Das Facebook-Urteil des EuGH (C-362/14) hat seit seiner Verkündung am 6. Oktober 2015 etliche Wellen geschlagen. Insbesondere Nutzer cloudbasierter Dienste wie z.B. der von Microsoft angebotenen Variante Office 365 fragen sich, ob und welche Konsequenzen die Entscheidung des EuGH insbesondere auf die Nutzung der cloudbasierten Outlook-Variante hat.
Der High Court von Irland hatte in einem Vorabentscheidungsersuchen gem. Art. 267 AEUV gebeten zu klären, ob eine von der Europäischen Kommission getroffene Einschätzung bzgl. des adäquaten Datenschutzniveaus in einem Drittland die nationalen Datenschutzbehörden bindet und damit eine eigenständige Prüfung und Überprüfung des Datenschutzniveaus diese Landes „blockt“. Dieser Auffassung hat das oberste europäische Gericht eine klare Absage erteilt. Die nationalen Datenschutzbehörden können (und müssen) umfassend prüfen, ob in einem Drittstaat ein angemessenes Datenschutzniveau herrscht. Beschlüsse der EU-Kommission zu dieser Frage haben allenfalls indizielle Wirkung. Darüber hinaus hat der EuGH entschieden, dass der Safer Harbor Beschluss der Kommssion (2000/520/EG) angesichts der im Zuge der Snowden-Affaire aufgedeckten Praktiken der NSA unwirksam ist. Zur Erinnerung: US-amerikanische Unternehmen haben bzw. hatten die Möglichkeit sich zur Einhaltung bestimmter, bislang den Anforderungen der EU genügender Regeln zum Umgang mit personenbezogenen Daten zu verpflichten und sich entsprechend zertifizieren zu lassen (Safe Harbor).
Aus europäischer Sicht wurde und wird in den USA kein für europäische Verhältnisse angemessenes Datenschutzniveau garantiert. Der Annahme, dass ein adäquates Datenschutzniveau den Unternehmen unterstellt wird, die die Anforderungen des Safe Harbor – Abkommens erfüllen, hat der EuGH mit seiner Entscheidung vom 06. Oktober 2015 die Grundlage entzogen. Im Verhältnis zu US-amerikanischen Diensteanbietern, die personenbezogene Daten in den USA verarbeiten, bedeutet dies, dass das für eine zulässige Datenübermittlung ins Ausland geforderte angemessene Datenschutzniveau auf amerikanischer Seite (das bislang über die Safe Harbor Regeln garantiert wurde) individuell sichergestellt werden muss. Der Datenverarbeitungsvertrag mit dem betroffenen amerikanischen Unternehmen muss mit EU-Standardvertragsklauseln „aufgewertet“ werden.
Microsoft bietet bzgl. der Anwendung von Office 365 an, Auftragsdatenverarbeitungsverträge unter Verwendung der EU-Standardvertragsklauseln abzuschließen. Die Artikel 29 Datenschutzgruppe der EU hat im Jahr 2014 dem Microsoft Konzern bestätigt, dass die von ihm verwendeten Vertragsmuster mit den EU-Standardvertragsklauseln konform sind. Insofern sollte – wenn nicht auch die Standardvertragsklauseln im Zuge der Facebookentscheidung „gekippt werden“, die Verwendung von Microsoft Office 365 auch in Ansehung des Facebookurteils künftig aus datenschutzrechtlicher Sicht erlaubt sein.