Die Standardvertragsklauseln der Europäischen Kommission, die für Datenübermittlungen zwischen EU- und Nicht-EU-Ländern verwendet werden, sind nach einer unverbindlichen Stellungnahme eines Generalanwalts am Gerichtshof der Europäischen Union „gültig“.
Die Stellungnahme ist ein indirekter, symbolischer Sieg für den Social Media-Riesen Facebook, der solche Klauseln einsetzt, um die Datenschutzstandards für die EU-User der Plattform zu gewährleisten.
Generalanwalt Henrik Saugmandsgaard Øe vom EuGH betonte jedoch am Donnerstag, dass Datenschutzbehörden die Datenübermittlung aussetzen können, wenn Verpflichtungen aus Standardvertragsklauseln nicht eingehalten werden.
Die Stellungnahme folgt in Reaktion auf eine rechtliche Anfechtung des österreichischen Datenschutzaktivisten Max Schrems, der die Meinung vertritt, dass die Standardvertragsklauseln der Kommission die Privatsphäre der Bürgerinnen und Bürger nicht angemessen schützen.
Die Verträge werden in Ermangelung einer entsprechenden Grundvereinbarung über die Datenübermittlung zwischen der Kommission und Parteien außerhalb der Europäischen Union geschlossen, um einen angemessenen Datenschutz zu gewährleisten. Sie werden von Tausenden von Unternehmen weltweit genutzt, darunter auch Technologieriesen wie Facebook.
Was bedeutet die Stellungnahme aus rechtlicher Sicht?
Die Stellungnahme ist rechtlich nicht bindend, sondern stellt lediglich eine Einschätzung des Generalanwalts dar. In der überwiegenden Mehrheit der Fälle werden die Rechtsgutachten eines Generalanwalts aber vom Gericht bei der Urteilsfindung befolgt.
Eine endgültige Entscheidung des EuGH wird in den kommenden Monaten erwartet.
Für den somit nun unwahrscheinlichen Fall, dass Schrems‘ Klage vom Gericht doch mitgetragen wird, könnte dies weitreichende Folgen für die Funktionsweise der Datenflüsse zwischen EU- und Nicht-EU-Unternehmen haben und Firmen verpflichten, solche Datenübermittlungen einzustellen. Andernfalls könnten möglicherweise erhebliche Geldbußen verhängt werden.
US-amerikanische Massenüberwachung
Schrems ist kein Unbekannter beim Thema Klagen gegen die Datenschutzpraktiken von Facebook: Im Jahr 2013 reichte er eine Beschwerde beim irischen Datenschutzbeauftragten ein, um die Datenübertragung durch Facebook von Irland in die Vereinigten Staaten zu unterbinden. Grund dafür waren Befürchtungen, dass Facebook USA die Daten im Rahmen des PRISM-Massenüberwachungsprogramms – der Erfassung von Internet-Kommunikationsdaten durch die National Security Agency – an US-Behörden weitergegeben hatte.
Dies führte schlussendlich zu einer Klage, mit der Schrems 2015 erfolgreich eine rechtliche Anfechtung der Datenschutzgrundsätze der EU („Safe Harbour“) einreichte. Die Safe-Harbour-Prinzipien waren entwickelt worden, um zu verhindern, dass private Unternehmen in der EU oder den USA personenbezogene Daten von Bürgerinnen und Bürgern verlieren oder versehentlich preisgeben.
Damals gab der Generalanwalt Yves Bot ein Gutachten ab, in dem er feststellte, dass das Safe Harbour Abkommen ungültig gemacht werden sollte. Er fügte hinzu, dass einzelne Datenschutzbehörden die Datenübermittlung in andere Länder aussetzen könnten, wenn es Anzeichen für eine Verletzung von Datenschutzrechten gibt. Der EuGH bestätigte schließlich diese Einschätzung von Bot.
Privacy Shield
Interessant in der Stellungnahme von Saugmandsgaard Øe am heutigen Donnerstag war auch seine Einschätzung zum Datenübertragungsabkommen der EU mit den USA, des sogenannten Privacy Shield-Abkommens. Der Vertrag von 2016 verpflichtet amerikanische Unternehmen, personenbezogene Daten von EU-Bürgerinnen und -Bürgern gemäß der EU-Standards und Verbraucherrechte zu schützen.
In der Stellungnahme von Saugmandsgaard Øe heißt es dabei deutlich, der EuGH sei nicht unbedingt verpflichtet, über die Gültigkeit dieses Abkommens zu entscheiden, da der von Schrems eingebrachte fragliche Streitfall lediglich die Festlegung von Standardvertragsklauseln durch die Kommission betrifft.
Der Generalanwalt selbst stellte jedoch die Rechtmäßigkeit der Privacy-Shield-Vereinbarung in Frage und merkte an, dass es „gute Gründe“ gebe, die ihn veranlassen würden, „die Gültigkeit der Privacy-Shield-Einigung angesichts der rechtlichen Gegebenheiten zur Wahrung der Privatsphäre und des Rechts auf einen wirksamen Rechtsbehelf in Frage zu stellen“.
Caitlin Fennessy, ehemals bei der US-amerikanischen Behörde für internationalen Handel für Privacy Shield zuständig und heute Forschungsdirektorin bei der International Association of Privacy Professionals (IAPP), sagte heute Morgen noch vor der Bekanntgabe von Saugmandsgaard Øes Stellungnahme gegenüber EURACTIV ebenfalls, dass die Einschätzung – falls sie Standardvertragsklauseln für ungültig befinden sollte – tatsächlich „richtig viel Angst in der gesamten Geschäftswelt hervorrufen könnte. Damit würde der Status quo aufgehoben.“
Sie fügte allerdings auch hinzu, dass der Rechtsstreit zwischen Facebook und Schrems letztendlich „keine Frage ist, die Verträge lösen können“, sondern „eine Frage der nationalen Sicherheit“.
In dieser Hinsicht müsse anerkannt werden, so Fennessy, dass Abkommen wie die Privacy Shield-Vereinbarung in der Praxis als „wirtschaftliche Instrumente“ fungieren, die nicht unbedingt den Herausforderungen bei Fragen der nationalen Sicherheit gerecht werden können.
(Bearbeitet von Benjamin Fox und Tim Steins)