Nachdem der EuGH vor zwei Jahren das sog. Safe Harbour-Abkommen für ungültig erklärt hat (Urteil des EuGH vom 06.10.2015 – Rs. C-362/14), bekommt er nunmehr die Gelegenheit, auch die Zulässigkeit eines Datentransfers aus der EU in die USA auf Grundlage der sog. EU-Standardvertragsklauseln zu überprüfen. Der irische High Court hat am 3. Oktober 2017 dem EuGH entsprechende Rechtsfragen vorgelegt. Dabei geht es im Grundsatz um die Frage, ob die Standardvertragsklauseln ein angemessenes Schutzniveau für die übertragenen personenbezogenen Daten von EU-Bürgern in den USA gewährleisten, wie es von der europäischen Datenschutzrichtlinie für Datentransfers ins nicht-europäische Ausland, u.a. also auch in die USA, gefordert wird.

Die von der irischen Datenschutzbehörde angesichts der Safe Harbour-Entscheidung des EuGH geäußerten Bedenken an der Wirksamkeit der Standardvertragsklauseln betreffen insbesondere die Frage, ob der vermeintliche Zugriff auf die übertragenen Daten und deren Verarbeitung durch Strafverfolgungs- oder anderen Behörden in den USA zu Zwecken der nationalen Sicherheit als ungerechtfertigter Eingriff in das Grundrecht des Schutzes personenbezogener Daten nach Art. 8 der EU-Grundrechte-Charta anzusehen sein könnte. Für bedenklich hält die Behörde außerdem die fehlenden Rechtsbehelfe der EU-Bürger gegen eine derartige unzulässige Datenverarbeitung.

Es bleibt abzuwarten, wie die Vorlagefragen, die der irische High Court gegenwärtig noch erarbeitet, genau aussehen werden und ob der EuGH die zu den Safe Harbour-Grundsätzen getroffenen Feststellungen auf die Standardvertragsklauseln übertragen wird. In jedem Fall wird bis zur Entscheidung noch etwas Zeit vergehen. Soweit man den Zeitplan der Safe Harbour-Entscheidung zugrunde legt, dürfte mit einem Urteil ab Mitte 2018 zu rechnen sein.

Praxishinweis: Unternehmen, die auf Grundlage der Standardvertragsklauseln internationale Datentransfers durchführen, sollten die weitere Entwicklung genau im Auge behalten und schon jetzt vorsorglich über mögliche Alternativen nachdenken (z.B. innereuropäische Lösungen, Binding Corporate Rules oder bei Datentransfers in die USA eine Legitimation über das Privacy Shield), um bestmöglich auf das nicht auszuschließende Szenario vorbereitet zu sein, dass der EuGH die Standardvertragsklauseln für unwirksam erklärt.