INFORMATIONEN

EUGH: Gültigkeit von Standardvertragsklauseln für die Datenübermittlung

Wie die Richtlinie über die Verarbeitung personenbezogener Daten, die sie ersetzt hat, sieht auch die Datenschutz-Grundverordnung (DSGVO) vor, dass personenbezogene Daten in ein Drittland übermittelt werden können, wenn dieses ein angemessenes Datenschutzniveau gewährleistet. In Ermangelung einer Entscheidung der Kommission, in der die Angemessenheit des in dem betreffenden Drittland gegebenen Sicherheitsniveaus definiert wird, kann die Übermittlung dennoch vom Betreiber durchgeführt werden, wenn ausreichende Garantien gegeben werden.

Diese Zusicherungen erfolgen in Form eines Vertrags zwischen dem Absender und dem Empfänger über die Daten, der die im Beschluss der Kommission festgelegten Standardschutzklauseln enthält. Die Kommission hat mit dem Beschluss 2010/87/EU die erforderlichen vertraglichen Bestimmungen für die Übermittlung personenbezogener Daten an für die Verarbeitung Verantwortliche mit Sitz in Drittländern festgelegt. Im vorliegenden Fall geht es um die Rechtmäßigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsverfahrens

Der bedeutendste Konflikt in seiner Geschichte ist das von Herrn Maximillian Schrems, einem österreichischen Facebook-Nutzer, angestrengte Verfahren, in dem das Urteil des Gerichtshofs bereits am 6. Oktober 2015 ergangen ist („Schrems-Urteil“).

Die Daten von Facebook-Mitgliedern, die in der Union ansässig sind, wie z. B. Herr Schrems, werden von Facebook Ireland, der irischen Niederlassung der Facebook Inc. ganz oder teilweise an Server in den Vereinigten Staaten übertragen und dort verarbeitet.

Im Jahr 2013 reichte Herr Schrems eine Beschwerde bei der irischen Stelle ein, die für die Überwachung der Umsetzung der Vorschriften über die Sicherheit personenbezogener Daten zuständig ist („Aufsichtsbehörde“), da er der Ansicht war, dass die Gesetze und Verfahren der Vereinigten Staaten nach den Enthüllungen von Edward Snowden über die Geheimdienste der Vereinigten Staaten, insbesondere die National Security Agency (NSA), keinen angemessenen Schutz für die Daten bieten, die an dieses Land zur Überwachung durch die Behörden übermittelt werden.

Die Aufsichtsbehörde wies die Klage mit der Begründung ab, dass die Kommission in ihrer Entscheidung vom 26. Juli 2000 festgestellt habe, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die im Rahmen des so genannten „Sicherheitssystems“ übermittelten personenbezogenen Daten geschaffen hätten. Auf eine Anfrage des High Court (High Court of Justice, Irland) erklärte der Gerichtshof Schrems die Entscheidung „Sphere of Protection“ für ungültig.

In Bezug auf das Urteil in der Rechtssache Schrems hob das angerufene Gericht die Entscheidung auf, mit der die Aufsichtsbehörde die Beschwerde von Herrn Schrems zurückgewiesen hatte, und verwies sie zur erneuten Prüfung an diese Behörde zurück. Es leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Petition im Lichte der Feststellung der Ungültigkeit der Entscheidung über den Sicherheitsbereich neu zu verfassen.

Zu diesem Zweck forderte Herr Schrems Facebook Irland auf, die legitime Rechtfertigung für die Übermittlung der personenbezogenen Daten von Facebook-Nutzern aus der Union in die Vereinigten Staaten zu erläutern. Facebook Irland verwies auf die am 20. November 2015 in Kraft getretene Vereinbarung zur Datenübermittlung zwischen sich und Facebook Inc. und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Klage macht Herr Schrems zum einen geltend, dass die in diesem Vertrag enthaltenen Bestimmungen nicht den im Beschluss 2010/87 festgelegten wesentlichen Vertragsklauseln entsprächen, und zum anderen, dass diese wesentlichen Vertragsklauseln jedenfalls nicht geeignet seien, die Übermittlung der ihn betreffenden personenbezogenen Daten in die Vereinigten Staaten zu rechtfertigen.

Dementsprechend stellt Herr Schrems fest, dass Betroffene in den Vereinigten Staaten keine Möglichkeit haben, ihre Rechte auf Privatsphäre und den Schutz personenbezogener Daten geltend zu machen. In diesen Fällen fordert Herr Schrems, entsprechend dem Beschluss 2010/87, dass die Aufsichtsbehörde den Umzug aussetzt.

In ihrer Untersuchung versuchte die Aufsichtsbehörde zu entscheiden, ob die Vereinigten Staaten einen angemessenen Schutz der personenbezogenen Daten von Unionsbürgern gewährleisteten und im Falle einer negativen Antwort, ob die Verwendung von Standardvertragsklauseln angemessene Garantien für den Schutz der Freiheiten und Rechte bot.

Die Aufsichtsbehörde leitete ein Verfahren vor dem High Court ein, um den Gerichtshof anzurufen, da sie der Ansicht war, dass die Behandlung der Beschwerde von Herrn Schrems von der Rechtmäßigkeit des Beschlusses 2010/87 abhänge. Der High Court entschied, dass diese Behörde eine Vorabentscheidung erlassen müsse.

Erstens ist der Generalanwalt der Ansicht, dass sich die Rechtsvorschriften der Europäischen Union auf die Übermittlung personenbezogener Daten in ein Drittland erstrecken, wenn diese Übermittlung kommerziellen Zwecken dient, während die übermittelten Daten wahrscheinlich zu Sicherheitszwecken von öffentlichen Behörden in diesem Drittland erhoben werden sollen.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung über die Übermittlung von personenbezogenen Daten in Drittländer ein hohes Maß an Sicherheit gewährleisten sollen, unabhängig davon, ob die Daten aufgrund einer praktischen Entscheidung oder aufgrund angemessener Zusicherungen des Exporteurs übermittelt werden.

Wie dieser Zweck erreicht wird, hängt seiner Ansicht nach jedoch von der Rechtsgrundlage der Übermittlung ab. Auf der anderen Seite besteht der Zweck des Gültigkeitsurteils darin, festzustellen, dass das betreffende Drittland in Anbetracht der in diesem Land geltenden Rechtsvorschriften und Praktiken ein Schutzniveau für die Grundrechte der Personen, deren Daten übermittelt werden, gewährleistet, das im Wesentlichen dem entspricht, das sich aus der DSGVO bei Auslegung im Lichte des Buches ergibt.

Andererseits müssen die angemessenen Garantien, die der Exporteur im Rahmen des Vertrages bietet, für sich genommen ein solches Schutzniveau gewährleisten. Zu diesem Zweck legen die von der Kommission umgesetzten konventionellen Vertragsbedingungen den allgemeinen Mechanismus fest, der für Verbringungen gilt, unabhängig vom Bestimmungsdrittland und dem dort gewährten Schutzniveau.

Drittens führt der Generalanwalt im Lichte der Charta eine Analyse der Gültigkeit des Beschlusses 2010/87 durch. Die Kommission ist der Ansicht, dass der Umstand, dass dieser Beschluss und die in ihm festgelegten Standardvertragsklauseln für die Behörden des Bestimmungsdrittlandes nicht durchsetzbar seien und sie daher nicht daran hinderten, dem Importeur Verpflichtungen aufzuerlegen, die mit diesen Klauseln unvereinbar seien, für sich genommen nicht zur Ungültigkeit dieses Beschlusses führe.

Die Generalanwältin weist auch darauf hin, dass das vorlegende Gericht in seinem Urteil vom 12. Juli 2016 mit dem Titel „Shield of Secrecy“ implizit einige Entscheidungen der Kommission in Frage stellt.

Urteilsspruch

In diesem Urteil stellte die Kommission fest, dass die Vereinigten Staaten im Rahmen der in dem Beschluss festgelegten Regelung ein angemessenes Schutzniveau für die aus der Union übermittelten Daten gewährleistet haben, insbesondere in Anbetracht der Garantien für den Zugang der amerikanischen Nachrichtendienste zu diesen Daten und des Rechtsschutzes, der den Personen gewährt wird, denen Daten übermittelt werden.

Zusammenfassung

Nach Ansicht des Generalstaatsanwalts ist es nicht angebracht, dass der Gerichtshof zur Beilegung des Ausgangsrechtsstreits über die Rechtmäßigkeit des Urteils ³eVertraulichkeitsschutz³c entscheidet, da dieser Rechtsstreit nur die Rechtmäßigkeit des Beschlusses 2010/87 betreffe.

Hilfsweise führt der Generalanwalt jedoch die Argumente an, die für d
ie Frage der Rechtmäßigkeit der Entscheidung „Shield of Secrecy“ im Hinblick auf das Recht auf Privatsphäre und den Schutz personenbezogener Daten sowie das Recht auf eine gerechte Lösung sprechen.

Compliance und Rechenschaftspflicht

Nach der Datenschutz-Grundverordnung (DSGVO) liegt die Verantwortung für die Einhaltung der Vorschriften bei denjenigen, die Daten verarbeiten. Sie müssen den Grundsätzen zustimmen, und es ist

mehr »