Standardvertragsklauseln unter Beschuss

Für den Transfer personenbezogener Daten in das nicht-europäische Ausland sind von den Unternehmen besondere Vorkehrungen zu treffen, wenn das Empfängerland kein von der Europäischen Kommission anerkanntes angemessenes Datenschutzniveau hat. Die den Unternehmen zur Verfügung stehenden Mittel sind neben der Einwilligung durch die Betroffenen im Einzelfall eine Genehmigung der Aufsichtsbehörden, ein Transfer unter den Regelungen des Privacy Shields, falls es sich um einen Transfer in die USA handelt, oder die Verwendung der sog. EU-Standardvertragsklauseln. Viele Unternehmen in Deutschland setzen vorwiegend für diese Zwecke auf die EU-Standardvertragsklauseln, da das Privacy Shield nur für Transfers von personenbezogenen Daten in die USA gilt, nicht aber etwa nach Asien, Afrika oder Australien, und der Empfänger der Daten bei Privacy Shield sich der entsprechenden Zertifizierung unterwerfen muss. Dagegen sind die Standardvertragsklauseln ein zwar formalistisches aber unkompliziertes Instrument, Transfers in das Nicht-EU-Ausland zu ermöglichen.

Diese Möglichkeit kommt nun aber unter Beschuss. Nachdem der österreichische Aktivist Max Schrems bereits die Privacy Shield-Vorgängerregelung Safe Harbor über ein Verfahren gegen den irischen Data Protection Commissioner zu Fall gebracht hatte und anschließend das Privacy Shield neu aufgelegt wurde, hat nun der High Court of Ireland, dort die handelsrechtliche Abteilung, dem EuGH auch die Frage vorgelegt, ob die EU-Standardvertragsklauseln ein ausreichendes Mittel sind, mit dem ein angemessenes Datenschutzniveau hergestellt werden kann und so die Rechte der Betroffenen in Europa hinreichend geschützt sind, wenn Unternehmerdaten in das nicht europäische Ausland transferieren. Eine Entscheidung des EuGH ist noch nicht terminiert. Vielmehr wird der irische High Court zunächst noch am 11.10.2017 die konkreten Fragen an den EuGH formulieren. Wenn man von dem Zeitplan für die Entscheidung über Safe Harbor ausgeht, wird eine Entscheidung Ende 2018 zu erwarten sein.

Bis dahin sind die EU-Standardvertragsklauseln weiterhin ein legitimes Mittel, Transfers von personenbezogenen Daten in die USA und in andere nicht-europäische Länder durchzuführen. Allerdings könnte eine Entscheidung, mit der die EU-Standardvertragsklauseln durch den EuGH für ungültig erklärt werden, erhebliche Auswirkungen haben, da davon nicht nur Transfers in die USA wie bei Safe Harbor betroffen wären, sondern auch in die ganze übrige Welt. Anders als bei Safe Harbor setzen außerdem weltweit Konzerne auch für den konzerninternen Datentransfer auf die EU-Standardvertragsklauseln.

Unternehmen sollten daher die Entwicklung genau beobachten und wo immer möglich auf rein europäische Lösungen, etwa für den IT-Betrieb setzen, um durch eine Entscheidung des EuGH nicht auf dem falschen Fuß erwischt zu werden.