Update Datenschutz Nr. 71
Stellungnahme im EuGH-Verfahren zur Datenübermittlung an Facebook, Amazon, Microsoft, Google & Co.
Seit dem 19. Dezember 2019 liegt nun die Stellungnahme des EU-Generalanwaltes im EuGH-Verfahren C-311/18 („Schrems II“) vor. Hierin geht es um den Transfer personenbezogener Daten ins EU-Ausland und damit im Kern um die Frage, ob EU-Unternehmen Cloud-Angebote von US-Konzernen wie Microsoft, Amazon, Facebook, Google oder Salesforce in Anspruch nehmen dürfen, wenn die Daten hierdurch auch auf US-Servern gespeichert werden.
Was ist passiert?
Das vorliegende Verfahren wurde bereits Mitte 2018 beim Europäischen Gerichtshof eingereicht. Der Irische High Court, das oberste Zivil- und Strafgericht in Irland, hatte dem EuGH u.a. die Frage vorgelegt, ob auf Grundlage der bestehenden EU-Standardvertragsklauseln (Art. 46 DSGVO) ein Datentransfer von Facebook Irland auf Server von Facebook Inc. in den USA erfolgen dürfe oder vielmehr der diesbezügliche Beschluss der EU-Kommission (Nr. 2010/87) u.a. aufgrund der ausufernden Überwachung durch US-Regierungsbehörden wie NSA, FBI oder CIA ungültig sei. Es war erwartet worden, dass sich der EuGH zu den EU-Standardvertragsklauseln negativ äußern würde, dann diese stammen teilweise bereits aus dem Jahre 2001 und sind daher fast so alt wie das durch den EuGH in 2015 für ungültig erklärte Safe-Harbor-Abkommen, welches damals ebenfalls als Rechtsgrundlage für den US-Datentransfer herangezogen wurde. Würde der EuGH nun die EU-Standardvertragsklauseln für ungültig erklären, so wäre auch die hierauf gestützte Übermittlung personenbezogener Daten auf Server in Drittländern (also außerhalb der Europäischen Union) unzulässig und stellte einen bußgeldbewehrten Datenschutzverstoß dar. Unternehmen der EU haben bei Inanspruchnahme von US-Providern (z.B Cloud-Dienste von Amazon AWS oder Microsoft Azure) daher ein hohes Interesse an einer Gültigkeit der hierfür verwendeten EU-Standardvertragsklauseln. Die Entscheidung des EuGH wird somit von all denjenigen Unternehmen dringend erwartet, die Rechtssicherheit bei der Nutzung von US-Cloud-Diensten erreichen möchten.
Die Stellungnahme des EU-Generalanwaltes Henrik Saugmandsgaard Øe gilt als Vorentscheidung für das EuGH-Urteil, welches im Frühjahr 2020 erwartet wird. In den überwiegenden Fällen orientieren sich die Richter des EuGH an den Vorschlägen des EU-Generalanwaltes, weshalb diese durchaus richtungsweisend sind. Überraschender Weise kam dieser im vorliegenden Fall jedoch in seiner Stellungnahme zu dem Ergebnis, dass keine Bedenken an der Gültigkeit der EU-Standardvertragsklauseln gesehen werden. Diese stünden auch nach Kenntnis von der umfassenden US-Überwachung weiterhin in Einklang mit den geltenden EU-Verfassungsvorgaben. Zwar gäbe es Bedenken an der wirksamen Durchführung des weiterhin als Rechtsgrundlage für die Datenübermittlung verwendeten EU-US-Privacy-Shield. Diesbezüglich seien allerdings die zuständigen Aufsichtsbehörden selbst in der Lage, im Einzelfall ein Verbot auszusprechen, wenn Anhaltspunkte für eine Verletzung der DSGVO vorliegen würden.
Was ist nun zu tun?
Die Aussichten für Unternehmen, die Cloud-Dienste von US-Providern wie Amazon, Microsoft, Google oder Facebook in Anspruch nehmen oder zukünftig nutzen wollen, haben sich durch die vorliegende Stellungnahme deutlich aufgehellt. Wenn der EuGH der Empfehlung des EU-Generalanwalts im Frühjahr 2020 mit seinem Urteil folgt, dann ist der US-Datentransfer, und damit die weitere Inanspruchnahme von US-Providern, weiterhin auf Grundlage des Privacy-Shield und/oder der EU-Standardvertragsklauseln zulässig.
Gleichzeitig sollte jedoch sehr genau beobachtet werden, wie die Irische Aufsichtsbehörde auf die Stellungnahme reagiert, denn diese wurde hierin mittelbar aufgefordert, bei der Datenübermittlung auf US-Server im Einzelfall noch genauer hinzuschauen. Zudem ist es möglich, dass auch deutsche Aufsichtsbehörden ihre Praxis ändern und zukünftig den Einsatz von Standardvertragsklauseln nicht mehr pauschal akzeptieren, sondern vielmehr in jedem Einzelfall auf Angemessenheit überprüfen werden. Es ist daher anzuraten, die eigene Verwendung der Standardvertragsklauseln auf den Prüfstand zu stellen, um dieser Problematik frühzeitig zu begegnen.