Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » EuGH zu Facebook-Datentransfer in die USA: Standardvertragsklauseln sind rechtmäßig
EuGH zu Facebook-Datentransfer in die USA :

Standardvertragsklauseln sind rechtmäßig

Darf Facebook Daten aus Europa in die USA senden? Seit nunmehr sechs Jahren kämpft der Österreicher Max Schrems gegen Facebook und um Beantwortung dieser enorm wichtigen Frage. Bereits 2015 schon wurde „Safe Harbor“ für Datenübermittlungen in die USA auf Schrems Initiative hin vom EuGH für ungültig erklärt. Am heutigen Donnerstag gab es nun die Fortsetzung. Nachdem zuletzt im Juli 2019 vor dem Europäischen Gerichtshof (EuGH) über die Übermittlung personenbezogener Daten von Facebook Ireland in die USA mündlich verhandelt wurde, sind heute die Schlussanträge des EuGH-Generalanwalts in der Rechtssache C-311/18 veröffentlicht worden.

  • DEZ 2019

    Generalanwalt hält Beschluss über Standardvertragsklauseln für rechtmäßig – Über das Privacy Shield müsse nicht geurteilt werden

    Am 19.12. sind die Schlussanträge des EuGH-Generalanwalts veröffentlicht worden. Nach Auffassung des EuGH-Generalanwalts ist der Beschluss 2010/87/EU, mit dem die EU-Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern festgelegt hat, rechtmäßig. Die von Facebook verwendeten Standardvertragsklauseln, die als Grundlage für den Datenaustausch zwischen der irischen Niederlassung Facebooks (Auftragsdatenverarbeitungsgeber) und Facebook USA (Auftragsdatengeber) dienen, seien daher rechtlich nicht zu beanstanden. Auf Grundlage der verwendeten Standardvertragsklauseln jedenfalls könne Facebook ein Datentransfer aus der EU in die USA nicht untersagt werden.

    Der EuGH-Generalanwalt hält es für das Verfahren zudem für nicht erforderlich, dass der EuGH über die Gültigkeit des EU-US Privacy Shields entscheide, da der Rechtsstreit nur den Beschluss 2010/87/EU betreffe.

Die Facebook-Seite auf einem Bildschirm

Der Kölner Datenschutzexperte Rechtsanwalt Christian Solmecke: “Das Verfahren bietet alles, um ein spektakuläres Ende zu finden. Gut möglich, dass ein Urteil einen Großteil des Datentransfers in Drittstaaten wie die USA zum Erliegen bringen könnte. Uns erwartet nach der Safe Harbor-Entscheidung eine weitere richtungsweisende Entscheidung des EuGH.“

Zum bisherigen Verfahrensgang

Nach den Snowden-Enthüllungen und dem NSA-Skandal im Jahr 2013 hatte der damalige Student Schrems die Übermittlung seiner personenbezogenen Daten durch Facebook in die USA bei der irischen Datenschutzaufsichtsbehörde angeprangert. Seiner Auffassung nach verletze ihn die Datenübermittlung in die USA in seinen Grundrechten. Die irische Behörde jedoch wies den Fall ab. Der EuGH kippe 2015 das Safe-Harbor Abkommen. Das Urteil war seinerzeit ein Paukenschlag. Damit konnten Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA nicht mehr auf „Safe-Harbor“ gestützt werden.

Seit 2016 bildet nunmehr der Nachfolger, das EU-US Privacy Shield, die Grundlage für den Datenverkehr. Das EU-US Privacy Shield dient dazu, DSGVO-konform personenbezogene Daten europäischer Bürger an US-Unternehmen zu übermitteln. Allerdings handelt es sich dabei um einen Selbstzertifizierungsmechanismus. US-Unternehmen, die teilnehmen wollen, gehen vereinfacht gesagt die Selbstverpflichtung ein, dass sie bestimmte Datenschutz-Prinzipien befolgen und Betroffenen Rechte gewähren werden. So soll ein ausreichender Schutz für EU-Daten sichergestellt werden. Das EU-US Privacy Shield kann insofern als eine Art Gütesiegel für Unternehmen verstanden werden, welche sowohl in Europa als auch z.B. in den USA tätig sind. Unternehmen, die sich nicht dem Privacy Shield unterworfen haben, nutzen so genannte Standardvertragsklauseln, die von der EU herausgegeben worden sind, um Daten in die USA vermeitlich rechtswirksam zu übertragen. Gegen beide Rechtskonstrukte wendet sich Schrems in seinem aktuellen EuGH Verfahren. Er befürchtet, dass die Daten der EU Bürger in den USA nicht sicher sind.

2018 hatte bereits der irische High Court daher dem EuGH im Wege eines Vorabentscheidungsverfahren eine ganze Reihe von Fragen zur Sicherheit der Daten von EU-Bürgern in den USA vorgelegt. Zu diesen wird nun am Donnerstag der EuGH-Generalanwalt Stellung beziehen. Die Schlussanträge sind auch deshalb mit Spannung zu erwarten, da sich der EuGH diesen regelmäßig anschließt und ihnen insofern erhebliches Gewicht zukommt.

Einschätzung von Christian Solmecke

„Die Beantwortung der Fragen kann weitreichende Konsequenzen haben – und zwar für jedes Unternehmen welches mit EU-Daten umgeht und nicht ausschließlich auf eine eigene interne Infrastruktur zugreift. Gut möglich, dass wir nach einem Urteil über die Übermittlung von Daten in Drittstaaten, insbesondere in die USA, grundlegend neu nachdenken müssen. Denn sollte der EuGH zu dem Ergebnis gelangen, dass derzeit weder das EU-US Privacy Shield noch die sog. Standardvertragsklauseln (Model Clauses) personenbezogene Daten aus der EU hinreichend schützen, bedarf es grundsätzlicher Änderung. Dem EU-US Privacy Shield könnte somit dasselbe Schicksal wie seinerzeit „Safe Harbor“ drohen. Schließlich leidet das Privacy Shield meiner Ansicht nach weiterhin an nahezu identischen Schwachstellen wie der bereits gekippte „Safe Harbor“. Entscheidet der EuGH, dass EU-Datenschutzrecht und US-Recht unvereinbar sind, dann muss er konsequenterweise sowohl das EU-US-Privacy Shield als auch die Model Clauses kippen und für ungültig erklären.

Unternehmen müssten dann einen Datentransfer in die USA entweder erneut auf eine andere Basis stellen oder es muss sogar – zumindest vorübergehend – ganz auf einen Datentransfer in die USA verzichtet werden. Da heute nahezu jedes Unternehmen Kundendaten in ein Drittland transferiert, wären diese Datentransfers auf einen Schlag rechtswidrig. Führt man sich vor Augen, dass gemäß Art. 83 DSGVO bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs drohen, hat der Ausgang des Verfahrens einen enormen Stellenwert.“