Generalanwalt am EuGH: Standarddatenschutzklauseln weiterhin gültig
Der Generalanwalt am Europäischen Gerichtshof (EuGH) hat in seinen Schlussanträgen vom 19. Dezember 2019 in der Rechtssache C-311/18 ausgeführt, dass er den Beschluss 2010/78 der EU-Kommission für gültig und die darauf beruhenden Standarddatenschutzklauseln (nach alter Diktion „Standardvertragsklauseln“) für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern für wirksam erachte. Standarddatenschutzklauseln stellen eine Möglichkeit dar, um die Datenübermittlung in Drittländer zu legitimieren (vgl. Art. 46 Abs. 2 lit. c DSGVO).
Gegenstand des Verfahrens ist die Datenübermittlung von Facebook Ireland an den US-amerikanischen Mutterkonzern. Max Schrems, ein österreichischer Datenschutzaktivist, hält diese Datentransfers für unzulässig, da das Recht der USA keinen hinreichendes Schutzniveau – insbesondere vor dem Hintergrund einer Überwachung durch US-Behörden – biete. Im Jahr 2015 entschied der EuGH bereits, dass das sog. „Safe Harbor-Abkommen“ zwischen der EU und den USA ungültig sei, da es keinen ausreichenden Schutz für die Datenübermittlung biete (Urteil vom 06.10.2015 – C-362/14).
Als Grundlage für die Übermittlung von Nutzerdaten in die USA berief sich Facebook Ireland auf Standarddatenschutzklauseln. In seinen Schlussanträgen betont der Generalanwalt, die Klauseln seien gerade für den Fall geschaffen, dass in einem Drittland kein der EU vergleichbares Datenschutzniveau bestehe. Ihre Geltung sei daher unabhängig vom jeweiligen Bestimmungsland und dem dort vorherrschenden Datenschutzniveau. Die Standarddatenschutzklauseln seien zudem auch nicht deswegen unwirksam, dass die Behörden des Drittlandes durch diese Klauseln selbst nicht gebunden und daran gehindert würden, den Auftragsverarbeitern Pflichten aufzuerlegen, die mit den Standarddatenschutzklauseln unvereinbar sind. Ihre Gültigkeit hinge allein davon ab, dass Aufsichtsbehörden im Falle einer Verletzung der Klauseln Datenübermittlungen aussetzen oder verbieten können.
Das Nachfolgemodell von „Safe Harbor“, der „EU-U.S. Privacy Shield“, ist nicht minder umstritten und wird von dem Datenschutzaktivisten ebenfalls als unwirksam betrachtet. Der Generalanwalt hält eine Befassung des Gerichts mit dieser Frage jedoch für entbehrlich, da sich Facebook ausschließlich auf Standarddatenschutzklauseln stützte.
Derzeit erfolgt ein Großteil der Datenübermittlungen in die USA auf Grundlage von Standarddatenschutzklauseln oder des „EU-U.S. Privacy Shield“. Sollte eines dieser Instrumente oder gar beide für unwirksam erklärt werden, müssen Unternehmen ihre Datenübermittlungen in die USA sorgfältig analysieren, ggf. grundlegend neu aufstellen oder gar aussetzen. Ein Termin für die Urteilsverkündung in diesem Verfahren ist bislang nicht bekannt. Der EuGH folgt häufig dem Antrag des Generalanwalts.