Datenschutz für personenbezogene Daten wird auch auch weiterhin in den USA eher lasch behandelt. Gelten hier noch Standardklauseln?
Vorlagefragen beim EuGH
(Az. C-311/18) – Zulässigkeit von Standardvertragsklauseln
Einleitung
Als das Safe-Harbor-Abkommen vom EuGH gekippt wurde, behauptete die im Fall beklagte Facebook Inc., dass sie sich in Bezug auf den Datentransfer mit den USA auf sogenannte Standardvertragsklauseln (standard contractual clauses – SCC) im Sinne der Richtlinie 95/46/EG stütze. Daraufhin reichte der aus der Rechtssache C-362/14 (Safe-Harbor) bekannte österreichische Datenschützer Maximilian Schrems erneut Beschwerde beim irischen Datenschutzbeauftragten (Data Protection Commissioner – DPC) ein, woraufhin die irische Datenschutzbehörde Klage gegen denselben und Facebook Inc. beim Irischen High Court einreichte. Dieser wiederum rief am 29. Juni 2018 den EuGH an, um Antworten auf seine Vorlagefragen zu erbitten.
Die Vorlagefragen sind unter der Rechtssache C-311/18 auf der Seite des EuGH vorzufinden. Gegenstand ist zum einen die Zulässigkeit von Standardvertragsklauseln unter Zugrundelegung europäischer Rechtsnormen und zum anderen unter welchen Gesichtspunkten diese zu beurteilen ist. Diesbezüglich hat der Generalwalt des EuGH eine Stellungname am 19. Dezember 2019 veröffentlicht.
Einschätzung des Generalanwalts
Der Generalanwalt hat festgestellt, dass gegen die Verwendung von Standardvertragsklauseln grundsätzlich keine Bedenken bestehen. Das Verwenden von Standardvertragsklauseln wurde durch die Richtlinie 95/46/EG ermöglicht und durch den Beschluss 2010/87 der EU-Kommission genauer festgelegt. Auch die mittlerweile in Kraft getretene Verordnung 2016/679 (DS-GVO) sieht gemäß Art. 46 Abs. 2 lit. d) DS-GVO die Verwendung von Standardvertragsklauseln vor. Dort heißen sie jedoch nun Standarddatenschutzklauseln. Sie bestehen aus einem Set I und einem Set II. Unabhängig davon muss Facebook den Anforderungskatalog aus Art. 28 DS-GVO einhalten, da Facebook Ireland als Auftragsverarbeiter für Facebook Inc. fungiert.
Demnach folgt bereits aus Art. 1 des Beschlusses 2010/87, dass die Verwendung der im Anhang gelisteten Standardvertragsklauseln als „angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Artikel 26 Abs. 2 der Richtlinie 95/46/EG gelten.“
Allerdings betont der Generalanwalt, dass es gemäß Art. 58 DS-GVO Aufgabe der jeweiligen nationalen Datenschutzbehörde ist, zu prüfen, ob sich ein Unternehmen im Einzelfall an die vereinbarten Standardvertragsklauseln hält und gegebenenfalls Maßnahmen zu ergreifen (Rn. 21 der Stellungnahme).
Folgt der EuGH der Ansicht des Generalanwalts nicht, muss die Kommission neue Standarddatenschutzklauseln erlassen.
Sollte der EuGH hingegen der Ansicht des Generalanwalts Folge leisten, ist die Beurteilung, ob Facebook Ireland Ltd. die in Europa gesammelten Daten an das in den USA ansässige Mutterunternehmen Facebook Inc. weiterleiten darf, von der Einschätzung der irischen Datenschutzbehörde abhängig.
Trotz erheblicher Kritik und Zweifeln an der DS-GVO-Konformität, kann die irische Datenschutzbehörde die Standarddatenschutzklauseln für zulässig erklären, sodass sich letztlich nichts an der Wirksamkeit des Datentransfers von Facebook in die USA ändern würde.
Diese Kritik und besonders die Bestimmungen der nach dem Safe-Harbor-Urteil in Kraft getretenen DS-GVO sollte der EuGH in seiner Entscheidung berücksichtigen.
Kritikpunkte
Die Übermittlung der personenbezogenen Daten von Facebook Ireland Ltd. an das Mutterunternehmen Facebook Inc. soll nur dieses berechtigen, diese Daten zu verarbeiten. Dass das in der Praxis so geschieht, ist jedoch äußerst fraglich. Zum einen ist seit den Enthüllungen von Edward Snowden bekannt, dass der amerikanische Geheimdienst NSA durch sein Programm PRISM in erheblichem Ausmaß transatlantische Glasfaserkabel anzapft und sich so Zugang zu diesen Daten verschaffen kann. Zum anderen erlaubt das Privacy Shield-Abkommen – wie bereits zuvor das Safe-Harbor-Abkommen, dass sich amerikanische US-Sicherheitsbehörden im Rahmen des Patriot Acts ohne Benachrichtigung der Betroffenen sich Zugang zu den von amerikanischen Unternehmen verarbeiteten Daten verschaffen können. Diese Bedenken hat die US-Regierung nach der Safe-Harbor-Entscheidung versucht auszuräumen indem sie schriftlich zugesagt hat, dass eine Überwachung der EU-Daten durch staatliche Einrichtungen nur nach klaren Regelungen und Limitierungen erfolgen soll. Insbesondere soll die wahllose Massenüberwachung von Daten ein Ende haben. Um die Einhaltung dieser Vereinbarung zu kontrollieren, soll es eine jährliche Bestandsaufnahme geben. Aber lediglich eine Limitierung bedeutet auch, dass ein Zugriff durch US-Behörden weiterhin möglich ist und nicht, dass der Zugriff verboten ist.
Ebenso ist festzustellen, dass europäische Bürger weiterhin keine wirksame Handhabe gegen amerikanische Unternehmen bei Datenschutzpannen haben. Zwar gibt es eine Ombudsstelle an die sich Betroffene wenden können. Dies läuft jedoch ins Leere, da Betroffene mangels Informationspflichten gar nicht von der Überwachung ihrer Daten erfahren.
Seit März 2018 ist in den USA der so genannte „Cloud Act“ in Kraft. Dieser erlaubt US-Behörden den Zugriff auf Daten amerikanischer Internet-Firmen und IT-Dienstleister, sogar wenn sie ihre Daten außerhalb der USA speichern, zum Beispiel in der EU. Da gleichzeitig Art. 3 der DS-GVO festlegt, dass für die Verarbeitung von personenbezogenen Daten innerhalb der Union ausschließlich die Bestimmungen der DS-GVO gelten, geht es um die Frage, wie weit eine Rechtsordnung in das Hoheitsgebiet eines anderen Staates hineinragen darf.
Fazit
Es bleibt offen, ob dem Generalanwalt Tatsachen vorliegen, die eine tatsächliche Sicherheit des Datenverkehrs garantieren und die keinen Einzug in seine Stellungnahme gehalten haben, oder ob er schlichtweg ignoriert, dass der Datentransfer in die USA von amerikanischen Geheimdiensten kontinuierlich angezapft wird und das amerikanische Recht weiterhin einen eher laschen Umgang mit personenbezogenen Daten vorsieht.
Das letzte Wort hat jedoch der EuGH. Dieser folgt zwar oft den Empfehlungen seiner Generalanwälte, aber auch nicht immer. Eine umfassende Beurteilung der Standarddatenschutzklauseln sollte alle diese genannten Kritikpunkte berücksichtigen. Dass der EuGH jedoch nicht davor zurückschreckt, Urteile mit weitreichenden Konsequenzen für bestehende Rahmenverträge zu sprechen, hat er mit dem Safe-Harbor-Urteil bereits demonstriert.