skip to Main Content

EuGH prüft Anwendbarkeit der Standardvertragsklauseln für Datenübermittlungen in die USA

Im Kontext des Safe Harbor-Urteils des EuGH vom 06.10.2015 stellten die Aufsichtsbehörden ebenso die Zulässigkeit des alternativen Rechtsinstruments der Standardvertragsklauseln für Datenübermittlungen in die USA in Frage. Da die derzeitige Gesetzeslage in den USA den Sicherheitsbehörden eine grundrechtswidrige Massenüberwachung erlaube, kann der Datenimporteur eben gerade nicht garantieren, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen bzw. sich nachteilig auf die Garantien und Pflichten auswirken, die die Klauseln bieten sollen (vgl. Klausel 5 der Standardvertragsklauseln).

Die Aufsichtsbehörden haben daher gemäß den Beschlüssen der EU-Kommission, die im Annex die Standardvertragsklauseln enthalten, die Möglichkeit, Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln per verwaltungsrechtlicher Anordnung zu verbieten (vgl. Art. 4 Abs. 1 lit. a) des Beschlusses 2010/87/EU). Max Schrems hatte die irische Aufsichtsbehörde mittels einer Beschwerde darauf verwiesen.

Daraufhin hatte die Aufsichtsbehörde die rechtliche Prüfung der Wirksamkeit der Standardvertragsklauseln an den irischen High Court weitergeleitet. Dieser legte die Frage zur Gültigkeit der Standardvertragsklauseln als Grundlage für Datenübermittlungen in Drittstaaten dem EuGH zur Entscheidung vor.

Es bleibt abzuwarten, wie das Urteil des EuGHs ausfallen wird. Sollte er entscheiden, dass eine Datenübermittlung nicht rechtssicher auf der Grundlage der Standardvertragsklauseln möglich ist, könnte dies die Beauftragung von Dienstleistern in den USA aufgrund der damit verbundenen Datenübermittlungen erheblich erschweren. Denn bei weitem nicht alle US-Unternehmen sind Privacy Shield-zertifiziert.

Insbesondere, wäre dann zu klären, ob die Klauseln dennoch einbezogen werden können, wenn aus den USA zwar auf Daten zugegriffen wird, die Daten dort selbst aber nicht physisch gespeichert werden, sondern in der EU verbleiben (z.B. bei Fernwartungsdienstleistungen). Ein US-Berufungsgericht urteilte unlängst, dass Unternehmen den amerikanischen Sicherheitsbehörden auf deren Anforderung hin den Zugang zu Servern in der EU verweigern dürfen, und hatte damit die Gesetzeslage in den USA etwas abgemildert.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Back To Top