(1) Europäisches Kartellrecht, Urteil des Europäischen Gerichts vom 08.07.2020
(T-758/14 RENV) - Infineon Technologies ./. Kommission
In seinem Urteil vom 08.07.2020 ordnete das erstinstanzliche Europäische Gericht die Herabsetzung einer gegen Infineon verhängten Geldbuße um fast 6 Mio. EUR an. Die Geldbuße von zunächst mehr als 82 Mio. EUR war gegen Infineon verhängt worden wegen Beteiligung an einem Kartell auf dem Markt für Smartcard-Chips. In einem ersten Urteil vom 15.12.2016 hatte das Europäische Gericht diese hohe Geldbuße zunächst bestätigt (T-758/14). Nachdem Infineon Rechtsmittel dagegen eingelegt hatte, stellte der EuGH fest, dass das Gericht nur fünf der elf vermeintlich kartellrechtswidrigen Kontakte geprüft hatte. Wegen unvollständiger gerichtlicher Kontrolle hob der EuGH das erstinstanzliche Urteil durch sein Urteil vom 26.09.2018 teilweise auf (C-99/17 P). Nunmehr stellte das erstinstanzliche Europäische Gericht in seinem neuen Urteil vom 08.07.2020 fest, dass die Kommission die individuelle Beteiligung von Infineon am kartellrechtlichen Verstoß nicht hinreichend berücksichtigt habe und ermäßigte das Bußgeld.
(2) Europäisches Beihilferecht: Durch die Kommission eingelegtes Rechtsmittel zum EuGH (C-211/20 P) gegen das Urteil des Europäischen Gerichts vom 12.03.2020 in Sachen Valencia Club de Fútbol ./. Europäische Kommission
Nachdem das erstinstanzliche Europäische Gericht den Beschluss der Europäischen Kommission über Beihilfemaßnahmen zugunsten des Fußballvereins Valencia CF in einem Urteil vom 12.03.2020 für nichtig erklärt hatte (T-723/16), hat nunmehr die Europäische Kommission am 22.05.2020 Rechtsmittel zum EuGH eingelegt (C-211/20 P). Die Kommission führt hierbei an, dass dem Gericht ein Rechtsfehler unterlaufen sei, indem es den Art 107 Abs. 1 des Vertrages über die Arbeitsweise der Europäischen Union mit einem grundsätzlichen Beihilfeverbot unrichtig angewendet habe, insbesondere hinsichtlich des Nachweises des Vorliegens der Voraussetzung eines Vorteils. Konkret habe das Gericht erstens die Mitteilung der Kommission über die Anwendung der einschlägigen Artikel des Vertrages über die Arbeitsweise der Europäischen Union auf staatliche Beihilfen in Form von Haftungsverpflichtungen und Bürgschaften in Verbindung mit der Mitteilung der Kommission über die Änderung der Methode zur Festsetzung der Referenz- und Abzinsungssätze sowie den streitigen Beschluss unrichtig ausgelegt. Zweitens sei dem Gericht ein Rechtsfehler im Zusammenhang mit der Beweislast für das Bestehen eines Vorteils aus einer einzelnen Bürgschaft sowie mit der Sorgfaltspflicht der Kommission im Rahmen eines förmlichen Prüfverfahrens unterlaufen. Drittens habe das Gericht den Sachverhalt verfälscht.
(3) Glyphosat – Klagebefugnis einer föderalen Gebietskörperschaft: Schlussanträge des Generalanwalts in Sachen Région de Bruxelles-Capitale / Kommission (C-352/19 P)
Die Region Brüssel-Hauptstadt hatte Nichtigkeitsklage beim erstinstanzlichen Europäischen Gericht hinsichtlich der Durchführungsverordnung zur Erneuerung der Genehmigung des Wirkstoffs Glyphosat erhoben. Das Gericht sah diese Klage wegen fehlender unmittelbarer Betroffenheit der Region und damit wegen fehlender Klagebefugnis als unzulässig an (T-178/18). Die Region legte dagegen Rechtsmittel beim EuGH ein. In seinen Schlussanträgen vom 16.07.2020 kommt Generalanwalt Michal Bobek nunmehr zu dem Ergebnis, dass das Gericht die Klagebefugnis der Region zu Unrecht abgelehnt hat (Beschluss vom 28.02.2019, T-178/18). Zwar dürften föderale Gebietskörperschaften Unionsrechtsakte, die ihre Interessen nur in allgemeiner Weise betreffen, nicht anfechten. Im Gegensatz könne aber dann vom Vorliegen einer unmittelbaren Betroffenheit als Voraussetzung einer Klagebefugnis ausgegangen werden, wenn eine unmittelbare Einschränkung der Ausübung einer verfassungsrechtlich zugewiesenen konkreten Befugnis vorliege. Abzuwarten bleibt, ob sich der EuGH dem erstinstanzlichen Gericht oder dem Generalanwalt anschließen wird – die Entscheidung ist auch für deutsche Bundesländer und ggf. auch weitere regionale Gebietskörperschaften von Interesse.
(4) Generalanwalt beim EuGH zum Zugang zu Umweltinformationen hinsichtlich „Stuttgart 21“
Am 16.07.2020 hat Generalanwalt Gerard Hogan dem EuGH seine Schlussanträge zum Zugang der Öffentlichkeit zu Umweltinformationen im Zusammenhang mit dem Projekt "Stuttgart 21" vorgelegt (C-619/19). Der Kern der dem EuGH in diesem Verfahren unterbreiteten Vorabentscheidungsfragen des deutschen Bundesverwaltungsgerichts betrifft die Auslegung des Begriffs der "internen Mitteilungen" im Sinne von Art. 4 der europäischen Umweltinformationsrichtlinie (2003/4/EG). Wenn ein Antrag auf Erteilung von Informationen „interne Mitteilungen“ betrifft, können nationale Regelungen die Ablehnung eines Zugangs zu Umweltinformationen vorsehen. Allerdings ist hierbei das öffentliche Interesse an einer Bekanntgabe dieser Information zu berücksichtigen.
Konkret hatte ein Antragsteller beim Staatsministerium Baden-Württemberg einen Antrag auf Umweltinformationen gestellt, mit dem er Zugang zu bestimmten Unterlagen des Staatsministeriums begehrte, die im Zusammenhang mit dem Fällen von Bäumen im Stuttgarter Schlossgarten für das Projekt „Stuttgart 21“ standen. Diese Dokumente betrafen zum einen Informationen der Hausspitze des Staatsministeriums über den Untersuchungsausschuss „Aufarbeitung des Polizeieinsatzes am 30.09.2010 im Stuttgarter Schlossgarten“ und zum anderen Vermerke des Staatsministeriums zu einem im Zusammenhang mit dem Projekt „Stuttgart 21“ durchgeführten Schlichtungsverfahren vom 10. und 23.11.2010.
Anders als das Staatsministerium und das Verwaltungsgericht sah der VGH Mannheim in zweiter Instanz diese Unterlagen nicht als interne Mitteilungen geschützt an, da ein solcher Schutz in zeitlicher Hinsicht nur für die Dauer eines behördlichen Entscheidungsprozesses bestehe. Das Land Baden-Württemberg wandte sich sodann gegen diese Entscheidung durch Revision zum Bundesverwaltungsgericht, das wiederum den EuGH um Vorabentscheidung einiger wesentlicher Auslegungsfragen im Hinblick auf die „internen Mitteilungen“ ersuchte.
Der Generalanwalt schlug nun dem EuGH vor, als interne Mitteilungen sämtliche Dokumente anzusehen, die an eine andere Person gerichtet sind und den Binnenbereich einer Behörde zu dem Zeitpunkt, zu dem die zuständige Behörde über den bei ihr gestellten Antrag entscheide, noch nicht verlassen haben. Der Anwendungsbereich soll zeitlich unbegrenzt sein, die vergangene Zeit soll jedoch bei der Interessensabwägung Berücksichtigung finden. Nunmehr ist der EuGH mit seiner Entscheidung an der Reihe, ob er dem Generalanwalt folgen möchte, bevor dann die nationale Gerichtsbarkeit den Rechtsstreit fortsetzt.
(5) Urteile des erstinstanzlichen Europäischen Gerichts vom 08.07.2020 zur europäischen Bankenaufsicht: Von der Europäischen Zentralbank gegen Kreditinstitute verhängte Geldbußen sind teilweise nichtig (T-203/18, T-576/18, T-577/18, T-578/18)
Im Rahmen ihrer Aufsicht hatte die Europäischen Zentralbank (EZB) Geldbußen gegen verschiedene Kreditinstitute verhängt. Auf das Rechtsmittel von betroffenen Kreditinstituten hin erklärte das erstinstanzliche Europäische Gericht diese Bußen teilweise für nichtig.
In der Rechtssache T-203/18 berief sich das betroffene Kreditinstitut auf die Rechtswidrigkeit eines EZB-Beschlusses, mit dem dem Kreditinstitut ein fahrlässiger Verstoß zur Last gelegt wurde, weil es entgegen Art. 77 Abs. 1 lit. a) der europäischen Kapitaladäquanz-Verordnung (VO (EU) Nr. 575/2013) eigene Aktien zurückgekauft habe, ohne vorher die Erlaubnis der zuständigen Behörde eingeholt zu haben. Die EZB verhängte daraufhin eine Geldbuße in Höhe von 1.600.000 Euro, was 0,03% des Umsatzes des Kreditinstituts entsprach. Das Kreditinstitut erhob dagegen Klage und widersprach der Feststellung eines Verstoßes. Zudem sah es die Auferlegung einer Geldbuße als nicht verhältnismäßig an. Schließlich wandte sich das Kreditinstitut auch gegen die Veröffentlichung dieser Geldbuße auf der Internetseite der EZB. Das Europäische Gericht wies sämtliche Klagegründe zurück.
In drei weiteren Beschlüssen, gegen die in den Rechtssachen T-576/18, T-577/18 und T-578/18 Nichtigkeitsklagen erhoben worden waren, hatte die EZB drei Kreditinstituten vorgeworfen, entgegen Art. 26 Abs. 3 der vorgenannten EU-Verordnung Kapitalinstrumente als Instrumente ihres harten Kernkapitals eingestuft zu haben, ohne wiederum die vorherige Erlaubnis der zuständigen Behörde eingeholt zu haben. Dies bewertete die EZB als fahrlässig begangene Verstöße und verhängte Geldbußen. Hier hat das Europäische Gericht die Beschlüsse wegen unzureichender Begründung teilweise für nichtig erklärt. Die angefochtenen Beschlüsse enthielten keine genauen Angaben zu der von der EZB zur Bemessung der verhängten Geldbußen angewandten Methodik, sondern lediglich einige Erwägungen zur Schwere des Verstoßes, zu seiner Dauer und zur Schwere der zur Last gelegten Pflichtverletzung sowie die Zusicherung, dass ein oder mehrere mildernde Umstände berücksichtigt worden seien.
(6) Europäisches Datenschutzrecht: EuGH erteilt in seinem Urteil vom 16.07.2020 der Datenübermittlung in die USA auf der Grundlage des Privacy Shield eine Absage (C-311/18 - Schrems II)
In einem weitreichenden Urteil stellte der EuGH am 16. Juli 2020 auf Vorlagefragen des irischen High Court die Ungültigkeit des Beschlusses 2016/1250 der Europäischen Kommission über die Angemessenheit des vom EU-US-Datenschutzschild („Privacy-Shield“) gebotenen Schutzes fest. Der EuGH begründete dies damit, dass durch diesen Beschluss nicht ausreichend gewährleistet werde, dass übermittelte Daten in den USA dem gleichen Schutzniveau unterfallen wie in der EU. Der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer sei dagegen gültig. Allerdings muss hierbei sichergestellt sein, dass die Daten in den Drittstaaten im Vergleich zur EU auf „gleichwertige“ Weise geschützt werden. Zu weiteren Einzelheiten vgl. HAVER & MAILÄNDER-Beitrag von Frau Rechtsanwältin Bettina Backes vom 31.07.2020: „EuGH erklärt Privacy Shield für ungültig – Was heißt dies für Unternehmen?“
Ihr Ansprechpartner:
Rechtsanwalt
Dr. Thomas M. Grupp
Maître en droit (Aix-Marseille III)
Tel.: +49 (0) 711/22744-69
tg@haver-mailaender.de
Entziehung der Ehrenpräsidentschaft eines Vereins
21.08.20
Entziehung der Ehrenpräsidentschaft eines Vereins (Anmerkung zum Beschluss des OLG Saarbrücken vom 20.8.2019 – 5 W 43/19)
EuGH erklärt Privacy Shield für ungültig – Was heißt dies für Unternehmen?
31.07.20
EuGH erklärt Privacy Shield für ungültig – Was heißt dies für Unternehmen?
von Bettina Backes, HAVER & MAILÄNDER Rechtsanwälte Partnerschaft mbB Download PDF
Mit seinem neuen Urteil zum Privacy Shield vom 16.07.2020 (Maximilian Schrems ./. Facebook Ireland - C-311/18) stellt der Europäische Gerichtshof (EuGH) den transatlantischen Datentransfer vor neue Herausforderungen. Nicht nur Unternehmen und Aufsichtsbehörden, sondern auch die EU-Kommission stehen vor schwierigen Aufgaben.
Was sagt das Privacy Shield-Urteil?
Mit Urteil vom 16.07.2020 (C-311/18) hat der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield für ungültig erklärt. Bisher war die Übertragung personenbezogener Daten durch ein in der EU ansässiges Unternehmen an ein Unternehmen in den USA, welches sich dem Privacy Shield unterworfen hatte, erlaubt. Dies gilt fortan nicht mehr. Des Weiteren hat sich der EuGH mit dem Datentransfer an US-Unternehmen unter Zugrundelegung der EU-Standardvertragsklauseln beschäftigt. Grundsätzlich erklärte der EuGH diese Standardvertragsklauseln für zulässig, legte dem Verwender jedoch umfangreiche Prüfpflichten auf. Laut EuGH können die Standardvertragsklauseln nur dann als Rechtsgrundlage dienen, wenn in dem Zielstaat (Drittland) auch tatsächlich das Datenschutzniveau der Europäischen Union gewahrt ist. Dies muss der Exporteur personenbezogener Daten prüfen. Da der EuGH das Datenschutzniveau in den USA im Rahmen seiner Prüfungen des Privacy Shields für unzureichend hielt, kann hieraus geschlossen werden, dass auch der Datentransfer auf der Grundlage der Standardvertragsklauseln kaum als wirksam angesehen werden dürfte. Faktisch dürfte dies derzeit dazu führen, dass auch auf dieser Grundlage ein Datentransfer in die USA nicht zulässig ist. Dies stellt Unternehmen vor erhebliche Schwierigkeiten.
Wie begründet der Europäische Gerichtshof seine Entscheidung?
Der EuGH begründet seine Entscheidungen im Wesentlichen mit den umfassenden Zugriffsrechten amerikanischer Sicherheitsbehörden auf personenbezogene Daten. So stellte der EuGH fest, dass die amerikanischen Behörden auf die aus der Europäischen Union in die Vereinigten Staaten übermittelten personenbezogenen Daten auf der Grundlage der auf Section 702 des FISA (Foreign Intelligence Surveillance Act) beruhenden Überwachungsprogramme PRISM und UPSTREAM als auch auf der Grundlage der E.O. 12333 zugreifen und diese verwenden dürfen. Der EuGH vertritt die Auffassung, dass das Recht der Vereinigten Staaten insoweit die in der Charta der Europäischen Union verbürgten Grundrechte nicht gewährleiste, da die einschlägigen Regelungen nicht die erforderlichen Einschränkungen und Garantien vorsähen und keinen effektiven Rechtschutz vor solchen Eingriffen gewährleisteten. Auch die Ombudsperson des Datenschutzschildes (Privacy Shield) könnte diesem Mangel nicht abhelfen. Ein der Europäischen Union angemessenes Datenschutzniveau könne insofern nicht garantiert werden. In diesem Zusammenhang ist zwar zu berücksichtigen, dass der FISA sich primär an Telekommunikationsunternehmen und somit nicht an alle US-Unternehmen richtet. Allerdings kann der Zugriff auf Daten auf Basis der Überwachungsprogramme gemäß FISA sich mittelbar auch auf die Kommunikation anderer US-Unternehmen ausdehnen, wenn diese Dienstleistungen von Telekommunikationsunternehmen in Anspruch nehmen, auf deren Daten die US-Behörden zugreifen können. Es erscheint daher fraglich, ob US-Unternehmen diesen Datenzugriff tatsächlich gänzlich ausschließen können.
Welche Auswirkungen hat das Urteil auf die Praxis?
Das Urteil wird viele Unternehmen vor erhebliche praktische Probleme stellen.
Unternehmen dürfen personenbezogene Daten in ein Drittland, d.h. ein Land außerhalb der EU, nur transportieren, wenn eine der folgenden Garantien eines angemessenen Datenschutzniveaus vorliegt:
Die EU hat mittels eines Angemessenheitsbeschlusses festgestellt, dass das sogenannte Drittland über ein angemessenes Datenschutzniveau verfügt. Zu diesen Staaten gehören z.B. die Schweiz, Japan, Neuseeland, Andorra, Argentinien, Kanada und Israel, nicht jedoch zum Beispiel China, Russland und viele weitere Staaten.
Datentransfers in die Vereinigten Staaten von Amerika hatte die Europäische Kommission bisher mittels eines Angemessenheitsbeschlusses, nämlich des Durchführungsbeschlusses (EU) 2016/1250 der Kommission vom 12.07.2016 gemäß der Richtlinie 95/46 EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (Privacy Shield) unter bestimmten Bedingungen für zulässig erklärt. Bei dem Privacy Shield handelte es sich um ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Personenbezogene Daten durften an ein US-Unternehmen übertragen wurden, wenn es sich dem sogenannten Privacy Shield unterworfen hatte und in diesem Zusammenhang bestimmte Schutzmaßnahmen ergriffen und Garantien für den Schutz personenbezogener Daten gegeben hatte. Dieses Privacy Shield wurde nun für ungültig erklärt.
Die Vertragspartner in der Europäischen Union und den Vereinigten Staaten unterzeichnen sogenannte EU-Standardvertragsklauseln. Die von der Europäischen Union entwickelten Vertragsvorlagen verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus. Sie erlauben allerdings die Datenübertragung nur, wenn das Datenschutzniveau auch tatsächlich gewahrt wird. Das schlichte Versprechen der Vertragspartner reicht nicht aus. Dies hat der EuGH nun nochmals klargestellt.
Ferner können sich Unternehmen in Drittländern selbst verbindliche Datenschutzregeln (Binding Corporate Rules) geben. Diese sind eher selten, da sie extern zu genehmigen oder zu zertifizieren sind. Diese Rechtsgrundlage existiert hauptsächlich bei größeren Konzernen.
Die Übermittlung der Daten ist aus bestimmten, in der DSGVO abschließend bezeichneten Gründen erforderlich und für die Betroffenen erkennbar, z.B. Hotel- und Flugbuchungen, E-Mail-Kommunikation, öffentliche oder lebenswichtige Interessen.
Die betroffene Person hat in den Datentransfer eingewilligt. Eine solche Einwilligungserklärung ist schwer zu erlangen, da hohe Anforderungen an die Transparenz (Aufklärung des Betroffenen), die ausdrückliche Abgabe und die Freiwilligkeit gestellt werden (Die Freiwilligkeit wirft insbesondere bei Beschäftigten Schwierigkeiten auf; § 26 BDSG).
Als weitere Grundlagen kommen nach der DSGVO branchenspezifische Verhaltensregeln, die genehmigt werden müssen, sowie Zertifizierungen in Betracht, die bisher kaum praktische Bedeutung erlangt haben.
Mit der aktuellen Entscheidung des Europäischen Gerichtshofes sind die beiden in der Praxis häufigsten und unkompliziertesten Grundlagen des Datentransfers in die USA - nämlich das Privacy Shield und die Standardvertragsklauseln - praktisch weggefallen. Zwar können Standardvertragsklauseln dem Datentransfer formal noch zugrunde gelegt werden, das Gericht legt den Unternehmen allerdings erhebliche Prüfpflichten auf. So konstatiert der EuGH, dass es vor allem dem Verantwortlichen bzw. seinem Auftragsverarbeiter obliegt, in jedem Einzelfall – ggfls. in Zusammenarbeit mit dem Empfänger der Übermittlung – zu prüfen, ob das Recht des Bestimmungsdrittlandes nach Maßgabe des Unionsrecht einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet und ob erforderlichenfalls noch mehr Garantien als durch die Klausel geboten zu gewähren sind. Kann auch durch zusätzliche Garantien dieser Schutz nicht gewährleistet werden, wovon im Falle der USA nach dem Urteil des EUGH auszugehen ist, ist eine rechtswirksame Übertragung von personenbezogenen Daten in das Drittland nicht möglich.
Ein wichtiger Zusammenhang ist noch zu beachten. Das einschlägige Urteil des Europäischen Gerichtshofs beschäftigt sich zwar lediglich mit dem Transfer zwischen der Europäischen Union und den USA, also nicht mit dem Datentransfer in sonstige Drittländer, wie z.B. Indien, China oder Russland, dennoch hat das Urteil mittelbar Auswirkungen auch auf den Datentransfer in diese Drittstaaten. Zwar hat sich der EuGH zu diesen Staaten nicht geäußert, aber auch hier stellt sich die Frage, ob ein Datentransfer in diese Staaten überhaupt möglich ist. So bürdet das Urteil dem Datenexporteur schwierige Prüfpflichten auf, die er ohne Hilfestellungen kaum erfüllen kann, da er tief in das Recht des jeweiligen Bestimmungslandes eintauchen muss.
Klar ist, dass die Unternehmen ganz auf sich allein gestellt sind und sich derzeit auf Unterstützung von staatlicher Seite oder von Seiten der Europäischen Union nicht verlassen können. Wie zu hören ist, soll sich die EU-Kommission bereits auf das ablehnende Urteil vorbereitet haben. Es wird angekündigt, dass mit der Regierung der USA wieder Gespräche aufgenommen würden, um Mechanismen zu erarbeiten, wie der Datentransfer rechtssicher erfolgen könne. Die Erfahrung zeigt, dass die Verhandlungen zum Teil für die Unternehmen zu lange dauern. Bereits nachdem im Jahr 2015 auch das Safe-Harbour-Abkommen als Vorgängerin des Privacy Shields vom EuGH aufgehoben worden war (EuGH vom 06.10.2015 – C-362/14), dauerten die Verhandlungen sechs Monate. Die derzeitigen politischen Konstellatio-nen sprechen eher dagegen, dass schnellere und deutlichere Fortschritte erzielt werden können.
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) fordert daher die EU-Aufsichtsbehörden auf, etwaige Sanktionsmaßnahmen im Hinblick auf den Export personenbezogener Daten zunächst auszusetzen, damit Unternehmen genügend Zeit für die Evaluation ihrer Datenflüsse erhalten. Außerdem verlangt die GDD, dass der Europäische Datenschutzausschuss Hinweise erarbeitet, nach welchen Kriterien der Datenexport in ein Drittland auszusetzen ist, und darauf hinzuwirkt, dass Alleingänge nationaler Aufsichtsbehörden vermieden werden.
Was ist zu tun?
Folgende Maßnahmen sind Unternehmen anzuraten:
a) Vorrangig ist zu prüfen, ob Datentransfers in den USA vermieden werden können und bestehende Verträge ersetzt werden können durch entsprechende Vereinbarungen mit in der Europäischen Union ansässigen Unternehmen, insbesondere ist darauf zu achten, dass die Standorte der Server und Rechenzentren, die in Anspruch genommen werden, sich innerhalb der Europäischen Union befinden. Mindestens sollten die Unternehmen entsprechende Vorbereitungen treffen, um auf Prüfungen der Aufsichtsbehörden vorbereitet zu sein. Auch der Einsatz vom Dienstleistern mit US-Subunternehmern ist zu unterbinden.
b) Sämtliche Verträge (Auftragsverarbeitung, gemeinsame Datenverarbeitung) sind anzupassen. Gleiches gilt für Datenschutzhinweise und Datenschutzerklärungen.
c) Zur Sicherheit sind EU-Standardvertragsklauseln zu vereinbaren, wo dies noch nicht geschehen ist. Insbesondere sind sämtliche Empfänger in den USA zu befragen, wie der Datenschutzstandard der EU sichergestellt werden kann. Bei negativen Rückäußerungen muss dann allerdings sofort eine Umstellung vorgenommen werden. Sollte sich herausstellen, dass der Empfänger nicht in der Lage ist, den Datenschutzstandard sicherzustellen, kann der Datentransfer ausgesetzt werden. Auch ist zu prüfen, ob ein Rücktritt vom Vertrag oder eine Kündigung des Vertrages in Betracht kommt. Sämtliche Daten sind dann zurückzusenden bzw. zu vernichten. Auch die Geltendmachung von Schadensersatzansprüchen kann im Einzelfall in Erwägung gezogen werden. Gegebenenfalls kann sich eine Meldepflicht gegenüber den Aufsichtsbehörden ergeben.
d) Wenn irgend möglich, ist mit Einwilligungen der Betroffenen zu arbeiten. Hier ist besonderer Wert darauf zu legen, die Betroffenen transparent und umfassend aufzuklären und sicherzustellen, dass die Einwilligung freiwillig erfolgt. Zu beachten ist jedoch stets, dass die Einwilligung widerruflich ist, sodass mit dem Widerruf die Datenverarbeitung einzustellen ist, wenn keine anderweitige Rechtsgrundlage vorliegt, die die weitere Verarbeitung erlaubt.
Was droht den Unternehmen bei unzulässigem Datentransfer in die USA bzw. in ein sonstiges Drittland?
Den Unternehmen droht Ungemach von Seiten der Aufsichtsbehörden wie von Betroffenen und Konkurrenten.
Der Verantwortliche muss mit Maßnahmen der Datenschutzaufsichtsbehörden rechnen. Diese können von Mahnungen über die Verhängung von Geldbußen (bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens) bis zu einem Verbot der Datenübermittlung reichen. Das Erfordernis des Tätigwerdens der Aufsichtsbehörden wird ausdrücklich in dem Urteil des Europäischen Gerichtshofs erwähnt.
Die Verantwortlichen müssen mit Abmahnungen Betroffener rechnen, durch welche sie zur Unterlassung und zur Leistung von Schadensersatz aufgefordert werden. Zu erstatten sind in diesen Fällen auch die Abmahnkosten und etwaige Vertragsstrafen bzw. Ordnungsgelder bei erneutem Verstoß.
Auch Mitbewerber und insbesondere Verbraucherschutzorganisationen könnten entsprechende Abmahnungen aussprechen. Streitig ist, ob dies auf Grundlage des Wettbewerbsrechts möglich ist. Die deutschen Instanzgerichte sind sich bisher uneinig (siehe zuletzt OLG Stuttgart, Urteil vom 27.02.2020 – 2 U 257/19). Höchstrichterliche Rechtsprechung liegt hierzu noch nicht vor. Gerade angesichts der jüngsten Rechtsprechung ist das Risiko nicht gering, dass Wettbewerber bzw. Verbraucherschutzorganisationen hiermit durchdringen könnten.
Fazit
Wenn irgend möglich sollte auf den Datentransfer in die Vereinigten Staaten verzichtet und auf Unternehmen mit Sitz innerhalb der EU oder des EWR, insbesondere auf europäische Dienstleister einschließlich Subunternehmer zurückgegriffen werden.
Prof. Dr. Ulrich Schnelle von GLOBAL LAW EXPERTS empfohlen
28.07.20
GLOBAL LAW EXPERTS empfiehlt die Kanzlei HAVER & MAILÄNDER und Prof. Dr. Ulrich Schnelle im Kompetenzbereich Kartellrecht.
Sind Weisungen Dienstleistungsaufträge?
27.07.20
Zum Stand der Rechtsprechung von EuGH und BGH über Direktvergaben im ÖPNV mit Bussen und Straßenbahnen