Gefahr für internationale Datentransfers

Der internationale Transfer von personenbezogenen Daten ist für sehr viele Unternehmen Teil des Alltagsgeschäfts. Sie verwenden internationale Dienstleister, haben Konzerngesellschaften im Ausland oder kooperieren mit ausländischen Kunden und Lieferanten. Die Datenschutzgrundverordnung („DSGVO“) setzt einen engen Rahmen für den Transfer von personenbezogenen Daten in das Nicht-EU-Ausland. Gemäß Artt. 44-49 DSGVO ist dieser Transfer nur zulässig, wenn er im Einzelfall für ein Vertragsverhältnis zwingend erforderlich ist, eine Einwilligung der Betroffenen vorliegt, die Aufsichtsbehörden ihn genehmigt haben oder angemessene Garantien für das Datenschutzniveau im Empfängerland bestehen.

Die EU-Kommission hat bisher nur 13 Ländern anerkannt, in denen ein solches angemessenen Datenschutzniveau vorliegt (Andorra, Argentinien, Kanada, Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und die Vereinigten Staaten von Amerika im Falle von Privacy Shield). Liegen ein solches Niveau oder die anderen vorgenannten Voraussetzungen nicht vor, müssen Unternehmen anderweitig für ein angemessenes Schutzniveau sorgen. Ein konzerninternes mögliches Mittel sind dafür sog. Binding Corporate Rules, die aber aufwendig zu implementieren sind und nicht die Transfers an Nicht-Konzerngesellschaften abdecken. Für den Rest verwenden Unternehmen in aller Regel die sog. EU-Standardvertragsklauseln. Das sind Vertragsklauseln, die von der EU-Kommission herausgegeben werden und bei deren Verwendung die EU-Kommission und die Aufsichtsbehörden bisher ein angemessenes Datenschutzniveau als gegeben ansehen.

EU-Standardvertragsklauseln auf der Kippe

Dieses leicht verwendbare und in aller Welt akzeptierte Instrument steht aber auf der Kippe. In einem aktuellen Verfahren vor dem EuGH, in dem am 9. Juli 2019 die erste mündliche Verhandlung stattfand (RS. C-311/18, Facebook vs. Schrems), ist die Frage aufgeworfen, ob die EU-Standardvertragsklauseln tatsächlich ein angemessenes Datenschutzniveau sicherstellen können. 

In dem von dem Datenschutzaktivisten Max Schrems losgetretenen Verfahren geht es darum, ob Facebook Daten europäischer Nutzer auf Basis der Standardvertragsklauseln in die USA transferieren darf. Dieselbe Frage hatte Max Schrems bereits für den Privacy Shield Vorläufer Safe Harbor gestellt, woraufhin der EuGH mit Urteil vom 6. Oktober 2015 Safe Harbor für ungültig erklärte (Rs. C-362/14).

Im aktuellen Verfahren stellen sich die gleichen grundlegenden Fragen, nämlich wie können die EU-Bürger vor staatlichen Zugriffen auf ihre personenbezogenen Daten im Nicht-EU-Ausland geschützt werden. Es steht zu erwarten, dass der EuGH einen ähnlichen Prüfungsmaßstab wie im Jahr 2015 für Safe Harbor anlegt. Dann ist die Wahrscheinlichkeit gegeben, dass die EU-Standardvertragsklauseln ebenfalls für ungültig erklärt werden, da vertragliche Vereinbarungen zwischen zwei privatwirtschaftlichen Unternehmen niemals vor einem staatlichen Zugriff schützen können und somit das angemessene Datenschutzniveau in Frage steht.

In der mündlichen Verhandlung am 9. Juli 2019 hat der EuGH noch keine Tendenz erkennen lassen. Die Anwälte des Beschwerdeführers selbst forderten nicht die EU-Standardvertragsklauseln für nichtig zu erklären, sondern verlangten von den Aufsichtsbehörden, sich jeden Einzelfall, in dem mittels der EU-Standardvertragsklauseln personenbezogene Daten transferiert werden, genauer anzusehen.

Die Schlussanträge des Generalanwalts sind in der Sache auf den 12. Dezember 2019 terminiert. Dann wird sich eine erste Tendenz erkennen lassen. Ein Urteil ist erst im nächsten Jahr zu erwarten. 

Bedeutung für Unternehmen

Die Besonderheit im aktuellen Verfahren ist, dass anders als im Safe Harbor Verfahren mit den EU-Standardvertragsklauseln nicht nur ein Instrument für den Transfer personenbezogener Daten in die USA betroffen ist, sondern in alle Länder außerhalb der EU und des EWR, die nicht ausdrücklich als Land mit angemessenem Datenschutzniveau anerkannt sind. Das bedeutet, dass auch Transfers in für die Wirtschaft so wichtige Ländern wie China, Indien, Brasilien, Russland, Südafrika, Australien, aber auch das Vereinigte Königreich im Falle eines No-Deal-Brexits, gefährdet sind. Denn eine Nichtigerklärung der EU-Standardvertragsklauseln würde bedeuten, dass diese nicht nur für Transfers in die USA nicht mehr verwendet werden könnten, sondern gar nicht mehr. Außerdem sind nicht nur digitale Dienste im Fokus, sondern auch der Austausch von Kunden- und Lieferanten- oder Beschäftigtendaten im Konzern würde in Frage gestellt.

Was müssen Unternehmen jetzt tun?

Aktuell sind die EU-Standardvertragsklauseln immer noch ein legitimes Mittel, um die Anforderungen von Artt. 44-49 DSGVO zu erfüllen. Es sollten in den entsprechenden Vereinbarungen zu Datentransfers aber immer bereits Szenarien vorgesehen werden, was im Falle einer Nichtigerklärung der EU-Standardvertragsklauseln geschehen soll. Außerdem gibt es auch andere Optionen für den Datentransfer, die im Einzelfall genau geprüft werden müssen. Die Einwilligung der Betroffenen ist sicherlich die unpraktikabelste Option, da eine solche Einwilligung nicht immer erteilt wird und jederzeit widerrufbar ist. Aber im Einzelfall kann auch genau geprüft werden, ob der Transfer nicht vielleicht für die Durchführung eines Vertrags mit den Betroffenen erforderlich ist, so dass keine weiteren Maßnahmen notwendig wären. Außerdem sollte stets geprüft werden, ob der Transfer überhaupt notwendig ist oder ob z. B. Dienstleister im EU-Ausland genutzt werden können.

Unternehmen müssen den weiteren Verfahrensgang jedenfalls genau beobachten und sich auf den möglichen Ausgang vorbereiten.