Am 19. Dezember 2019 hat der Generalanwalt des Henrik Saugmandsgaard Øe seine Schlussanträge im Verfahren „Data Protection Commissioner / Facebook Ireland und Maximilian Schrems“ (C-311/18; sog. „Schrems II“) veröffentlicht. Unternehmen, die personenbezogene Daten in Drittländer übermitteln, sollten diesem Verfahren besondere Aufmerksamkeit widmen. Eine Aufsichtsbehörde könnte in Zukunft internationale Datenübermittlungen untersagen, obwohl EU Standardvertragsklauseln wirksam vereinbart (und eingehalten) wurden. Dies könnte auch für andere Garantien im Rahmen internationaler Datenübermittlungen gelten.

Der Generalanwalt empfiehlt dem EuGH, den Beschluss vom 5. Februar 2010 (2010/87/EU) zur Anwendbarkeit der sog. EU Standardvertragsklauseln weiterhin für rechtmäßig zu erachten. Der Generalanwalt sieht – im vorliegenden Verfahren – keinen Anlass diesen Beschluss für ungültig zu erklären.

Sollte der EuGH dem Generalanwalt folgen, können Unternehmen weiterhin grundsätzlich EU Standardvertragsklauseln verwenden, um internationale Datenübermittlungen zu rechtfertigen. Dieser Grundsatz könnte sich allerdings in eine Ausnahme verkehren. Wenn sich der EuGH der Ansicht des Generalanwalts anschließt, könnte ein Systembruch bei internationalen Datenübermittlungen folgen. Unternehmen könnten sich nicht mehr auf Garantien im Sinne der Datenschutz-Grundverordnung („DSGVO“) verlassen, wenn sie personenbezogene Daten in Drittländer übermitteln. Der Generalanwalt vertritt (wohl) die Ansicht, dass Aufsichtsbehörden im Einzelfall die Anordnung erlassen können, um Datenübermittlungen auszusetzen. Eine Aufsichtsbehörde könnte in der Zukunft also internationale Datenübermittlungen untersagen, obwohl EU Standardvertragsklauseln wirksam vereinbart (und eingehalten) wurden.

I. Vorgeschichte und Hintergrund

Dieses Verfahren hat eine längere Vorgeschichte. Ausgangspunkt ist eine Beschwerde, die Herr Schrems bei der irischen Datenschutzaufsichtsbehörde eingereicht hat.

Herr Schrems hat im Kern die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten durch die Facebook Ireland Ltd. an die Facebook, Inc. (mit Sitz in Kalifornien, USA) in Frage gestellt („Schrems I“). Aus Sicht von Herrn Schrems war in den USA kein angemessenes Datenschutzniveau durch das (inzwischen ungültige) Safe Harbor Abkommen gegeben. Unter anderem würden U.S. Behörden auf personenbezogene Daten von betroffenen Personen zugreifen, ohne dass diese Personen ausreichende Rechtsmittel ergreifen könnten. Die Übermittlung von personenbezogenen Daten auf der Grundlage des Safe Harbor Abkommens sei insbesondere daher unzulässig. Diese Ausgangsbeschwerde führte dazu, dass der EuGH die Entscheidung der EU-Kommission über das (damalige) Safe Harbor Abkommen vom 26. Juli 2000 für ungültig erklärt hat. Durch die Schrems I-Entscheidung wurden die Verhandlungen über das (aktuell gültige) Privacy Shield beschleunigt.

II. (Noch) Keine Auswirkung der Schrems I-Entscheidung auf EU Standardvertragsklauseln

Der Beschluss 2010/87/EU zur Anwendbarkeit der EU Standardvertragsklauseln war durch die Schrems I-Entscheidung nicht betroffen. Dieses Rechtsinstitut konnte weiterhin für internationale Datenübermittlungen genutzt werden. Die EU Kommission hatte mit Beschluss 2010/87/EU bestimmte Standardvertragsklauseln für internationale Datenübermittlungen formuliert. Wenn Parteien diese Klauseln vereinbaren, sind sie zur Einhaltung bestimmter Schutzanforderungen bezüglich personenbezogener Daten verpflichtet. Diese Verpflichtungen können zur Rechtfertigung einer internationalen Datenübermittlung herangezogen werden, z.B. um personenbezogene Daten von einem EU Unternehmen an ein U.S. Unternehmen zu übermitteln. Die EU Standardvertragsklauseln sind damit eine Möglichkeit, internationale Datenübermittlungen zu rechtfertigen (vgl. Art. 46 Abs. 2 lit. c) DSGVO).

III. Kernfrage im Schrems II-Verfahren

Die Facebook Ireland Ltd. verwendet EU Standardvertragsklauseln, abgeschlossen mit der Facebook, Inc., als Rechtfertigung für die entsprechenden internationalen Datenübermittlungen. Nachdem Facebook Ireland Ltd. dies Herrn Schrems mitgeteilt hatte, hat er seine Beschwerde umformuliert.

Die Kernfrage des vorlegenden Gerichts im Schrems II-Verfahrens ist, ob der Beschluss 2010/87/EU mit bestimmten europäischen Grundrechten vereinbar ist (vgl. Frage 11 in Rdnr. 76 der Schlussanträge). Herr Schrems stellt diese Gültigkeit insbesondere aufgrund der beschränkten Bindungswirkung der EU Standardvertragsklauseln in Frage. Diese binden nur die Parteien, zwischen denen eine entsprechende Vereinbarung getroffen worden ist. Wenn daher zwei private Unternehmen eine entspreche Vereinbarung abschließen würden, wären staatliche Behörden nicht verpflichtet, ein bestimmtes Schutzniveau zu gewährleisten. Für Datenübermittlungen aus der EU in die USA bedeutet dies, dass auch durch den Abschluss der EU Standardvertragsklauseln kein ausreichendes Schutzniveau gegeben wäre. Gegen ein ausreichendes Schutzniveau in den USA sprächen insbesondere diverse staatliche Überwachungsmaßnahmen und mangelnder Rechtsschutz für betroffene Personen.

IV. Kein Anlass für den EuGH, den Beschluss 2010/87/EU für ungültig zu erklären

Der Generalanwalt sieht im Ergebnis keinen Anlass für den EuGH, den Beschluss 2010/87/EU – im vorliegenden Fall – für ungültig zu erklären. Dieser Beschluss sei mit verschiedenen Grundrechten der Europäischen Union vereinbar.

Zum einen reiche der Umstand der mangelnden Bindungswirkung staatlicher Stellen nicht aus, um einen Grundrechtsverstoß anzunehmen. Staatliche Behörden seien nicht gehindert, dem Datenempfänger („Importeur“) Pflichten aufzuerlegen. Dabei ist es möglich, dass der Importeur, bei Beachtung dieser Pflichten, wiederum gegen seine Verpflichtungen gegenüber dem Datenübermittler („Exporteur“) verstößt. Dies allein rechtfertige nicht die Ungültigkeit des Beschlusses.

Zum andere sei zu prüfen, ob ausreichend wirksame Regelungen gegeben sind, um auf einen solchen Fall reagieren zu können (ohne zugleich das Rechtsinstitut der EU Standardvertragsklauseln in der aktuellen Fassung vollständig für ungültig zu erklären). Datenschutzaufsichtsbehörden haben nach Art. 58 Abs. 2 DSGVO verschiedene Abhilfebefugnisse. Sie können unter anderem nach Art. 58 Abs. 2 lit. f) DSGVO die Datenübermittlung des Exporteurs an den Importeur vorübergehend oder endgültig beschränken. Diese Abhilfebefugnis könne auch angewendet werden, wenn sich für den Importeur aufgrund einer gesetzlichen oder behördlichen Anordnung ein Konflikt mit der Einhaltung der vereinbarten EU Standardvertragsklauseln ergibt.

Dadurch können die Grundrechte betroffener Personen im Einzelfall gewahrt werden, ohne den Beschluss 2010/87/EU für ungültig zu erklären.

V. Fazit

Aus Sicht des Generalanwalts sollte der Beschluss 2010/87/EU weiterhin gültig bleiben. Unternehmen könnten daher auch künftig EU Standardvertragsklauseln anwenden. Im konkreten Einzelfall könne eine Datenschutzaufsichtsbehörde, gegebenenfalls nach Abstimmung im Rahmen des Europäischen Datenschutzausschusses, Maßnahmen treffen, um bestimmte Datenübermittlungen in ein Drittland zu unterbinden. Der Generalanwalt stellt die grundsätzliche Systematik der EU Standardvertragsklauseln als eine Rechtfertigungsmöglichkeit für internationale Datenübermittlungen nicht in Frage.

Die Richter am EuGH sind an die Schlussanträge eines Generalanwalts nicht gebunden. Sie folgen den Schlussanträgen jedoch regelmäßig. Es bleibt – insbesondere vor dem Hintergrund verschiedener prozessualer Fragen – abzuwarten, wie die Richter die Vorlagefragen beantworten werden.

Unabhängig von dem vorliegenden Vorabentscheidungsverfahren wird eine andere anhängige Entscheidung möglicherweise zu einer Neujustierung der internationalen Datenübermittlungen in die USA führen. Verfahrensgegenstand in Sachen La Quadrature du Net u.a./Kommission (T‑738/16) ist die Frage, ob der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016, zur Anwendbarkeit des EU-US Privacy Shields, gegen bestimmte Grundrechte verstößt oder nicht. Auf dieses Verfahren nimmt der Generalanwalt mehrfach Bezug.

EU Standardvertragsklauseln sind verhältnismäßig einfach in der Praxis einzusetzen. Ein Faktor, der auch beim anstehenden Brexit aus datenschutzrechtlicher Sicht relevant werden wird.

VI. Ausblick

Es ist Vorsicht geboten. Wird die Stellungnahme (insbesondere in Rdnr. 121 ff) des Generalanwalts weitergedacht – und vom EuGH in den maßgeblichen Punkten übernommen – steht die bisherige Systematik der Drittlandstransfers in Frage.

Dem Generalanwalt folgend wäre der Beschluss 2010/87/EU weiterhin gültig. Aufsichtsbehörden könnten im Einzelfall entsprechende Datenübermittlungen untersagen, wenn sie möglicherweise Defizite in einem Drittland erkennen. Dies könnte dazu führen, dass EU Standardvertragsklauseln für bestimmte Drittländer (oder vielleicht für Teile davon) nicht mehr angewendet werden können, obwohl der Beschluss 2010/87/EU weiterhin gültig ist.

Dies stellt die Systematik der Drittlandstransfers nach Art. 44 ff DSGVO in Frage. Ein Unternehmen könnte sich nicht mehr darauf verlassen, dass es mit dem Abschluss (und der Einhaltung) von EU Standardvertragsklauseln die entsprechenden datenschutzrechtlichen Anforderungen eingehalten hat (vgl. Art. 46 Abs. 2 lit. c) DSGVO). Die Datenübermittlung könnte dennoch aufgrund von Faktoren, die im Drittland begründet sind, untersagt werden. Demzufolge wären keine Garantien zwischen privaten Unternehmen mehr geeignet, um für die Unternehmen Rechtssicherheit zu schaffen. Strukturelle Defizite in einem Drittland würden z.B. auch Binding Corporate Rules in Frage stellen. Sinn und Zweck der Garantien für Drittlandstransfers würden wegfallen.

Dadurch könnte eine Aufsichtsbehörde Befugnisse erlangen, die ihr aufgrund der Gewaltenteilung nicht zustehen. Sie könnte de facto die Anwendbarkeit eines gültigen Rechtsaktes (Beschluss 2010/87/EU) beseitigen, indem sie Datenübermittlungen auf dieser Grundlage konsequent untersagt. Diese Konsequenz wäre schon allein Folge der Selbstbindung der Verwaltung und des allgemeinen Gleichheitsgrundsatzes.

Die Stellungnahme des Generalanwalts wäre ein Pyrrhussieg für Unternehmen, die EU Standardvertragsklauseln einsetzen und die entsprechenden DSGVO-Anforderungen damit einhalten wollen.