Nachdem das Safe Harbor Abkommen für ungültig erklärt worden ist, greifen Unternehmen in der Regel auf EU-Standardvertragsklauseln als Basis für Datenübermittlungen in die USA zurück. Bald könnte allerdings auch diese Grundlage gekippt werden.
Der Inhalt im Überblick
Irische Datenschutzbehörde lässt EU-Standardvertragsklauseln gerichtlich prüfen
Die irische Datenschutzbehörde hat angekündigt, die Gültigkeit von EU-Standardverträgen bei Datenübermittlungen in die USA gerichtlich überprüfen zu lassen. Hintergrund dessen ist ein Verfahren gegen Facebook. Das Unternehmen stützt seit dem Aus von Safe Harbor seine Datenübermittlungen auf diese Verträge.
Notwendigkeit von EU-Standardvertragsklauseln
EU-Standardvertragsklauseln dienen bei Datenübermittlungen an Unternehmen in Staaten außerhalb der EU dazu, ein sog. angemessenes Datenschutzniveau beim Empfänger zu garantieren. Übermittlungen dorthin sind nur dann zulässig, wenn neben einer Rechtsgrundlage für die Datenübermittlung selbst, beim Empfänger ein mit dem Standard der europäischen Rechtsordnung vereinbares Schutzniveau vorliegt.
Für Unternehmen in den USA konnte alternativ das Safe-Harbor-Abkommen genutzt werden. Nach dessen Ungültigkeit stellen jedoch EU-Standardverträge die einzig praktisch nutzbare Alternative dar. Dies liegt auch daran, dass das EU-US-Privacy-Shield wegen gravierender Mängel in der Kritik steht und derzeit nicht einmal abgesehen werden kann, ob es überhaupt zulässig sein wird.
Gründe für Ungültigkeit von EU-Standardvertragsklauseln
Im vergangenen Oktober hat der EuGH entschieden, dass auch bei den amerikanischen Unternehmen, die sich der Safe-Harbor-Regelung unterworfen haben, nicht auszuschließen sei, dass amerikanische Behörden aufgrund nationaler Gesetze auf aus Europa stammende personenbezogene Daten zugreifen können.
Diese Argumentation lässt sich ohne weiteres auf EU-Standardvertragsklauseln übertragen. Gründe dafür, dass diese einen effizienten Schutz gegen solche Zugriffe darstellen sind nicht erkennbar. Vielmehr müsste hier die Gesetzgebung in den USA aktiv werden und die Zugriffmöglichkeiten der Behörden und Geheimdienste massiv einschränken.
Gang des Verfahrens
Laut Max Schrems plant die irische Datenschutzbehörde, die entsprechenden Unterlagen in den nächsten Tagen beim zuständigen irischen Gericht einzureichen. Es gilt als sicher, dass im Zuge dieses Verfahrens die Frage zur Gültigkeit der Standardverträge dem EuGH vorgelegt und innerhalb der kommenden zwölf bis 24 Monate entschieden wird. Ändert sich die derzeitige Gesetzeslage in den USA nicht, muss das Aus von EU-Standardverträgen und eventuell eine generelle Unzulässigkeit der Übermittlung personenbezogener Daten in die USA erwartet werden.
Ist der EuGH in dieser Frage konsequent, steht auch für Schrems das Ergebnis bereits fest:
„Ich sehe keine Möglichkeit, dass der EuGH aus diesen Gründen erst das Safe Harbor-System killt und das gleiche Problem nicht auch bei Standardvertragsklauseln sieht. Alle Datenschutzexperten wussten, dass diese Verträge rechtlich fraglich sind, aber es war eben bisher die einfachste und schnellste Lösung. Solang die USA ihre Überwachungsgesetze aber nicht substanziell ändern, sehe ich aber keine Lösung des Problems.“
Und was bleibt dann noch übrig? Es ist doch total utopisch zu glauben, dass sich ein Konzern sowas gefallen lassen wird.