Schrems 2.0: Generalanwalt des Europäischen Gerichtshofs macht Schlussanträge

On December 19, 2019, the European Court of Justice (ECJ) Advocate General, Henrik Saugmandsgaard ØE, provided his opinion on the validity of Standard Contractual Clauses (SCCs) adopted by the European Commission for the transfer of personal data from controllers to processors. The rendered opinion confirms that companies relying upon SCCs do not need to consider changing their approach at this time.

en flag
nl flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Anmerkung des Herausgebers: Der Generalanwalt des Europäischen Gerichtshofs (EuGH), Henrik Saugmandsgaard ØE, hat am 19. Dezember 2019 seine Stellungnahme zur Gültigkeit der von der Europäischen Kommission angenommenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter abgegeben. Die Stellungnahme bestätigt, dass Unternehmen, die sich auf SCCs stützen, derzeit nicht in Erwägung ziehen müssen, ihren Ansatz zu ändern. In diesem Beitrag ist eine Zusammenstellung von Informationsextrakten, die hilfreich für diejenigen sein können, die den Inhalt und den Kontext dieser jüngsten Stellungnahme zu Datenübertragungspraktiken zu verstehen.

Ein Auszug aus einem Artikel von Laura Song of Alston and Bird

Schrems 2.0: Vom Generalanwalt der EU für gültig erklärte Standardvertragsklauseln

Hintergrund der Stellungnahme: Max Schrems reichte 2013 erstmals eine Beschwerde gegen die Datenübertragungspraktiken von Facebook bei der irischen Datenschutzbehörde (Data Protection Commission oder DPC) ein, die zur Nichtigerklärung des Safe-Harbor-Rahmens durch den Europäischen Gerichtshof (EuGH) führte, dem höchsten Gericht der der EU im Oktober 2015. Daher haben viele Unternehmen, die sich zuvor auf Safe Harbor für Datenübertragungen verlassen haben, SCCs zur Übertragung von Daten an Verarbeiter außerhalb der EU verabschiedet, da der Ersatz für Safe Harbor, Privacy Shield, erst August 2016 in Betrieb war.

Im Zuge der Entscheidung des Gerichtshofs reichte Herr Schrems eine neue Beschwerde bei der DPC ein, die sich auf die Übermittlung personenbezogener Daten von Facebook aus der EU in die USA auf SCCs konzentrierte. Daraufhin ersuchte die DPC durch die Gerichte Klarheit nicht nur hinsichtlich der Gültigkeit der SCCs, sondern auch des Datenschutzschilds. Der DPC reichte eine Klage beim Irish High Court ein, der anschließend den EuGH mit 11 Fragen befasste. Am 9. Juli 2019 hörte der EuGH mündliche Argumente in der Sache (Schrems 2.0).

Am 19. Dezember 2019 legte der Generalanwalt Henrik Saugmandsgaard Øe seine Schlussanträge für Schrems 2.0 vor.

Lesen Sie den vollständigen Artikel unter Schrems 2.0: Standardvertragsklauseln, die vom Generalanwalt der EU für gültig erklärt werden

Einleitung und Schlußfolgerung der Stellungnahme des Europäischen Gerichtshofs

Schlussanträge des Generalanwalts Saugmandsgaard ØE vom 19. Dezember 2019 (Rechtssache C-311/18)

Datenschutzbeauftragter gegen Facebook Ireland Limited, Maximillian Schrems, Streithelfer: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance, Inc., Digitaleurope (Vorabentscheidungsersuchen des High Court, Irland).

Einführung

In Ermangelung gemeinsamer Schutzmaßnahmen auf globaler Ebene birgt der grenzüberschreitende Datenfluss die Gefahr einer Verletzung der Kontinuität des in der Europäischen Union garantierten Schutzniveaus. Der EU-Gesetzgeber hat drei Mechanismen eingerichtet, mit denen personenbezogene Daten von der Europäischen Union in einen Drittstaat übermittelt werden können, um diese Datenströme zu erleichtern und gleichzeitig dieses Risiko zu begrenzen.

Erstens kann eine solche Übermittlung auf der Grundlage eines Beschlusses erfolgen, wonach die Europäische Kommission feststellt, dass der betreffende Drittstaat ein „angemessenes Schutzniveau“ der an ihn übermittelten Daten gewährleistet. Zweitens wird die Übertragung in Ermangelung einer solchen Entscheidung genehmigt, wenn sie von „geeigneten Schutzmaßnahmen“ begleitet wird. Diese Garantien können in Form eines Vertrags zwischen dem Ausführer und dem Importeur der von der Kommission angenommenen Daten mit Standardschutzklauseln erfolgen. Die DSGVO sieht drittens bestimmte Ausnahmeregelungen vor, die insbesondere auf der Einwilligung der betroffenen Person beruhen, die es ermöglichen, die Daten auch ohne eine Angemessenheitsentscheidung oder angemessene Garantien in ein Drittland zu übertragen.

Der Antrag des High Court, Irland (im Folgenden „High Court“) auf Vorabentscheidung bezieht sich auf den zweiten dieser Verfahren. Sie betrifft insbesondere die Gültigkeit des Beschlusses 2010/87/EU, mit dem die Kommission im Lichte der Artikel 7, 8 und 47 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) Standardvertragsklauseln für bestimmte Kategorien von Übertragungen festgelegt hat.

Der Antrag wurde in einem Verfahren eingereicht, das vom Datenschutzbeauftragten Irland (im Folgenden „DPC“) gegen Facebook Ireland Ltd und Herrn Maximillian Schrems wegen einer Beschwerde von Herrn Schrems vor dem DPC über die Übermittlung personenbezogener Daten durch Facebook Ireland an Facebook eingereicht wurde — Inc., ihre Muttergesellschaft, mit Sitz in den Vereinigten Staaten von Amerika (im Folgenden „USA“). Der DPC ist der Auffassung, dass die Beurteilung dieser Beschwerde von der Gültigkeit des Beschlusses 2010/87 abhängig ist. In diesem Zusammenhang beantragte er das vorlegende Gericht, den Gerichtshof zu diesem Punkt zu klären.

Lassen Sie mich zunächst feststellen, dass die Prüfung der Vorabentscheidungsfragen meiner Meinung nach nichts offenbart hat, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigt.

Darüber hinaus hat das vorlegende Gericht gewisse Zweifel hervorgehoben, die sich im Wesentlichen auf die Angemessenheit des von den Vereinigten Staaten garantierten Schutzniveaus im Hinblick auf die Eingriffe der Geheimdienste der Vereinigten Staaten in die Ausübung der Grundrechte der Personen beziehen, deren Daten werden in die Vereinigten Staaten übertragen. Diese Zweifel haben indirekt die diesbezüglichen Bewertungen der Kommission im Durchführungsbeschluss 2016/1250 in Frage gestellt. (Obwohl die Beilegung des Rechtsstreits im Ausgangsverfahren vom Gerichtshof nicht verlangt wird, diese Frage zu regeln, und obwohl ich daher vorschlage, dass er dies nicht tut, werde ich alternativ die Gründe anführen, die mich dazu veranlassen, die Gültigkeit dieser Entscheidung in Frage zu stellen.

Meine Analyse als Ganzes wird von dem Wunsch geleitet werden, ein Gleichgewicht zu finden zwischen einerseits der Notwendigkeit, einen „vernünftigen Grad an Pragmatismus zu zeigen, um Interaktion mit anderen Teilen der Welt zu ermöglichen“, und andererseits der Notwendigkeit, die in den Rechtsordnungen der die Union und ihre Mitgliedstaaten, insbesondere in der Charta.

Schlussfolgerung

Ich schlage dem Gerichtshof vor, die vom High Court Irland vorgelegten Fragen zur Vorabentscheidung wie folgt zu beantworten:

Die Analyse der Vorabentscheidungsersuchen hat nichts ergeben, was die Gültigkeit des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittländern niedergelassene Auftragsverarbeiter gemäß der Richtlinie 95/46/EG des Europäischen Parlaments berührt. und des Rates, geändert durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016.

Lesen Sie die vollständige Schlussanträge in der Schlussanträge des Generalanwalts Saugmandsgaard ØE vom 19. Dezember 2019 (Rechtssache C-311/18)

Nachrichtenkommentar der Datenschutzkommission (DPC) Irland

Erklärung der DPC zur Stellungnahme der AG zu der Sache #C -311/18 EuGH

Der DPC begrüßt die Veröffentlichung der Stellungnahme der AG zu der Sache #C -311/18 EuGH. Die Stellungnahme verdeutlicht die Komplexität, die mit den Arten von Problemen verbunden ist, die entstehen, wenn EU-Datenschutzgesetze mit den Gesetzen von Drittländern interagieren, einschließlich der Gesetze der Vereinigten Staaten. Ebenso erkennt der erste Teil der Stellungnahme die erheblichen Spannungen an, die zwischen einerseits der Notwendigkeit, Pragmatismus zu zeigen, und andererseits der „Notwendigkeit, die in den Rechtsordnungen der Union und ihrer Mitgliedstaaten und insbesondere der Charta anerkannten Grundwerte geltend zu machen“.

Einige der hier beschäftigten Punkte der Komplexität gehen inhaltlich zu. Um nur drei Beispiele zu nennen: Gilt das EU-Recht überhaupt, wenn die personenbezogenen Daten der betroffenen Person von Behörden in einem Drittland verarbeitet werden (nach Ansicht der AG); erleichtern US-Gesetze und Praktiken Eingriffe in die Datenschutzrechte von Personen, die mit dem EU-Recht unvereinbar sind (dies in die Ansicht der AG); und sind diese Probleme durch Privacy Shield geheilt (nein, nach Ansicht der AG).

Separat stellt die Stellungnahme ebenfalls fest, dass die Standardvertragsklauseln auch im Einzelfall keine Antwort auf die Probleme liefern, die entstehen, wenn die Datenübermittlung die Daten der EU-Bürger in den Zuständigkeitsbereich der US-Behörden bringt. An dieser Stelle werden auch verfahrenstechnische Komplexitäten in den Blick genommen. Wer sollte konkret eingreifen, wenn im Rahmen einer individuellen Übertragung das vom EU-Recht geforderte Schutzniveau nicht aufrechterhalten werden kann? Dabei erkennt die AG zwar ihre Unvollkommenheiten und die praktischen Schwierigkeiten, die sie mit sich bringt, und trotz der Gefahr einer Fragmentierung zwischen den Aufsichtsbehörden in den Mitgliedstaaten kommt sie zu dem Schluss, dass der von der EU im Rahmen der SCCs geregelte Ansatz ein angemessenes Gleichgewicht ergibt. zwischen Pragmatismus und Prinzip. Bei diesem Ansatz liegt die Verantwortung für den Schutz der Datenschutzrechte der EU-Bürger in erster Linie bei den für die Verarbeitung Verantwortlichen und nach Ansicht der AG bei den nationalen Aufsichtsbehörden, wenn ein Verantwortlicher seinen Verpflichtungen nicht nachkommt.

Der DPC stellt fest, dass diese Fragen noch nicht vom Gerichtshof festgelegt werden müssen, begrüßt jedoch die Klarheit der in der Stellungnahme der AG enthaltenen Analyse.

Lesen Sie die ursprüngliche Pressemitteilung auf der DPC-Erklärung zur Stellungnahme der AG in der Rechtssache C-311/18 EuGH

Zusätzliche Lesung

Gerichtshof der Europäischen Union (EuGH)

Die Datenschutzkommission (DPC) Irland

Quelle: ComplexDiscovery

Teilen ist Caring? ayfie Group führt auf Merkur Markt der Osloer Börse auf

According to Johannes Stiehler, CEO of ayfie Group, in a July...

XDD erwirbt Anexsys

According to David Moran, XDD President and COO, “Complementing our recent...

Etwas fehlt? Themen-Modellierung in eDiscovery

The basic idea behind topic modeling, according to eDiscovery expert and...

HayStackid und NightOwl Global Merge

According to today's announcement, the NightOwl merger is HaystackID's fourth major...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Das eDisclosure Systems Buyers Guide — 2020 Edition (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

Das Rennen zur Startlinie? Aktuelle Ankündigungen zur sicheren Remote-Überprüfung

Not all secure remote review offerings are equal as the apparent...

Remote-eDiscovery aktivieren? Eine Momentaufnahme von DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Heim oder weg? Überlegungen zur Größenbestimmung und Preisgestaltung im eDiscovery-Sammlungsmarkt

One of the key home (onsite) or away (remote) decisions that...

Revisionen und Entscheidungen? Neue Überlegungen für eDiscovery Secure Remote Reviews

One of the key revision and decision areas that business, legal,...

Ein makroökonomisches Blick auf die Größe der vergangenen und projizierten eDiscovery-Märkte von 2012 bis 2024

From a macro look at past estimations of eDiscovery market size...

Ein eDiscovery Market Size Mashup: 2019-2024 Weltweiter Überblick über Software und Services

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Geschäft als ungewöhnlich? Achtzehn Beobachtungen zum Vertrauen in eDiscovery im Sommer 2020

Based on the aggregate results of nineteen past eDiscovery Business Confidence...

Ein wachsendes Anliegen? Budgetbeschränkungen und das Geschäft von eDiscovery

In the summer of 2020, 56% of respondents viewed budgetary constraints...

Eine Änderung im Tempo? Betriebsmetriken für eDiscovery im Sommer 2020

In the summer of 2020, 91 eDiscovery Business Confidence Survey participants...

Ergebnisse der Umfrage zum Vertrauen von eDiscovery — Sommer 2020

This is the nineteenth quarterly eDiscovery Business Confidence Survey conducted by...

Teilen ist Caring? ayfie Group führt auf Merkur Markt der Osloer Börse auf

According to Johannes Stiehler, CEO of ayfie Group, in a July...

XDD erwirbt Anexsys

According to David Moran, XDD President and COO, “Complementing our recent...

HayStackid und NightOwl Global Merge

According to today's announcement, the NightOwl merger is HaystackID's fourth major...

Mitratech erwirbt Tracker Corp

The acquisition supports Mitratech’s mission to provide legal and compliance solutions...

Fünf große Lesevorgänge auf eDiscovery für Juli 2020

From business confidence and operational metrics to data protection and privacy...

Fünf große Lesevorgänge auf eDiscovery für Juni 2020

From collection market size updates to cloud outsourcing guidelines, the June...

Fünf große Lesevorgänge auf eDiscovery für Mai 2020

From review market sizing revisions to pandemeconomic pricing, the May 2020...

Fünf große Lesevorgänge zu eDiscovery für April 2020

From business confidence to the boom of Zoom, the April 2020...