Nachschlag zu Safe Harbor – fallen auch die EU-Standardvertragsklauseln?

Nachdem der EuGH mit seiner viel beachteten Entscheidung dem Safe Harbor-Abkommen die Grundlage entzogen hatte, suchten wohl die meisten Unternehmen eine Rettung transatlantischen Datentransfers in einer Umstellung vertraglicher Grundlagen auf die sog. EU-Standardvertragsklauseln. Doch nun stehen auch diese im Fokus – die Folgen einer Unwirksamkeit wären massiv. 

Hintergrund

Nachdem das Safe Harbor-Abkommen zum Datenaustausch zwischen der EU und den USA vom EuGH im Oktober 2015 kassiert wurde, sind in Europa ansässige Unternehmen im Hinblick auf einen Datentransfer in die USA unter anderem auf die Verwendung der sog. EU-Standardvertragsklauseln ausgewichen. Auch wenn gute Gründe gegen eine datenschutzkonforme Datenübermittlung auf Basis der EU-Standardvertragsklauseln sprachen und sprechen, wurde vielfach insbesondere unter formal-juristischen Gründen der Weg über EU-Standardvertragsklauseln als vergleichsweise einfache und unkomplizierte „Ersatzlösung“ gewählt. Einen solchen Weg hat unter anderem auch Facebook eingeschlagen.

Aktuelle Entwicklung

Der bereits für das Safe Harbor-Verfahren „Verantwortliche“ Österreicher Max Schrems hat sich zwischenzeitlich auch gegen eine Datenübertragung durch die in Irland ansässige Gesellschaft des Facebook-Konzern an die Zentrale in die USA auf Basis von EU-Standardvertragsklauseln gerichtet.

Nach aktuellen Verlautbarungen gedenkt die irische Datenschutzbehörde, nunmehr auch die Standardvertragsklauseln vom EuGH prüfen lassen. Details zum entsprechenden Verfahren – einschließlich einer verlinkten und in Rede stehende Vereinbarung auf Basis der EU-Standardvertragsklauseln des Facebook-Konzerns – sind im Internet abrufbar unter http://www.europe-v-facebook.org/PA_MCs.pdf.

Anmerkung

Vor dem Hintergrund, dass aktuell noch keine verbindlichen und geltenden Nachfolgeregelungen für das Safe Harbor-Abkommen getroffen wurden bzw. getroffen werden konnten, besteht namentlich für Unternehmen bzw. Anbieter mit Sitz in Deutschland bzw. in der EU für den Fall eines Datenexports in die USA im Wesentlichen – von den engen Ausnahme entsprechend § 4c Abs. 1 BDSG und zudem derzeit problematischen Ansätzen über Corporate Bindung Rules einmal abgesehen – nur die Möglichkeit der Vereinbarung von Standardvertragsklauseln.

Falls der EuGH entscheiden sollte, dass auch die EU-Standardvertragsklauseln keinen Transfer personenbezogener Daten in die USA rechtfertigen können, stellte dies Unternehmen in Europa im Hinblick auf einen Datentransfer in die USA vor derzeit kaum lösbare Probleme. Insbesondere Service-Anbieter wie Facebook drohte dann eine ernsthafte Gefährdung des Geschäftsmodells, soweit ein Datentransfer in die USA aufrechterhalten werden sollte.