Das Ende transatlantischer Datenübermittlung aufgrund von Standardvertragsklauseln!?

Veröffentlicht am Veröffentlicht in Datenschutz, Internetrecht, IT-Sicherheit

Der österreichische Datenschützer Max Schrems bringt wieder einmal Facebook in Bedrängnis. Der irische High Court, an den sich Schrems und die irische Datenschutzbehörde bzgl. der Zulässigkeit sog. EU-Standardvertragsklauseln gewandt hatten, entschied nun, den EuGH in dieser Sache anzurufen (Beschl. v. 03.10.2017. – 2016 No. 4809 P).

Schrems wollte ursprünglich die irische Datenschutzbehörde dazu bewegen, Facebook den  Datentransfers in die USA gem. Art. 4 des Kommissionsbeschlusses zu Standardvertragsklauseln (RL 2010/87/EU) mit sofortiger Wirkung zu untersagen. Hierzu waren die irischen Datenschützer zwar nicht bereit, legten jedoch die Klauseln dem irischen Gericht zur Beurteilung vor.

Hintergrund der Problematik ist Facebooks Datenübermittlung zu Analysezwecken an ihre Server in den USA. Grundsätzlich dürfen europäische Daten nicht ins Ausland transferiert werden, wenn der Betroffene keine EInwilligung erteilt hat und keine besonderen Gründe hierfür vorliegen (§§ 4, 4a, 4b BDSG). Eine Ausnahme hiervon besteht allerdings, wenn die Daten in einen Drittstaat mit angemessenem Schutzniveau transferiert werden. Hierzu zählt etwa die Schweiz, Andorra, Argentinien, die Färör-Inseln und Uruguay (Art. 25 I, II RL 95/46/EG). Die USA werden allerdings nicht als ein solcher Drittstaat angesehen, weswegen der Datentransfer grundsätzlich unzulässig ist (gesetzliche Ausnahmen in § 4c BDSG). Indes war es durch das „Safe-Harbour-Abkommen” bzw. ist es mittlerweile durch das „EU-US-Privacy-Shield” möglich, durch spezifische Vorgaben und einen eigenen Rechtsschutzmechanismus die Datenübertragung legal vorzunehmen. Da dies aber nicht unbedingt eine rechtssichere Lösung ist, was das EuGH-Urteil aus dem Jahr 2015 zeigte, welches das „Safe-Harbour-Abkommen” zu Fall brachte, wollten sich Unternehmen vorwiegend mit den sog. EU-Standardvertragsklauseln absichern.

Mittels der EU-Standardvertragsklauseln sollen Unternehmen, die Daten in den USA  bearbeiten, vertraglich zu einer Einhaltung eines angemessenen Datenschutzniveaus verpflichtet werden. Zusätzlich ist dann noch eine separate Datenschutzvereinbarung notwendig, die den Anforderungen des § 11 BDSG genügt.

Gegen diese Standardvertragsklauseln wendet Schrems nun aber ein, dass hierdurch kein Art. 47 EU-Grundrechtscharta entsprechender Rechtsschutz gegeben sei, sollten Daten durch die nationalen Sicherheitsbehörden in den USA abgegriffen werden.

Nach der Entscheidung des EuGH über „Safe-Harbour“ sollte man in jedem Fall gespannt bleiben, wie das Gericht die EU-Standardvertragsklauseln beurteilen wird. Falls diese tatsächlich fallen sollten, so wäre dies ein schwerer Schlag für viele Unternehmen, die bisher vertraut hatten, zumindest auf diesem Wege eine vertrauenswürdige Grundlage für den Datentransfer in die USA geschaffen zu haben. Auch die EU-Datenschutzgrundverordnung, die Mitte nächsten Jahres in Kraft tritt, wird das Problem nicht lösen können, da auch sie die Schutzwürdigkeit der Drittstaaten voraussetzt. Selbst wenn US-Unternehmen ihre Daten auf Servern in Europa speichern würden, wären die datenschutzrechtlichen Bedenken damit nicht obsolet. Bislang wehrte sich insbesondere Microsoft noch erfolgreich gegen das Abgreifen solcher Daten durch die US-Behörden (Microsoft vs United States, 2nd U.S. Circuit Court of Appeals, No. 14-2985), schon bald könnte aber eine rechtliche Grundlage für ein solches Handeln geschaffen werden.

 

http://www.europe-v-facebook.org/sh2/HCJ.pdf

https://www.golem.de/news/schrems-vs-facebook-eugh-soll-ueber-standardvertragsklauseln-entscheiden-1710-130429.html

https://community.beck.de/2017/10/04/datentransfer-eu-standardvertragsklauseln-kommen-auf-dem-pruefstand-des-eugh

http://www.dpn-datenschutz.de/datenschutz/datenubermittlung/

https://www.datenschutzbeauftragter-info.de/eu-kommission-uruguay-hat-ein-angemessenes-datenschutzniveau/

http://www.dpn-datenschutz.de/wp-content/uploads/2014/10/Datenschutz_Zeitung_Ausgabe_September_2014.pdf

http://www.europe-v-facebook.org/comp_fb_de.pdf

https://www.heise.de/newsticker/meldung/Urteil-Microsoft-muss-Daten-aus-EU-Rechenzentrum-nicht-der-US-Regierung-uebergeben-3268104.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*