EuGH-Verhandlung zum EU-US Privacy Shield am 01. Juli 2019

Michael Neuber

Am 01.Juli 2019 wird der Europäische Gerichtshof (EuGH) die mündliche Verhandlung im Rechtsstreit über das EU-US-Privacy Shield (Rechtssache T-738/16) durchführen. Das EU-US Privacy Shield ist der Nachfolger des vom EUGH im Jahre 2015 für unwirksam erklärten Safe-Harbour-Abkommens. Es bildet eine der wichtigsten Grundlagen für die Übermittlung personenbezogener Daten zwischen EU und den USA und ist für die Digitalwirtschaft daher von besonderer Bedeutung.

Grundlage des Rechtsstreits bildet eine Klage u.a. der französischen Nichtregierungsorganisation „ La Quadrature du Net“. Diese hatte kurz nach Inkrafttreten des neuen EU-US Privacy Shields die darin aufgestellten Annahmen und Bedingungen zur Sicherung eines angemessenen Datenschutzniveaus in den USA als nicht ausreichend kritisiert und die Feststellung der Nichtigkeit des zugrundeliegenden Angemessenheitsbeschlusses der EU-Kommission (Durchführungsbeschluss (EU) 2016/1250) begehrt. In vier konkret ausgeführten Punkten werden Verstöße gegen die Charta der Grundrechte der Europäischen Union geltend gemacht. So wird unter anderem kritisiert, dass nach wie vor anlassunabhängige Datenerhebungen aufgrund von US-Regelungen weiter möglich und keine effektiven Rechtsbehelfe oder unabhängige Kontrollen möglich seien.

Bereits zwei erfolgreiche Überprüfungen

Das seit 2016 gültige Abkommen ist bereits zwei Mal seitens der EU-Kommission überprüft worden. Bei beiden Terminen wurden weitere Verbesserungen gefordert, die von Seiten der USA zwischenzeitlich auch durchgeführt wurden. Anders als in dem 2015 entschiedenen Verfahren – welches ursprünglich nicht die Nichtigkeit des Angemessenheitsbeschlusses zu „Safe Harbour“ – zum Gegenstand hatte, ist die Klage ausdrücklich auf Feststellung derselben angelegt.

Ein Wegfall des EU-US Privacy Shields hätte erhebliche Auswirkungen auf die digitale Wirtschaft. Übermittlungen personenbezogener Daten an Unternehmen außerhalb der EU bedürfen neben einer geeigneten Rechtsgrundlage auch einer Absicherung zur Gewährleistung eines angemessenen Datenschutzniveaus. Neben einem – hier in Rede stehenden – Angemessenheitsbeschluss der EU-Kommission kommen daneben nur noch entweder eine ausdrückliche Einwilligung des Betroffenen, konzerninterne Verhaltensvorschriften (Binding Corporate Rules) oder EU-Standardvertragsklauseln in Betracht.

EU-Standardvertragsklauseln ebenfalls unter Beschuss

Seit einiger Zeit nutzen Unternehmen der digitalen Wirtschaft zur Absicherung verstärkt zusätzlich Standardvertragsklauseln. Jedoch sind auch dieser derzeit Gegenstand gerichtlicher Überprüfung im so genannten Schrems II-Verfahren (Rechtssache C-311/18). In dem Verfahren geht es um nicht weniger als die Frage, welche Bindungswirkung und damit, welche angemessene Garantie solch organisatorisch/vertraglichen Maßnahmen bieten. Die dem EuGH hierzu gestellte Frage lautet: “Führt der Umstand, dass die Standardvertragsklauseln im Verhältnis zwischen Datenexporteur und Datenimporteur gelten und keine Bindungswirkung für nationale Behörden eines Drittlands haben, die den Datenimporteur verpflichten können, die personenbezogenen Daten, die aufgrund der im SCC-Beschluss genannten Klauseln übermittelt werden, ihren Sicherheitsbehörden zur weiteren Verarbeitung zugänglich zu machen, dazu, dass die Klauseln keine ausreichenden Garantien im Sinne von Art. 26 Abs. 2 der Richtlinie bieten?”

Was ist das angemessene Datenschutzniveau der EU?

Eine Entscheidung in dieser Sache wird daher auch Auswirkungen auf alle anderen Mechanismen haben, die neben dem EU-US Privacy Shield derzeit für Unternehmen gangbar sind. Für die digitale Wirtschaft wird es daher entscheidend sein, zu welchem Ergebnis der Europäische Gerichtshof beim EU-US Privacy Shield gelangt. Kar ist; die Privatwirtschaft sollte nicht zum Spielball werden. Es bedarf echter politischer Bekenntnisse aller Seiten mit Blick auf die Aktivitäten staatlicher Nachrichtendienste. Dies betrifft allerdings nicht nur die USA. Dazu zählt aus europäischer Perspektive auch eine ehrliche Analyse des heutigen, „angemessenen Datenschutzniveaus“ für die EU. Diese gesetzliche Fiktion eines europäisch einheitlichen Datenschutzstandards muss angesichts der Vielzahl von in den letzten Jahren in Mitgliedsstaaten eingeführten gesetzlichen Befugnisse für Geheimdienste auf den Prüfstand. Das wird insbesondere deutlich im Rahmen der derzeitigen Brexit-Diskussionen. Wo Großbritannien heute noch „sicher“ ist könnte es bei einem No-Deal-Szenario die Angemessenheitskriterien der EU möglicherweise gar nicht mehr erfüllen. Es steht also zu hoffen, dass der EuGH hier sämtliche Gesichtspunkte berücksichtigt und lösungsorientiert arbeitet.

Kommentar schreiben