Irischer High Court legt EuGH vor: Fallen nach "Safe Harbor" auch die Stan­dard­ver­träge?

von Prof. Dr. Thomas Hoeren

11.10.2017

2/2 Facebook und Co bleiben bei den alten Standardverträgen

Die Musterverträge für den grenzüberschreitenden Datenaustausch mit dem Nicht-EU-Ausland traten 2010 in Kraft. Damit wurde der Ausweitung von Datenverarbeitungstätigkeiten und neuen Geschäftsmodellen für die internationale Verarbeitung personenbezogener Daten Rechnung getragen. Der Beschluss enthält besondere Bestimmungen, wonach unter bestimmten Bedingungen sowie unter Wahrung des Schutzes personenbezogener Daten die Auslagerung von Verarbeitungstätigkeiten an Unterauftragnehmer zulässig ist.

Danach muss ein Datenimporteur (Datenverarbeiter), der im Auftrag des in der EU ansässigen Datenexporteurs (dem für die Datenverarbeitung Verantwortlichen) durchzuführende Verarbeitungen weitervergeben möchte, vorher die schriftliche Einwilligung des Datenexporteurs einholen. Dem Unterauftragsverarbeiter werden in einer schriftlichen Vereinbarung die gleichen Pflichten auferlegt, die der Datenimporteur gem. den Standardvertragsklauseln erfüllen muss.

Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters uneingeschränkt verantwortlich.

Darüber hinaus umfasst die Unterauftragsverarbeitung ausschließlich die Verarbeitungstätigkeiten, die im ursprünglichen Vertrag zwischen dem Datenexporteur aus der EU und dem Datenimporteur vereinbart wurden. Bestehende Verträge, die auf der Grundlage der durch die Entscheidung 2002/16/EG genehmigten Klauseln geschlossen wurden, bleiben so lange gültig, wie die Übermittlung und die Datenverarbeitungstätigkeiten unverändert fortgeführt werden.

"This is an unusual case"

Die irische High Court-Richterin Caroline Costello gab mit einem 150 Seiten starken Beschluss nun den Bedenken des irischen Datenschutzbeauftragten in Sachen Facebook und Standardverträgen recht.
Mit den Anfangsworten "This is an unusual case" bekräftigte sie, es gebe begründete Hinweise darauf, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehle. Die Daten könnten gefährdet sein, weil sie US-Behörden zugänglich gemacht und dort verarbeitet würden. Dies wiederum könne nach Art. 7, 8 und 47 der EU – Grundrechtecharta unvereinbar mit europäischem Recht sein.

Dann holte der High Court weit aus und schilderte den Stand des US-amerikanischen Datenschutzrechts im Vergleich zum europäischen Datenschutzrecht ebenso wie die die Verfolgung von Edward Snowden. Nach Anhörung zahlreicher Sachverständiger bekräftigte die Richterin, dass vor allem der Rechtsschutz europäischer Bürger in den USA fragmentarisch sei und auch die Zugriffsmöglichkeiten der US Geheimdienste nur als grenzenlos bezeichnet werden könne.

Fallen die Standardklauseln? Das wäre der GAU für viele Unternehmen

Der High Court argumentiert, dass die Datenschutzvorgaben in der EU einheitlich angewandt werden müssten. Nur damit könne verhindert werden, dass die Erlaubnis für Datentransfers von individuellen Entscheidungen nationaler Datenschutzbehörden auf Basis individueller Fälle abhänge. Deshalb müsse der Fall dem europäischen Gerichtshof vorgelegt werden, der nicht durch die Entscheidungen der Kommission in Sachen Privacy Shield gebunden sei.

Auch ungewöhnlich war Costellos Bitte um Formulierungsvorschläge der Parteien zu den an den EuGH zu richtenden klärungsbedürftigen Rechtsfragen. Im Streit stehen daher nur die Standardvertragsklauseln, die in der Vergangenheit zur Geheimwaffe der Datenindustrie geworden sind. Diese Standardvertragsklauseln sind nie übererarbeitet worden, selbst als der EuGH und andere Gerichte Bedenken gegen das Datenschutzniveau in den USA äußerte.

Sollten die Standardvertragsklauseln fallen, droht vielen Unternehmen der Datenschutzgau. Sie könnten nur noch Daten in die USA nach Maßgabe genehmigter Verhaltensregeln oder aufgrund genehmigter Zertifizierungsmechanismen vornehmen.

Es bleibt aber selbst dann noch das Risiko, dass der EuGH zu dem Ergebnis kommt, dass aufgrund der Zugriffsmöglichkeiten der US-Geheimdienste sowie unzureichender Rechtsbehelfe für EU-Bürger kein hinreichender Schutz der Daten in den USA gegeben ist. Dann würden sich die Probleme angesichts eines solchen totalen Fallout potenzieren.

Der Autor Prof. Dr. Thomas Hoeren ist Professor an der WWU Münster und Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht (Landeskompetenzzentrum).

Zitiervorschlag

Irischer High Court legt EuGH vor: . In: Legal Tribune Online, 11.10.2017 , https://www.lto.de/persistent/a_id/24951 (abgerufen am: 07.11.2024 )

Infos zum Zitiervorschlag
Jetzt Pushnachrichten aktivieren

Pushverwaltung

Sie haben die Pushnachrichten abonniert.
Durch zusätzliche Filter können Sie Ihr Pushabo einschränken.

Filter öffnen
Rubriken
oder
Rechtsgebiete
Abbestellen