EuGH-Generalanwalt zu Schrems 2

Obwohl die Standardvertragsklauseln als solche gültig bleiben, dürfte es sehr wahrscheinlich zu Einschränkungen des Datentransfers in die USA an Unternehmen kommen, die unter die US-Überwachungsgesetze fallen, wenn der Europäische Gerichtshof dem Gutachten des Generalanwalts folgt. Ob der EuGH sich zum Privacy Shield äußern wird, ist noch unklar.

Zum Hintergrund:

Nach der DSGVO dürfen personenbezogene Daten an ein Drittland übermittelt werden, wenn das  EU-Recht dafür eine Rechtsgrundlage vorsieht. Eine solche liegt etwa vor, wenn die Kommission in einem Angemessenheitsbeschluss festgestellt hat, dass das Drittland ein angemessenes Datenschutzniveau aufweist, oder wenn zwischen Datenexporteur und -importeur Standardvertragsklauseln verwendet werden, die geeignete Garantien für den Datenschutz bieten. In der „zweiten Runde“ des Verfahrens um die Beschwerde von Max Schrems  ̶ Schrems hält die Übermittlung seiner personenbezogenen Daten in die USA durch Facebook für unzulässig, soweit diese der Massenüberwachung durch US-Behörden unterliegen  ̶, stehen die EU-Standardvertragsklauseln und indirekt auch der EU-US Privacy Shield – ein besonderer Angemessenheitsbeschluss – vor dem EuGH auf dem Prüfstand. Seitdem die Safe-Harbour- Entscheidung der EU-Kommission – auf die Facebook den Datentransfer vormals stützte – vom EuGH im Jahr 2016 für ungültig erklärt wurde, stützt Facebook seine Datentransfers in die USA auf EU-Standardvertragsklauseln und den EU-US Privacy Shield. Der Ausgang des Verfahrens hat daher weitreichende Bedeutung für alle EU-Unternehmen, die Daten an Unternehmen in den USA übermitteln, deren Datenbestände dem Zugriff durch US-Behörden unterliegen.

Zur Stellungnahme des Generalanwalts

Bei der Klage der irischen Datenschutzbehörde gegen Facebook Irland und Max Schrems (Rechtssache C-311/18) hat Generalanwalt Saugmandsgaard Øe am 19.12.2019 seine Schlussanträge vor dem EuGH gestellt. Darin empfiehlt der Generalanwalt dem Gerichtshof, die EU-Standardvertragsklauseln für gültig zu erklären. Eine Entscheidung über den EU-US Privacy Shield sei für das vorliegende Verfahren nicht entscheidungserheblich, an dessen Gültigkeit bestünden jedoch Zweifel.

1. Zur Gültigkeit der Standardvertragsklauseln

Nach Ansicht des Generalanwalts gehe es im vorliegenden Verfahren vor dem EuGH allein um die Feststellung, ob die Standardvertragsklauseln gültig seien. Daran bestünden nach seiner Auffassung keine Zweifel.Konkret gehe es um den Beschluss 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern. Dieser Beschluss enthalte allgemeine Regelungen, die unabhängig vom Bestimmungsland (hier: die USA) und dem dort sichergestellten Schutzniveau gelten. Dass die Standardvertragsklauseln die Behörden des Drittlands nicht binden und diese dem Datenimporteur daher widersprechende Pflichten auferlegen könnten, mache den Beschluss als solchen nicht ungültig.Ob die Standardvertragsklauseln mit der EU-Grundrechtecharta vereinbar seien, hänge davon ab, ob durch „ausreichend wirksame Regelungen“ sichergestellt sei, dass Datenübermittlungen auf der Basis von Standardvertragsklauseln ausgesetzt oder verboten würden, wenn die Klauseln nicht eingehalten oder verletzt würden. Dies sei dann der Fall, wenn die für die Datenverarbeitung Verantwortlichen – und bei deren Untätigkeit die Datenschutzaufsichtsbehörden – verpflichtet seien, Datenübermittlungen auszusetzen oder zu verbieten, wenn die Klauseln nicht eingehalten werden könnten, weil die sich aus ihnen ergebenden Pflichten mit den im Drittland geltenden Pflichten kollidieren.Nach Auffassung des Generalanwalts besteht nach dem EU-Recht generell eine solche Pflicht der Datenschutzaufsichtsbehörden. Dies ergebe sich aus einer Auslegung der Standardvertragsklauseln in Verbindung mit der Datenschutzgrundverordnung und der EU-Grundrechtecharta (siehe insb. Art. 4 des Beschlusses zu den Standardvertragsklauseln, Art. 58 Abs. 2 DSGVO, Art. 8 Abs. 3 EU-Grundrechtecharta). Er kommt damit zu dem Ergebnis, dass die Standardvertragsklauseln gültig sind und die Aufsichtsbehörden die Transfers bei deren Nichteinhaltung aussetzen müssen.Der EuGH ist an die Schlussanträge des Generalanwalts nicht gebunden. Entscheidet er wie vom Generalanwalt vorgeschlagen, dürfte dies dazu führen, dass die irische Datenschutzbehörde die Übermittlung der Daten von Max Schrems an Facebook USA angesichts der Verpflichtung von Facebook,  bestimmten US-Behörden den Zugriff auf die Daten zu gewähren, aussetzen wird. Andere Datenschutzaufsichtsbehörden könnten folgen und ebenfalls Datenübermittlungen an US-Unternehmen untersagen, die unter die US-Überwachungsgesetze fallen. Neben Facebook sind dies u.a. Google und Microsoft. Obwohl die Standardvertragsklauseln als solche gültig bleiben, dürfte es damit sehr wahrscheinlich zu Einschränkungen des Datentransfers in die USA an die betroffenen Unternehmen kommen, soweit diese nicht auf eine alternative Rechtsgrundlage gestützt werden können.Angesichts der Komplexität des Falles (siehe auch cepAktuell vom 10.07.2019 zum Verfahren) und der Verschachtelung der Vorlagefragen ist es im vorliegenden Fall jedoch nicht ausgeschlossen, dass der Gerichtshof eine abweichende Entscheidung trifft.

2. Zur Gültigkeit des EU-US Privacy Shields

Die Gültigkeit des sogenannten EU-US Privacy Shields, einer weiteren Rechtsgrundlage für den Datentransfer in die USA, ist indirekt Gegenstand einiger der gestellten Vorlagefragen. 

Generalanwalt Saugmandsgaard Øe hält eine Entscheidung des EuGH über die Gültigkeit des Privacy Shields im vorliegenden Verfahren nicht für entscheidungsrelevant und daher für verfrüht. Er geht in seiner 51-seitigen Stellungnahme aber dennoch hilfsweise detailliert auf den Privacy Shield ein. Nach ausführlicher Prüfung äußert der Generalanwalt angesichts der Rechte und Praktiken der Geheimdienste in den USA Zweifel an der Gültigkeit der von der Kommission im Privacy-Shield-Beschluss getroffenen Feststellung, dass in den USA ein angemessenes Schutzniveau im Sinne der Datenschutzgrundverordnung besteht, die im Lichte der EU-Grundrechtecharta und der Europäischen Menschenrechtskonvention auszulegen sei. Insbesondere sei der Ombudsmann-Rechtsbehelf ungenügend (ebenso bereits cepStudie „Privacy Shield“).