Der Oberste Irische Gerichtshof (High Court) hat nun den EuGH angerufen, um über die Wirksamkeit der EU-Standardvertragsklauseln zu entscheiden. Werden die EU-Standardvertragsklauseln aufgehoben, fehlt eine Rechtsgrundlage, mit der personenbezogene Daten aus der EU heraus in Drittstaaten übermittelt werden können.

Grundlage des Verfahrens in Irland ist erneut eine Auseinandersetzung zwischen Maximilian Schrems und Facebook darüber, ob die Übermittlung personenbezogener Daten durch Facebook in die USA zulässig ist. Auf Initiative von Maximilian Schrems hat der EuGH bereits das Safe-Harbor-Abkommen aufgehoben, weil die personenbezogenen Daten in den USA nicht ausreichend geschützt werden.
Der EuGH hat seine Entscheidung im Wesentlichen auf die folgenden Punkte gestützt: Die nationalen Behörden insbesondere die Nachrichtendienste der USA werden durch das Safe-Harbor Abkommen nicht verpflichtet, die Datenschutzgrundsätze des Abkommens einzuhalten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA Vorrang vor den Grundsätzen des Safe Harbor Abkommens.

Unternehmen, die die Safe Harbor Grundsätze umsetzen wollen, bleiben damit dennoch verpflichtet, die nationalen Gesetze der USA anzuwenden, soweit die Datenschutzgrundsätze im Konflikt mit jenen höherrangigen Interessen stehen. Letztlich werden dadurch Eingriffe der US-Behörden in die Grundrechte der europäischen Bürger gestattet, ohne dass die Entscheidung der Europäischen Kommission feststellt, dass es in den USA effektive Schutzmechanismen zur Wahrung der Interessen der europäischen Bürger gibt - etwa einen wirksamen gerichtlichen Rechtsschutz oder ein Informationsrecht über Art und Weise der Datenverarbeitung.

Infolge des Urteils haben die USA und die EU mit dem EU-US Privacy Shield ein Abkommen geschaffen, das die Nachfolge von Safe Harbor antreten soll. Das EU-US Privacy Shield adressiert die vom EuGH in seiner Safe Harbor Entscheidung aufgeworfenen Kritikpunkte. Jedoch ist das Nachfolgeabkommen bereits angegriffen worden und der EuGH muss in naher Zukunft auch über dessen Wirksamkeit entscheiden.

Unbeachtet von dem Safe-Harbor Abkommen sind die EU-Standardvertragsklauseln weiterhin angewendet worden. Maximilian Schrems ist weiterhin der Ansicht, dass in den USA kein angemessenes Datenschutzniveau herrscht, da dort etwa die Ermittlungsbehörden und die Geheimdienste umfangreiche Überwachungsbefugnisse haben.

Die EU-Kommission hat das Urteil des EuGH zum Safe Harbor Abkommen nicht zum Anlass genommen, die EU-Standardvertragsklauseln zu überarbeiten, trotz dem die Kritikpunkte des EuGH grundsätzlich auch die EU-Standardvertragsklauseln betreffen. Denn der Regelungsmechanismus zwischen Safe-Harbor und den EU-Standardvertragsklauseln ist weitgehend identisch.
Besonders brisant ist, dass anders als bei Safe-Harbor die EU-Standardvertragsklauseln nicht nur den Datentransfer zwischen der EU und den USA, sondern zwischen der EU und allen anderen Drittländern betreffen.

Bedeutung der EU-Standardvertragsklauseln

Möchte eine verantwortliche Stelle personenbezogene Daten an eine andere Stelle außerhalb der Europäischen Union übermitteln, bedarf dies neben den üblichen Rechtmäßigkeitsvoraussetzungen, zum Beispiel einer Einwilligung oder einer gesetzlichen Erlaubnis, zusätzlicher Gewährleistungen eines angemessenen Datenschutzniveaus im Empfängerland. Dies trägt dem Umstand Rechnung, dass die personenbezogenen Daten, wenn diese die Europäische Union verlassen haben, in einem Umfeld verarbeitet werden, das den Datenschutz gegebenenfalls nicht in gleichem Maß Rechnung trägt.
Die personenbezogenen Daten der Betroffenen wären dann also schlechter geschützt, als dies bei einer Verarbeitung innerhalb der Europäischen Union der Fall wäre.

Deshalb verlangt das europäische Datenschutzrecht, dass im Empfängerland ein angemessenes Datenschutzniveau herrscht. Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, muss der Datenexporteur individuelle Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau herzustellen. Hierfür können Datenexporteur und Datenimporteur auf die EU-Standardvertragsklauseln zurückgreifen.
Die EU-Standardvertragsklausel enthalten Regelungen für den Umgang mit personenbezogenen Daten, die dann individuell zwischen Datenexporteur und Datenimporteur wirksam werden. Dadurch wird in diesem bilateralen Verhältnis ein angemessenes Datenschutzniveau geschaffen, welches den Datentransfer legitimiert.