Erneut heißt es vor dem EuGH „Schrems gegen Facebook“. Diesmal sind unter anderem die EU-Standardvertragsklauseln im Fokus. Eine mündliche Verhandlung hierzu fand am 09.07.2019 statt. Herr Schrems – ein Datenschutzaktivist – möchte überprüfen lassen, wie sicher die Datenübermittlung in die USA ist.
Warum eine Datenübermittlung im Zusammenhang mit dem Datenschutz riskant ist und worum es bei der Auseinandersetzung „Schrems gegen Facebook“ geht, erklärt Ihnen Ihr externer Datenschutzbeauftragter.
Datentransfer ins Ausland
Um die Problematik zu verstehen, ist vorab zu klären, was nun an einem Datentransfer ins Ausland datenschutzrechtlich problematisch sein kann. Ein Datentransfer zwischen EU- oder EWR- (Europäischer Wirtschaftsraum) Ländern dürfte i. d. R. unbedenklich sein, da diese Länder, aufgrund der dort ebenso geltenden Datenschutz-Grundverordnung (DS-GVO), ein ausreichendes Datenschutzniveau garantieren können. Anders verhält es sich, wenn Daten von einem EU-Land (wie z. B. Deutschland) in ein sog. Drittland transferiert werden. Drittländer sind nach der DS-GVO Länder außerhalb der EU/EWR. Bevor eine Datenübertragung in ein Drittland erfolgen kann, ist vorab zu bestimmen, ob eine solche Datenübertragung zulässig ist. Dies ist nach DS-GVO dann gegeben, wenn entweder eine informierte und freiwillige Zustimmung des Betroffenen vorliegt oder eine Rechtsgrundlage dies gestattet. Zusätzlich muss sichergestellt sein, dass die Transaktion in ein Drittland erfolgt, welches ein angemessenes Datenschutzniveau besitzt.
Dies kann unter anderem durch folgende Punkte gewährleistet werden:
- Die Europäische Kommission stellt ein angemessenes Datenschutzniveau fest.
- Es findet ein Abschluss von Binding Corporate Rules (verbindliche interne Datenschutzvorschriften) statt, welche von der zuständigen Aufsichtsbehörde geprüft werden.
- Es werden EU-Standardvertragsklauseln verwendet, welche zwischen Datenexporteur und dem Datenimporteur geschlossen werden.
- Es findet der Abschluss eines individuellen Vertrages statt. Dieser ist durch die zuständige Aufsichtsbehörde zu prüfen.
- Eine Datenübermittlung kann ebenso auf Grundlage von Zertifizierungen zulässig sein, jedoch liegt es an der zuständigen Aufsichtsbehörde, hierfür Rahmenbedingungen zu erarbeiten.
- Weiterhin besteht für USA-Unternehmen die Möglichkeit, sich dem Privacy Shield Abkommen zu unterwerfen, dieses steht jedoch regelmäßig in der Kritik.
Ausnahmen
Der Datentransfer in ein Drittland ist jedoch nicht ausgeschlossen, wenn die oben genannten Kriterien nicht vorliegen sollten. Nach Art. 49 DS-GVO ist ein Datentransfer insoweit möglich, wenn:
- die betroffene Person der vorgeschlagenen Datenübermittlung ausdrücklich zugestimmt hat.
- Die Übermittlung für die Erfüllung oder Abschluss des Vertrags zwischen den Parteien essentiell ist.
- Die Übermittlung aus wichtigem Grund für das öffentliche Interesse erforderlich ist.
- Die Übermittlung für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
- Die Übermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist und die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
- Es sich um öffentliche Registerdaten handelt, die jedermann zugänglich sind und sich dem kein berechtigtes Gegeninteresse entgegenstellt.
Schrems und Facebook – “Here we go again!”
Facebook wird vielen bekannt sein, gilt es doch als weitverbreitetes soziales Netzwerk, das in den USA ansässig ist. Auch bekannt sind die umfangreichen Datenschutzskandale, mit denen Facebook immer wieder Schlagzeilen macht.
Max Schrems, damals Jurastudent, prangerte 2013 die Übermittlung seiner personenbezogenen Daten in die USA durch Facebook bei der irischen Datenschutzbehörde an. Er erklärte, die Übermittlung sei aufgrund der durch die umfangreichen Überwachungspraktiken der NSA, welche durch die Snowden-Enthüllungen aufgedeckt wurden, unsicher und würden seine Grundrechte verletzen. Von der irischen Behörde wurde Schrems Beschwerde abgewiesen und einer gerichtlichen Prüfung in Irland unterzogen, welche den Fall an den EuGH weiterleitete. Der EuGH entschied 2015 im Rahmen eines Vorabentscheidungsersuchens des irischen Gerichts, dass das Safe Harbor Abkommen, welches bis dahin eine Sicherheit für die Datenübertragung in die USA gab, keinen hinreichenden Schutz bietet. Der Wegfall des Safe Harbor Abkommens schlug hohe Wellen, da keine offizielle Gewährleistung für einen sicheren Datentransfer mehr bestand. Daher kam der Nachfolger des Safe Harbor Abkommens schnell auf den Weg in Form des Privacy Shield Abkommen, welches nicht minder unter der Kritik der Öffentlichkeit steht.
Während des Wegfalls des Safe Harbor Abkommens verzichtete Facebook jedoch nicht auf den Datentransfer in die USA. Facebook berief sich auf die Möglichkeit, EU-Standardvertragsklauseln zu nutzen und unterwarf sich später dem Privacy Shield Abkommen.
Ausreichender Schutz durch Privacy Shield und EU-Standardvertragsklauseln?
Das Privacy Shield Abkommen ist als eine Art Selbstzertifizierungsmechanismus konzipiert. US-Unternehmen können dem Abkommen beitreten und verpflichten sich, die dort festgehaltenen Prinzipien einzuhalten, was den ausreichenden Schutz der EU-Daten gewährleisten soll. Ein Großteil des Datentransfers von EU-Daten in Drittstaaten wird jedoch durch sog. „Model Clauses“ (EU-Standardvertragsklauseln) geschützt. Die EU-Standardvertragsklauseln sollen dann ein ausreichendes Datenschutzniveau garantieren, wenn diese unveränderlich in den Übermittlungsvertrag aufgenommen werden. Die EU-Standardvertragsklauseln können dabei unterschiedlich ausgeformt sein. Sie können zwischen dem Transfer zwischen zwei Verantwortlichen, aber auch zwischen Verantwortlichen und Auftragsverarbeiter gelten. In der zu verhandelten Rechtssache vor dem EuGH besteht bei Facebook ein Auftragsverarbeitungsverhältnis für die Datenübertragung. Dabei tritt Facebook als Verantwortlicher und Auftragsverarbeiter auf, da deren Niederlassung in Irland als Verantwortlicher auftritt und die US-amerikanische Konzernmutter als Auftragsverarbeiter agiert.
Nach der Entscheidung des EuGHs, welche die Aufhebung des Safe Harbor Abkommen für ungültig erklärte, teilte die irische Datenschutzaufsichtsbehörde Schrems mit, dass Facebook seine Datenübertragung nicht auf dem Safe Harbor Abkommen gestützt hatte, sondern über EU-Standardvertragsklauseln den Datenschutzstandard für die Datenübertragung bestimmte. Die Entscheidung des EuGHs hinsichtlich der Ungültigkeit des Safe Harbor Abkommens hatte folglich keine Auswirkung auf die von Schrems beabsichtigte Unterbindung des Datentransfers durch Facebook in die USA.
Herr Schrems, der nun als Anwalt agiert, passte daraufhin seine Beschwerde an und fordert weiterhin, dass Facebook daran gehindert wird, Datenübertragungen in die USA durchzuführen. Die irische Aufsichtsbehörde entschied abermals nicht in der Sache und schaltete erneut den EuGH ein, um eine Interpretation wesentlicher Fragen zu erhalten. Am 09.07.2019 fand daraufhin eine mündliche Verhandlung statt, ein Urteil steht noch in Aussicht.
Ausblick EU-Standardvertragsklauseln
Sollte der EuGH entscheiden, dass EU-Standardvertragsklauseln nicht ausreichen, um einen ausreichenden Schutz für den Datentransfer personenbezogener Daten in die USA zu bieten, kann dies höhere Wellen schlagen, als die Erklärung der Ungültigkeit des Safe Harbor Abkommens. Das Safe Harbor Abkommen galt lediglich als Sicherheit für den Datentransfer personenbezogener Daten in die USA, EU-Standardvertragsklauseln hingegen werden auch in anderen Drittländern, wie z. B. China und Russland, eingesetzt. Wird die Möglichkeit des Einsatzes von EU-Standardvertragsklausel für die Gewährleistung eines sicheren Datentransfers von personenbezogenen Daten gekippt, kann dies weltweite Folgen haben und auch europäische Unternehmen betreffen, welche ggf. Zweigstellen in Drittländern haben. Eine Übermittlung personenbezogener Daten wäre in diesem Fall verboten und nicht ohne Weiteres möglich. Es ist folglich mit Spannung zu erwarten, wie das Gericht entscheiden wird.