichkeit für unzulässig erklären.“

Geschieht dies nicht, kann nicht ausgeschlossen werden, dass der Gerichtshof die den Standardvertragsklauseln zugrundeliegenden Kommissionsentscheidungen und damit eine der wichtigsten Rechtsgrundlagen für transatlantische Datenübermittlungen im Bereich für ungültig erklärt. Datentransfers auf Basis der Standardvertragsklauseln wäre dann insoweit unzulässig – mit weitreichenden Bedeutungen für die Wirtschaft. Geht der Gerichtshof hingegen von der Gültigkeit der Entscheidungen aus, könnte er die irische Datenschutzbeauftragte verpflichten, den Fall selbst zu entscheiden und Facebook-Datentransfers in die USA ggf. auszusetzen, indem sie von ihrer Befugnis gemäß Art. 4 der Kommissionsentscheidungen zu den Standardvertragsklauseln Gebrauch macht. Andere EU-Datenschutzbehörden könnten dieser Praxis folgen.

Prekär an diesem Fall: Im selben Verfahren hatte der Irische Gerichtshof im Oktober 2015 die sogenannte „Safe-Harbour-Entscheidung“, auf die Facebook seinen Datentransfer ursprünglich gestützt hatte, für unwirksam erklärt. Nun steht mit den Standardvertragsklauseln ein weiteres, alternatives Übermittlungsinstrument für den Datentransfer in Drittländer auf dem Prüfstand. Denn ein zulässiger internationaler Datentransfer setzt nicht nur voraus, dass die Übertragung der Daten innerhalb der EU rechtmäßig wäre, sondern es muss zudem eine Erlaubnis für den Transfer der Daten aus der EU heraus in das Drittland vorliegen. Rechtsgrundlage hierfür kann nach EU-Datenschutzrecht u.a. ein Angemessenheitsbeschluss der Kommission oder alternative vertragliche Instrumente wie Standardvertragsklauseln oder Binding Corporate Rules sein.

Die Vorlagefragen haben auch für solche Datentransfers Bedeutung, die nicht auf Standardvertragsklauseln, sondern auf den sogenannten EU-U.S. „Privacy Shield“ gestützt werden, der eine weitere wichtige Rechtsgrundlage für transatlantische Datentransfers in die USA darstellt. Dieser „Datenschutzschild“ basiert auf einem sogenannten Angemessenheitsbeschluss aus dem Jahr 2016, mit dem die Kommission anerkennt, dass die USA für alle unter dem „Privacy Shield“ zertifizierten US-Unternehmen ein „angemessenes Datenschutzniveau“ vergleichbar demjenigen der EU aufweist. Unter dem „Privacy Shield“ wurde eine US-Ombudsperson geschaffen, die Rechtsschutz gegen Datenzugriffe durch US-Behörden bieten soll. Dies ist auch für den hiesigen Fall relevant, weil dieser Rechtsbehelf laut Anlage A des „Privacy Shield“-Beschlusses auch Betroffenen in der EU zur Verfügung stehen soll, deren Daten auf der Basis von Standardvertragsklauseln übertragen werden. Entschiede der Gerichtshof nun vorliegend, dass dieser Rechtsbehelf unzureichend ist, wird die Antwort auf diese Frage im Rahmen einer (späteren) Überprüfung der (Un-)Gültigkeit des „Privacy Shields“ kaum anders ausfallen können.

Damit drohen auf längere Sicht für den Transfer personenbezogener Daten aus der EU an diejenigen US-Unternehmen, die aufgrund nationaler Überwachungsgesetze verpflichtet sind, US-Behörden den Zugriff auf diese Daten zu gewähren (insbesondere elektronische Kommunikationsdienstleister), möglicherweise gleich zwei wichtige Rechtsgrundlagen wegzubrechen. Es wird daher spannend, wie der EuGH entscheidet.

Sofern die USA ihre Überwachungsgesetze nicht entschärfen (was derzeit nicht zu erwarten ist), bliebe Facebook dann nur noch übrig, Daten europäischer Nutzer ausschließlich in der EU zu speichern.

Dr. Anja Hoffmann, LL.M. Eur., EU-Verträge & -Institutionen, hoffmann(at)cep.eu