Skip to content

EuGH: Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig - Facebook Ireland - Maximilian

EuGH-Generalanwalt
Schlussanträge vom 19.12.2019
C-311/18
Data Protection Commissioner / Facebook Ireland und Maximilian Schrems


Nach Ansicht des EuGH-Generalanwalts ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Pressemitteilung des EuGH:

Nach Ansicht von Generalanwalt Saugmandsgaard Øe ist der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig

Die Datenschutz-Grundverordnung sieht wie die Richtlinie über die Verarbeitung personenbezogener Daten, an deren Stelle sie getreten ist, vor, dass personenbezogene Daten an ein Drittland übermittelt werden können, wenn dieses für die Daten ein angemessenes Schutzniveau sicherstellt. Liegt kein Beschluss der Kommission vor, mit dem die Angemessenheit des Schutzniveaus im betreffenden Drittland festgestellt wird, darf der für die Verarbeitung Verantwortliche die Übermittlung dennoch vornehmen, wenn er sie mit geeigneten Garantien versieht. Diese Garantien können u. a. die Form eines Vertrags zwischen dem Exporteur und dem Importeur der Daten annehmen, der die in einem Beschluss der Kommission vorgesehenen Standarddatenschutzklauseln enthält. Mit dem Beschluss 2010/87/EU3 hat die Kommission Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern festgelegt. Die vorliegende Rechtssache betrifft die Gültigkeit dieses Beschlusses.

Sachverhalt und Vorgeschichte des Ausgangsrechtsstreits

Zur Vorgeschichte des Ausgangsrechtsstreits gehört ein Verfahren, das von Herrn Maximilian Schrems, einem österreichischen Nutzer von Facebook, eingeleitet wurde und bereits zum Urteil des Gerichtshofs vom 6. Oktober 2015 (Urteil Schrems) geführt hat.

Die Daten der in der Union wohnhaften Nutzer von Facebook wie Herr Schrems werden von Facebook Ireland, der irischen Tochtergesellschaft der Facebook Inc., ganz oder teilweise an Server in den Vereinigten Staaten übermittelt und dort verarbeitet. 2013 hatte Herr Schrems bei der für die Überwachung der Anwendung der Vorschriften über den Schutz personenbezogener
Daten zuständigen irischen Behörde (im Folgenden: Kontrollstelle) eine Beschwerde eingelegt, mit der er geltend machte, dass angesichts der von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten (insbesondere der National Security Agency, NSA) das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor den Überwachungstätigkeiten der Behörden gewährleisteten. Die
Kontrollstelle wies die Beschwerde u. a. mit der Begründung zurück, dass die Kommission in ihrer Entscheidung vom 26. Juli 20005 angenommen habe, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten.

Mit dem Urteil Schrems hat der Gerichtshof in Beantwortung einer Frage des High Court (Hoher Gerichtshof, Irland) die Safe-Harbor-Entscheidung für ungültig erklärt.

Im Anschluss an das Urteil Schrems erklärte das vorlegende Gericht die Entscheidung, mit der die Kontrollstelle die Beschwerde von Herrn Schrems zurückgewiesen hatte, für nichtig und verwies sie zur Prüfung zurück an die Kontrollstelle. Diese leitete eine Untersuchung ein und forderte Herrn Schrems auf, seine Beschwerde in Anbetracht der Ungültigerklärung der Safe-Harbor-Entscheidung neu zu formulieren.

Zu diesem Zweck bat Herr Schrems Facebook Ireland um Angabe der Rechtsgrundlagen, auf denen die Übermittlungen der personenbezogenen Daten der Nutzer von Facebook aus der Union in die Vereinigten Staaten beruhten. Facebook Ireland verwies auf ein Datenübertragungs- und -verarbeitungsabkommen (data transfer processing agreement) mit der Facebook Inc., das seit dem 20. November 2015 in Kraft sei, und berief sich auf den Beschluss 2010/87.

In seiner neu formulierten Beschwerde machte Herr Schrems zum einen geltend, dass die in dem Abkommen enthaltenen Klauseln nicht den Standardvertragsklauseln des Beschlusses 2010/87 entsprächen, und zum anderen, dass diese Standardvertragsklauseln jedenfalls keine Grundlage für die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten sein könnten. Es gebe nämlich keinen Rechtsbehelf, mit dem die Betroffenen in den Vereinigten Staaten ihre Rechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten geltend machen könnten. Herr Schrems beantragte daher bei der Kontrollstelle, diese Übermittlung in Anwendung des Beschlusses 2010/87 auszusetzen.

Mit ihrer Untersuchung wollte die Kontrollstelle feststellen, ob die Vereinigten Staaten einen angemessenen Schutz für personenbezogene Daten der Unionsbürger sicherstellen und – sollte dies nicht der Fall sein – ob der Rückgriff auf Standardvertragsklauseln ausreichende Garantien für den Schutz ihrer Grundfreiheiten und Grundrechte bietet. Da die Kontrollstelle zu dem Ergebnis kam, dass die Bearbeitung der Beschwerde von Herrn Schrems von der Frage abhänge, ob der
Beschluss 2010/87 gültig sei, leitete sie beim High Court ein Verfahren ein, damit dieser den Gerichtshof hierzu befrage. Der High Court ist dem Antrag dieser Behörde auf Vorlage eines Ersuchens um Vorabentscheidung nachgekommen.

In seinen heutigen Schlussanträgen schlägt Generalanwalt Henrik Saugmandsgaard Øe dem Gerichtshof vor, zu antworten, dass die Prüfung der Fragen nichts ergeben habe, was die Gültigkeit des Beschlusses 2010/87 beeinträchtigen könnte.

Der Generalanwalt stellt zunächst fest, dass es im Ausgangsrechtsstreit nur um die Feststellung gehe, ob der Beschluss 2010/87 gültig sei, mit dem die Kommission die Standardvertragsklauseln festgelegt habe, die für die in der Beschwerde von Herrn Schrems genannten Übermittlungen geltend gemacht worden seien.

Der Generalanwalt ist erstens der Ansicht, dass das Unionsrecht auf Übermittlungen personenbezogener Daten in ein Drittland anwendbar sei, wenn diese Übermittlungen zu gewerblichen Zwecken erfolgten, auch wenn die übermittelten Daten durch Behörden dieses Drittlands für Zwecke der nationalen Sicherheit verarbeitet werden könnten.

Zweitens stellt der Generalanwalt fest, dass die Bestimmungen der Datenschutz-Grundverordnung ber Übermittlungen in Drittländer bezweckten, ein kontinuierlich hohes Schutzniveau für personenbezogene Daten unabhängig davon sicherzustellen, ob die Daten auf der Grundlage einer Angemessenheitsentscheidung oder aufgrund geeigneter Garantien übermittelt würden, vom Exporteur gegeben würden. Dieses Ziel werde jedoch je nach der Rechtsgrundlage, die für die Übermittlung gelte, auf unterschiedliche Weise erreicht. Einerseits solle mit einer Angemessenheitsentscheidung festgestellt werden, ob ein bestimmtes Drittland aufgrund des dort geltenden Rechts und der dort geltenden Praxis für die Grundrechte der Personen, deren Daten
übermittelt würden, ein Schutzniveau sicherstelle, das dem Niveau, das sich aus der im Licht der Charta der Grundrechte der Europäischen Union ausgelegten Datenschutz-Grundverordnung ergebe, im Wesentlichen gleichwertig sei. Andererseits müssten die vom Exporteur – insbesondere vertraglich – gegebenen geeigneten Garantien selbst ein solches
Schutzniveau sicherstellen. Die Standardvertragsklauseln der Kommission für Übermittlungen sähen insoweit eine allgemeine Regelung vor, die unabhängig vom Bestimmungsland und dem dort sichergestellten Schutzniveau gelte.

Drittens prüft der Generalanwalt die Gültigkeit des Beschlusses 2010/87 anhand der Charta.

Seiner Ansicht nach führt der Umstand, dass der Beschluss und die darin enthaltenen Standardvertragsklauseln die Behörden des Drittbestimmungslandes nicht binden würden und diese durch ihn somit nicht daran gehindert seien, dem Importeur Pflichten aufzuerlegen, die mit der Beachtung dieser Klauseln unvereinbar seien, für sich allein nicht zur Ungültigkeit des Beschlusses. Die Vereinbarkeit des Beschlusses 2010/87 mit der Charta hänge davon ab, ob ausreichend wirksame Regelungen bestünden, mit denen sich sicherstellen lasse, dass die auf die Standardvertragsklauseln gestützten Übermittlungen ausgesetzt oder verboten würden, wenn diese Klauseln verletzt würden oder es unmöglich sei, sie einzuhalten.

Dies sei dann der Fall, wenn eine Pflicht – der für die Datenverarbeitung Verantwortlichen und, bei deren Untätigkeit, der Kontrollstellen – bestehe, eine Übermittlung auszusetzen oder zu verbieten, wenn aufgrund eines Konflikts zwischen den sich aus den Standardvertragsklauseln ergebenden Pflichten und den durch das Recht des Drittbestimmungslandes auferlegten Pflichten diese Klauseln nicht eingehalten werden könnten.

Der Generalanwalt stellt außerdem fest, dass das vorlegende Gericht bestimmte Beurteilungen der Kommission im Beschluss vom 12. Juli 2016, dem sog. Datenschutzschild-Beschluss, indirekt in Frage stelle. In diesem Beschluss hat die Kommission festgestellt, dass die Vereinigten Staaten ein angemessenes Schutzniveau für die Daten gewährleisteten, die im Rahmen der mit diesem Beschluss aufgestellten Regelung aus der Union übermittelt würden, insbesondere in Anbetracht der Garantien, die bezüglich des Zugangs amerikanischer Nachrichtendienste zu diesen Daten bestünden, sowie des Rechtsschutzes, der Personen, deren Daten übermittelt würden, gewährt werde . Für die Entscheidung über den Ausgangsrechtsstreit hält der Generalanwalt es nicht für erforderlich, dass der Gerichtshof über die Gültigkeit des Datenschutzschild-Beschlusses entscheide, da der Rechtsstreit nur die Gültigkeit des Beschlusses 2010/87 betreffe. Gleichwohl führt der Generalanwalt hilfsweise aus, aus welchen Gründen sich für ihn im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf Fragen bezüglich der Gültigkeit des Datenschutzschild-Beschlusses stellen.


Den Volltext der Schlussanträge finden Sie hier:

EuGH: Keine Sammelklage gegen Facebook mit abgetretenen Ansprüche durch Maximilian Schrems - Klage in Österreich gegen Facebook Irland für eigen Ansprüche möglich

EuGH
Urteil vom 25.01.2018
C-498/16
Maximilian Schrems / Facebook Ireland Limited


Der EuGH hat entschieden, dass Herr Maximilian Schrems keine Sammelklage gegen Facebook mit abgetretenen Ansprüche einlegen kann. Er kann jedoch in Österreich gegen Facebook Irland eigen Ansprüche im Klagewege durchsetzen und sich dabei auf den Verbrauchergerichtsstand berufen.

Die Pressemitteilung des EuGH:

Herr Schrems kann wegen eigener Ansprüche in Österreich Klage gegen Facebook Ireland erheben

Hingegen kann er nicht als Zessionar von Ansprüchen anderer Verbraucher den Verbrauchergerichtsstand in Anspruch nehmen, um die abgetretenen Ansprüche geltend zu machen

Herr Maximilian Schrems, der in Österreich wohnt, hat vor den österreichischen Gerichten Klage gegen Facebook Ireland (im Folgenden: Facebook) erhoben. Er wirft Facebook zahlreiche Verstöße gegen datenschutzrechtliche Regelungen im Zusammenhang mit seinem privaten Facebook-Konto und den Konten von sieben weiteren Nutzern vor, die ihm ihre Ansprüche
zwecks Klageerhebung abgetreten haben. Bei den anderen Nutzern soll es sich ebenfalls um Verbraucher handeln, die in Österreich, Deutschland und Indien wohnen. Herr Schrems begehrt von den österreichischen Gerichten insbesondere die Feststellung der Unwirksamkeit bestimmter Vertragsklauseln sowie die Verurteilung von Facebook zur Unterlassung der Verwendung der streitgegenständlichen Daten zu eigenen Zwecken bzw. zu Zwecken Dritter sowie zur Leistung von
Schadenersatz.

Facebook bestreitet die internationale Zuständigkeit der österreichischen Gerichte. Ihrer Ansicht nach kann Herr Schrems nicht die unionsrechtliche Regel in Anspruch nehmen, die es Verbrauchern erlaubt, einen ausländischen Vertragspartner vor den Gerichten ihres Wohnsitzes zu verklagen (im Folgenden: Verbrauchergerichtsstand). Da Herr Schrems nämlich Faceboook auch
beruflich nutze (insbesondere mittels einer der Information über sein Vorgehen gegen Facebook gewidmeten Facebook-Seite4
), könne er nicht als Verbraucher angesehen werden. Auf die abgetretenen Ansprüche sei der Verbrauchergerichtsstand nicht anwendbar, da er nicht übertragbar sei.

Vor diesem Hintergrund ersucht der Oberste Gerichtshof (Österreich) den Gerichtshof um Klarstellung der Voraussetzungen für die Geltendmachung des Verbrauchergerichtsstands. Mit seinem heutigen Urteil antwortet der Gerichtshof, dass der Nutzer eines privaten Facebook-Kontos die Verbrauchereigenschaft nicht verliert, wenn er Bücher publiziert, Vorträge hält, Websites betreibt, Spenden sammelt und sich die Ansprüche zahlreicher Verbraucher abtreten lässt, um sie gerichtlich geltend zu machen.

Seit 2010 widmet Herr Schrems ein Facebook-Konto nur seinen privaten Aktivitäten. Darüber hinaus hat er 2011 eine Facebook-Seite eröffnet, um i) die Internetnutzer über sein Vorgehen gegen Facebook, seine Vorträge, seine Teilnahmen an Podiumsdiskussionen und seine Medienauftritte zu informieren, ii) zu Spenden aufzurufen und iii) für seine Bücher zu werben.
Darüber hinaus hat sich Herr Schrems die Ansprüche von über 25 000 Personen aus der ganzen Welt abtreten lassen,
um sie gerichtlich geltend zu machen.

Dagegen kann der Verbrauchergerichtsstand nicht für die Klage eines Verbrauchers in Anspruch genommen werden, mit der er am Klägergerichtsstand nicht nur seine eigenen Ansprüche geltend macht, sondern auch Ansprüche, die von anderen Verbrauchern mit Wohnsitz im gleichen Mitgliedstaat, in anderen Mitgliedstaaten oder in Drittstaaten abgetreten
wurden.

Zur Einstufung als Verbraucher führt der Gerichtshof aus, dass der Verbrauchergerichtsstand grundsätzlich nur dann Anwendung findet, wenn der Zweck des zwischen den Parteien geschlossenen Vertrags nicht in der beruflichen oder gewerblichen Verwendung des Gegenstands oder der Dienstleistung besteht, auf die sich der Vertrag bezieht. Bei Diensten eines sozialen Online-Netzwerks, die auf eine langfristige Nutzung ausgelegt sind, ist die weitere Entwicklung der
Nutzung der betreffenden Dienste zu berücksichtigen.

Somit könnte sich ein Kläger, der solche Dienste nutzt, nur dann auf die Verbrauchereigenschaft berufen, wenn die im Wesentlichen nicht berufliche Nutzung dieser Dienste, für die er ursprünglich einen Vertrag abgeschlossen hat, später keinen im Wesentlichen beruflichen Charakter erlangt hat.

Da der Verbraucherbegriff aber in Abgrenzung zum Unternehmerbegriff definiert wird und von den Kenntnissen und Informationen, über die die betreffende Person tatsächlich verfügt, unabhängig ist, nehmen ihr weder die Expertise, die diese Person im Bereich der betreffenden Dienste erwerben kann, noch ihr Engagement bei der Vertretung der Rechte und Interessen der Nutzer solcher Dienste die Verbrauchereigenschaft. Eine Auslegung des Verbraucherbegriffs, die solche Tätigkeiten ausschließt, würde nämlich darauf hinauslaufen, eine effektive Verteidigung der Rechte, die den Verbrauchern gegenüber ihren gewerblichen Vertragspartnern zustehen, einschließlich der Rechte auf Schutz ihrer personenbezogenen Daten zu verhindern.

Den Volltext der Entscheidung finden Sie hier: