Aktueller Channel Fokus:

Business Continuity

EuGH muss klären: Sind die USA ein Rechtsstaat?

Standardvertragsklauseln vor dem Aus – gibt es Alternativen?

| Autor / Redakteur: Dr. Dietmar Müller / Florian Karlstetter

Wieder einmal ist der Datentransfer zwischen der EU und den USA Gegenstand einer gerichtlichen Auseinandersetzung.
Wieder einmal ist der Datentransfer zwischen der EU und den USA Gegenstand einer gerichtlichen Auseinandersetzung. (Bild: gemeinfrei, geralt / Pixabay)

Wieder einmal ist der Datentransfer zwischen der EU und dem Rest der Welt, insbesondere den USA, Gegenstand einer gerichtlichen Auseinandersetzung – wie so oft in den vergangenen Jahren. Diesmal liegt es am obersten rechtsprechenden Organ der EU, dem Europäische Gerichtshof (EuGH) mit Sitz in Luxemburg, ob das „Privacy Shield“-Verfahren und die viel genutzten Standardvertragsklauseln weiterhin gültig sind – oder durch ein neues Verfahren ersetzt werden müssen.

Das „Privacy Shield“-Verfahren hat 2016 das sogenannte „Safe Harbor“-Abkommen abgelöst und sorgt dafür, dass der Datentransfer zwischen der EU und dem Rest der Welt rechtssicher abgewickelt wird. Genau das bezweifelt aber die irische Datenschutzbehörde, die im aktuellen Fall als Kläger auftritt.

Sie war zuvor vor das irische High Court gezogen, der hatte die Klage im Oktober 2017 an den Europäischen Gerichtshof (EuGH) weiterverwiesen. Die irischen Richter äußerten Zweifel daran, dass das Grundrecht auf gerichtlichen Rechtsschutz für europäische Bürger in den USA gewahrt ist.

Das passierte bislang vor dem EuGH

Nun also liegt das Verfahren beim EuGH. Der österreichische Jurist Max Schrems hatte das Verfahren 2011 als Student ins Rollen gebracht, als er in Irland, dem Rechtssitz von Facebook, gegen den Transfer seiner Nutzerdaten durch Facebook in die USA klagte. Das bezeichnet der EuGH als Fall „Schrems I“. Der Weiterdreh und die aktuelle Frage, ob die USA europäischen Bürgern Rechtsschutz zusichern können, wird vom Gericht als „Schrems II“ tituliert.

Wie die Süddeutsche Zeitung berichtet, argumentiert Schrems Anwalt Eoin McCullough während der aktuellen Verhandlung, dass die US-Behörden den Datenschutz mit den Gesetzen zur nationalen Sicherheit umgehen würden. Wie nicht zuletzt durch den Fall Snowden bekannt sei, zapften die Vereinigten Staaten das Untersee- IP-Kabel an, um staatsgefährdende oder terroristische Aktionen aus den Konversationen herauszufiltern. Insbesondere der Rechtsvertreter der irischen Datenschutzbehörde wertete dies als klaren Beweis dafür, dass es in den USA keinen echten Datenschutz gebe.

Die Anwältin der US-Regierung Eileen Barrington hielt dagegen, dass es sich bei dem – ihrer Worte nach mutmaßlichen – Anzapfen des Unterseekabels um keine "zielgerichtete" Datenerhebung handle, vielmehr werde nach bestimmten Schlüsselbegriffen gefahndet und die Konversation gegebenenfalls näher untersucht. Man erhöhe so nicht nur die Sicherheit der US-Bürger, sondern auch die der Europäer. Auch der Anwalt von Facebook, Paul Gallagher, rechtfertigte das Anzapfen mit dem Schutz der Bevölkerung.

Hebelt dies aber die Rechtssicherheit der EU-Bürger aus? Laut dem Privacy Shield-Abkommen von 2016 wacht ein Ombudsmann über die Einhaltung des Datenschutzes. Dieser ist, soweit kam man vor Gericht überein, unabhängig von den amerikanischen Geheimdiensten, untersteht aber der US-Regierung. Schrems forderte vor dem EuGH daher, "Privacy Shield" für ungültig zu erklären.

Standardvertragsklauseln in Gefahr

Nach Informationen des Centrums für Europäische Politik (cep) appellierten während der vergangenen Tage praktisch alle Beteiligten - als da wären Facebook und Max Schrems, die EU-Kommission, die USA in Form von vier Anwälten sowie die EU-Mitgliedstaaten – an die Richter, die Standardvertragsklauseln weiter bestehen zu lassen.

Diese stellen den Datenschutz sicher – ganz wie ursprünglich auch geplant: „Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet (...)“, heißt es gleich zu Anfang im Beschluss der Kommission vom 5. Februar 2010 zu den Standardvertragsklauseln für die Übermittlung personenbezogener Daten.

Seit vielen Jahren leisten sie gute Dienste, so der Bitkom: „Der internationale Datenaustausch ist essenziell für die Wirtschaft. Wenn Unternehmen personenbezogene Daten außerhalb der EU verarbeiten lassen, greifen die allermeisten auf Standardvertragsklauseln zurück“, berichtete Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung Recht und Sicherheit. Sollten diese Klauseln nicht mehr rechtens sein, stünden viele Unternehmen vor einem Daten-Chaos. „Nicht nur der Zusammenarbeit mit ausländischen Unternehmen drohen massive Einschränkungen. Selbst der Datenaustausch zwischen einer Firmenzentrale innerhalb der EU und dem Tochterunternehmen im Ausland wäre dann in Gefahr, wenn Unternehmen nicht schnell genug auf die binding corporate rules umstellen.“

Alternativen händeringend gesucht

Die binding corporate rules wären also eine Alternative zu den Standardvertragsklauseln? Nicht wirklich. Sie können zwar von Unternehmen selbst formuliert werden, haben allerdings ausschließlich (!) beim konzerninternen Datenaustausch Gültigkeit. Auch müssten sie durch eine federführende sowie zwei weitere europäische Datenschutzbehörden datenschutzrechtlich abgesegnet werden. Das tun sie aber im Falle des Transfers in die USA eher nicht – aus den oben genannten Gründen.

Eine weitere Alternative wäre es, wenn die EU-Kommission neue Standardvertragsklauseln entwickelt. Laut Simone Rosenthal, Anwältin bei Schürmann Rosenthal Dreyer, müssten dann aber alle unter den aktuell gültigen Standardvertragsklauseln abgeschlossenen Verträge für ungültig erklärt werden.

Eine weitere Option wäre die in Artikel 7 der DSGVO formulierte sogenannte Einwilligung der Betroffenen. „Die EU-Datenschutzrichtlinie erlaubt die Übermittlung personenbezogener Daten in die USA, wenn die Betroffenen ausdrücklich und zweifelsfrei in die Übermittlung eingewilligt haben. Dies setzt voraus, dass die Betroffenen zuvor über den Zweck der Übermittlung und Verarbeitung, die Weitergabe an Dritte sowie Bedingungen und Reichweite dieser Weitergabe unterrichtet wurden“, erläutert der gemeinnützige Verein Digitale Gesellschaft e. V.

Blöd nur, dass es amerikanischen Firmen nach US-Recht untersagt ist, ihre Zusammenarbeit mit den Geheimdiensten offenzulegen. Die Anwaltssozietät WPNO zweifelt daher sehr daran, dass Einwilligungen einen neuen Weg zur Rechtssicherheit im Datenverkehr ebnen können. Sie sieht das Verfahren als in der Praxis „wenig verbreitet an“ und glaubt nicht, dass sich dies ändern könnte.

Weitere Alternative: In Ausnahmefällen dürfen personenbezogene Daten übermittelt werden, etwa wenn sie für die Buchung eines Hotelzimmers nötig sind. Das ist laut Bundesdatenschutzgesetz aber nur einmalig erlaubt, die Regelung kann auf den ständigen Datenaustausch in und zwischen Unternehmen nicht angewendet werden. Hier eröffnet sich also doch eher keine Alternative zu den Standardvertragsklauseln.

Aber vielleicht findet sich etwas in der DSGVO? Tatsächlich schlägt diese für den Datentransfer Zertifizierungen durch behördennahe Einrichtungen wie die Deutsche Akkreditierungsstelle GmbH (DAkkS) vor. Ein US-amerikanisches Unternehmen als Empfänger von Daten müsste demnach ISO-Normen wie z.B. die ISO/IEC 17065 folgen. Aktuell arbeitet das Forschungsprojekt AUDITOR im Rahmen des Trusted Cloud Datenschutz-Profils für Cloud-Dienste (https://tcdp.de/index.php/tcdp TCDP) an einem Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO. Er soll im Oktober vorliegen.

Im Dezember wiederum will sich das EuGH abschließend äußern. Bis dahin bleibt es spannend.

Fazit

Holger Dyroff, Geschäftsführer der ownCloud GmbH, bezeichnete das juristische Hick-Hack als „eine schlechte Gerichts-Soap“. Die große Mehrheit aller Unternehmen transferiert aktuell Daten in die USA mit Standardvertragsklauseln als Rechtsgrundlage, 13 Prozent nutzen Privacy Shield, so der Bitkom. Damit sich Anwender nicht ahnungslos in juristische Schlingen verfangen, hat er einen Leitfaden für internationale Datentransfers veröffentlicht.

Alternativen zu den Klauseln sind, wie gesagt, m.E. vorhanden, die Zertifizierung wäre etwa ein möglicher Weg. Dieser ist aber noch nicht ausformuliert, genauso wenig wie eine neue Regelung, die der EuGH anstoßen könnte. Dies alles wird sich erst im Herbst und Winter dieses Jahres klären.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46056908 / Recht)