Am Dienstag, den 09. Juli 2019, fand die mündliche Verhandlung in der Rechtssache "Schrems II" vor dem Europäischen Gerichtshof statt. Das seit 2013 andauernde Verfahren um die Datenübertragung von Facebook Ireland nach Facebook USA geht nun in die zweite Runde vor dem EuGH.
Nachdem das Safe-Harbor-Abkommen aufgehoben wurde, untersucht das Gericht nun die Wirksamkeit der europäischen Standarddatenschutzklauseln (Standard Contract Clauses - SCC). Die Entscheidung des EuGH kann weitreichende Folgen für die Datenübermittlung in sämtliche Nicht-EU-Staaten haben.
Hintergrund
Die Datenschutzgrundverordnung, die seit Inkrafttreten im Mai 2018 für die Verarbeitung personenbezogener Daten in der EU gilt, stellt bestimmte Anforderungen an die Rechtmäßigkeit von Datenübermittlungen ins Ausland. Grundsätzlich ist der Datentransfer nur zulässig, wenn das durch die Verordnung gewährleistete Schutzniveau für den Schutz personenbezogener Daten auch im Ausland gewährleistet ist. Innerhalb der EU ist dies aufgrund der unionsweiten Geltung der DSGVO unbedenklich.
Bei der Übermittlung von Daten in ein außerhalb der EU oder des EWR liegendes Land - ein so genanntes Drittland - wie zum Beispiel die USA, müssen jedoch weitere Voraussetzungen vorliegen, damit der durch die DSGVO gewährleistete Schutz nicht untergraben wird. Von einem angemessen Schutzniveau ist auszugehen, wenn ein entsprechender Angemessenheitsbeschluss der Europäischen Kommission vorliegt, was momentan nur für wenige Länder der Fall ist.
Ohne Angemessenheitsbeschluss dürfen personenbezogene Daten in Drittländer nur übermittelt werden, sofern der Verantwortliche geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Diese geeigneten Garantien können unter anderem in den Standarddatenschutzklauseln bestehen, welche zwischen dem Verantwortlichen in der EU und dem Datenempfänger außerhalb der EU vereinbart werden.
Das Verfahren
Maximilian Schrems - Jurist und Datenschützer - hatte bereits im Jahr 2013 eine Beschwerde an die irische Datenschutzaufsichtsbehörde gerichtet, in der er die Übermittlung seiner personenbezogenen Daten in die USA rügte. Die Behörde wies die Beschwerde ab, woraufhin der Fall vor Gericht landete, welches sich an den EuGH wandte. Nach der Safe-Harbor-Entscheidung des Gerichts landete der Fall wieder vor der Behörde und ging wiederum bis zum irischen High Court. Dieser hat dem Europäischen Gerichtshof im vorliegenden Verfahren nun eine Reihe von Fragen zur Klärung vorgelegt.
Bei der Datenübertragung in die USA hatte Facebook Ireland sich zur Herstellung geeigneter Garantien für das Vorliegen eines der EU vergleichbaren Datenschutzniveaus auf Standarddatenschutzklauseln gestützt. Die amerikanischen Sicherheitsbehörden können jedoch von US-amerikanischen Unternehmen die Herausgabe personenbezogener Daten verlangen, wenn dies aus Gründen der nationalen Sicherheit erforderlich ist. Ein gerichtlicher Rechtsbehelf oder ein sonstiges Verfahren, in dem Nicht-US-Bürger gegen eine solche Maßnahme vorgehen können, existiert nach amerikanischem Recht nicht.
Dies führt nach Auffassung des irischen High Court zur Unwirksamkeit der Standarddatenschutzklauseln. Der Schutz personenbezogener Daten nach der DSGVO fordere vielmehr durchsetzbare Rechte und wirksame Rechtsbehelfe. Die mündliche Verhandlung vor dem EuGH zeigte die deutliche Tendenz der Beteiligten in Richtung Wirksamkeit der Standarddatenschutzklauseln auf - mit Ausnahme der irischen Datenschutzaufsichtsbehörde.
Der EuGH hatte sich schon in einer früheren Entscheidung dafür ausgesprochen, dass die Datenschutzbehörden jederzeit - im konkreten Fall auch bei Bestehen eines Angemessenheitsbeschlusses - befugt sind, Datenübermittlungen in die USA zu untersagen. Dies können sie wegen der ihnen zugewiesenen Aufgabe der Überwachung und Kontrolle des Datenschutzrechts unabhängig vom Bestehen eines Angemessenheitsbeschlusses.
Ausblick
Mit der Argumentation in Richtung fehlender Rechtsbehelfe der Betroffenen finden sich Argumentationsstränge wieder, die schon im Verfahren um das Safe-Harbor-Abkommen entscheidend waren. Es bleibt abzuwarten, ob dies auch hier der Fall sein wird.
Sollte der EuGH sich gegen die Wirksamkeit der Standarddatenschutzklauseln aussprechen, hätte dies Auswirkungen auf jeglichen Datenaustausch mit Nicht-EU-Ländern, nicht nur in Bezug auf die USA. Nicht auszuschließen ist auch, dass der EuGH das EU-US Privacy Shield, den Nachfolger von Safe Harbor kippen könnte.
Als nächstes ist die Stellungnahme des Generalanwalts zu erwarten, welche in der Regel wenige Wochen nach der mündlichen Entscheidung folgt. Der EuGH ist regelmäßig geneigt, in seiner Entscheidung dieser Stellungnahme zu folgen. Ein Urteil könnte dann noch in diesem Jahr ergehen.