Generalanwalt beim EuGH, Schlussanträge 19.12.2019 - C-311/18
Keine generelle Unwirksamkeit der Standardvertragsklauseln für Datentransfers in die USA – Schrems II
Autor: RA Dr. Mathias Lejeune, München
Aus: IT-Rechtsberater, Heft 02/2020
Aus: IT-Rechtsberater, Heft 02/2020
Die Standardvertragsklauseln für Datentransfers aus der EU in die USA sind nicht generell rechtswidrig oder unwirksam.
RL 95/46 Art. 25 Abs. 6; DSGVO Art. 45 Abs. 2a
Da im vorliegenden Fall der Datenaustausch von Irland zu Facebook in die USA auf die Standardvertragsklauseln gestützt war, die Facebook akzeptiert hatte, war der sog. EU-US Privacy Shield, also der Angemessenheitsbeschluss der EU-Kommission v. 12.7.2016 nach Art. 25 Abs. 6 RL 95/46 betreffend einen adäquaten Schutz von personenbezogenen Daten durch die USA formal nicht Gegenstand des Verfahrens. Der Privacy Shield ist allerdings Gegenstand eines anderen, beim EuGH anhängigen Verfahrens, das von der französischen Bürgerrechtsbewegung „La Quadrature du Net“ angestrengt wurde. Mit einem Urteil des EuGH in dieser Sache ist ebenfalls im Laufe des Jahres 2020 zu rechnen.
Suspendierung des Datenaustauschs: Sofern ein US-amerikanischer Datenimporteur von personenbezogenen Daten von EU-Bürgern aufgrund der amerikanischen gesetzlichen Regelungen zur nationalen Sicherheit (insb. Section 702 Foreign Intelligence Surveillance Act – FISA) nicht in der Lage sei, die mit den Vertragsklauseln eingegangenen Verpflichtungen im Umgang mit den personenbezogenen Daten von EU-Bürgern einzuhalten, seien vielmehr die zuständigen Behörden eines Mitgliedsstaats der EU, in diesem Fall die des Staats Irland, verpflichtet, den Datenaustausch vorübergehend oder dauerhaft zu suspendieren.
Obiter dictum zum Privacy Shield: Es bestünden erhebliche Zweifel daran, dass die Rechte von EU-Bürgern durch den Privacy Shield ausreichend geschützt seien, soweit die Befugnisse der US-amerikanischen Sicherheitsbehörden betroffen seien. Die Regelungen in der Presidential Policy No. 28, die nach den Enthüllungen von Edward Snowden durch den damaligen Präsidenten der USA Barack Obama getroffen worden seien und die eine Einschränkung der Aktivitäten der US-amerikanischen Geheimdienste, insb. der NSA, zusagten, seien teilweise zu unspezifiziert. Ferner würden durch diese Presidential Policy keine einklagbaren Rechte für die EU Bürger begründet. Das im Privacy Shield eingeführte „Ombudsmann“ System könne einen gerichtlichen Rechtsschutz nicht wirklich ersetzen, weil der Ombudsmann nicht ausreichend unabhängig sei.
Geltung von Unionsrecht: Die Befugnisse der nationalen Behörden im Bereich der nationalen Sicherheit seien im Rahmen der Prüfung sowohl im Hinblick auf die Vertragsklauseln als auch auf den Privacy Shield zu beachten und an Art. 7 und 8 der Charta der Europäischen Grundrechte zu messen (EuGH v. 21.12.2016 – C 203/15, C-698/15 – Tele2 Sverige und Watson and Others; EuGH v. 2.10.2018 – C-207/16 – Ministerio Fiscal).
RL 95/46 Art. 25 Abs. 6; DSGVO Art. 45 Abs. 2a
Problem
Gegenstand der Begründung des Generalanwalts ist die Vorlage des High Courts von Irland betreffend den Datentransfer von Irland in die USA, konkret an Facebook USA, auf der Grundlage der Standardvertragsklauseln der EU gemäß Beschl. der Kommission v. 5.2.2010 (2010/87/EU, ABl. Nr. L 39/5 v. 12.2.2010).Da im vorliegenden Fall der Datenaustausch von Irland zu Facebook in die USA auf die Standardvertragsklauseln gestützt war, die Facebook akzeptiert hatte, war der sog. EU-US Privacy Shield, also der Angemessenheitsbeschluss der EU-Kommission v. 12.7.2016 nach Art. 25 Abs. 6 RL 95/46 betreffend einen adäquaten Schutz von personenbezogenen Daten durch die USA formal nicht Gegenstand des Verfahrens. Der Privacy Shield ist allerdings Gegenstand eines anderen, beim EuGH anhängigen Verfahrens, das von der französischen Bürgerrechtsbewegung „La Quadrature du Net“ angestrengt wurde. Mit einem Urteil des EuGH in dieser Sache ist ebenfalls im Laufe des Jahres 2020 zu rechnen.
Anträge des Generalanwalts
Der Generalanwalt kommt zu dem Ergebnis, dass die Standardvertragsklauseln im Rechtsverkehr mit den USA nicht generell rechtswidrig oder unwirksam sind.Suspendierung des Datenaustauschs: Sofern ein US-amerikanischer Datenimporteur von personenbezogenen Daten von EU-Bürgern aufgrund der amerikanischen gesetzlichen Regelungen zur nationalen Sicherheit (insb. Section 702 Foreign Intelligence Surveillance Act – FISA) nicht in der Lage sei, die mit den Vertragsklauseln eingegangenen Verpflichtungen im Umgang mit den personenbezogenen Daten von EU-Bürgern einzuhalten, seien vielmehr die zuständigen Behörden eines Mitgliedsstaats der EU, in diesem Fall die des Staats Irland, verpflichtet, den Datenaustausch vorübergehend oder dauerhaft zu suspendieren.
Obiter dictum zum Privacy Shield: Es bestünden erhebliche Zweifel daran, dass die Rechte von EU-Bürgern durch den Privacy Shield ausreichend geschützt seien, soweit die Befugnisse der US-amerikanischen Sicherheitsbehörden betroffen seien. Die Regelungen in der Presidential Policy No. 28, die nach den Enthüllungen von Edward Snowden durch den damaligen Präsidenten der USA Barack Obama getroffen worden seien und die eine Einschränkung der Aktivitäten der US-amerikanischen Geheimdienste, insb. der NSA, zusagten, seien teilweise zu unspezifiziert. Ferner würden durch diese Presidential Policy keine einklagbaren Rechte für die EU Bürger begründet. Das im Privacy Shield eingeführte „Ombudsmann“ System könne einen gerichtlichen Rechtsschutz nicht wirklich ersetzen, weil der Ombudsmann nicht ausreichend unabhängig sei.
Geltung von Unionsrecht: Die Befugnisse der nationalen Behörden im Bereich der nationalen Sicherheit seien im Rahmen der Prüfung sowohl im Hinblick auf die Vertragsklauseln als auch auf den Privacy Shield zu beachten und an Art. 7 und 8 der Charta der Europäischen Grundrechte zu messen (EuGH v. 21.12.2016 – C 203/15, C-698/15 – Tele2 Sverige und Watson and Others; EuGH v. 2.10.2018 – C-207/16 – Ministerio Fiscal).