zurückIrisches Höchstgericht kippt Standardvertrags-Klauseln

16.07.2020 UPDATE: Es ist nun soweit: Der Privacy Shield wurde vom EuGH gekippt.

19.08.2019 UPDATE: Ein weiteres Argument für die Argumentation des irischen Höchstgerichts ist der CLOUD Act. Wir haben dazu einen Artikel geschrieben: Der US Cloud Act: Pest oder Cholera?

17.10.2017: Dem Datenaustausch zwischen Unternehmen in der EU und den USA werden immer mehr Riegeln vorgeschoben. Der Europäische Gerichtshof (EuGH) hat ja das "Safe Harbor Abkommen" für ungültig erklärt (wir haben berichtet) und auch das Nachfolge-Abkommen "Privacy Shield" steht von Anfang an in der Kritik (und wird vermutlich auch gekippt werden, so zumindest die Meinung der meisten Datenschützer).

Durch die Entscheidung des irischen Höchstgerichts wurde nun wurde auch eine weitere Möglichkeit für den legalen Datenaustausch schwieriger: Nach Ansicht des High Court ist fraglich, ob die sog. Standard-Vertragsklauseln eine ausreichende Rechtsgrundlage für den Datentransfer bieten.

Was sind die Standard-Vertragsklauseln?

Kurz zum Hintergrund: Durch diese standardisierten Verträge konnten amerikanische Unternehmen ihren (europäischen) Kunden versichern, sich an die europäischen Datenschutz-Grundsätze zu halten. Diese Verträge nennt man "Standard Contractual Clauses" (SCC) - in allen Sprachen nachzulesen auf der Website EUR-Lex.

Damit sollte also ein vergleichbares datenschutzrechtliches Niveau sichergestellt werden, das in weiterer Konsequenz eine Datenübermittlung von der EU in die USA möglich machen sollte.

Doch genau das bezweifelt das irische Höchstgericht in seiner jüngsten Entscheidung. Es wurde argumentiert, dass amerikanische Behörden ungeachtet der vertraglichen Zusicherung Zugriff auf europäische Daten erhalten können (Stichworte: Patriot Act, Geheimgerichte - Edward Snowden sei Dank).

Was passiert nun, wie geht es weiter?

Der irische High Court hat die Entscheidung an den Europäischen Gerichtshof verwiesen, nun muss sich dieser mit der Entscheidung auseinandersetzen und dazu ein Urteil fällen. Das könnte jedoch bis zu eineinhalb Jahre dauern.

Was bedeutet das für die Praxis?

Die rechtliche Unsicherheit, was den Einsatz amerikanischer Unternehmen betrifft (wobei ein Datentransfer von personenbezogenen Daten in die USA stattfindet), ist durch das Urteil wohl noch höher geworden. Denn nun kann sich ein europäisches Unternehmen auch nicht mehr unbedingt auf die Standard-Vertragsklausen berufen. Bis diese Frage endgültig geklärt (und damit Rechtssicherheit hergestellt wird), könnte es jedoch noch einige Zeit dauern.

Daher sollten Unternehmen eine Risikoabschätzung vornehmen: Welche entsprechenden amerikanischen Dienstleister werden aktuell eingesetzt? Werden dabei personenbezogene Daten übertragen? Wenn ja: Wie hoch ist das Risiko? Gibt es europäische Alternativen?

Am Ende des Tages ist das (auch) eine Kosten-Nutzen-Rechnung. Denn für viele Datenanwendungen gibt es in Europa (gute) Alternativen. Für Newsletter wäre das zum Beispiel Dialog-Mail. :-))