Der österreichische Jurist und Datenschutzaktivist Max Schrems strebt seit Jahren das Tätigwerden der irischen Datenschutzbehörde gegen die Datenübermittlung durch Facebook in die USA an. Bestärkt wurde er nun vom Generalanwalt des EuGH, der das Gericht nun dazu aufrief, dies zur Aufgabe der irischen Datenschutzbehörde zu erklären.[1]
Die Folgen könnten durchaus weitreichend sein, denn sämtliche Karten werden durch die Aussagen des Generalanwalts nun möglicherweise neu gemischt, was sowohl die Aufgabenverteilung hinsichtlich der Durchsetzung des Datenschutzes als auch die rechtliche Grundlage für Datentransfers zwischen Europa und den USA betrifft.
Hintergrund
Der Grund für Schrems‘ Bemühungen ist die Übermittlung europäischer Nutzungsdaten durch Facebook in die USA, die dort den US-Gesetzen zur Überwachung durch Geheimdienste unterliegen. Nach den Enthüllungen Edward Snowdens im Jahr 2013 legte Schrems erstmals Beschwerde bei der irischen Datenschutzaufsicht ein, da er sich in seinen unionsrechtlichen Grundrechten verletzt sah.[2] Diese wurde jedoch mit der Begründung abgewiesen, dass die Einhaltung europäischer Datenschutzstandards durch Facebook aufgrund der Safe-Harbour-Regelung gewährleistet sei. Daraufhin klagte Schrems beim irischen High Court. Das Gericht setzte das Verfahren aus und legte dem EuGH im Wege eines Vorabentscheidungsverfahrens entsprechende Fragen vor, woraufhin dieser das Safe-Harbour-Abkommen für unwirksam erklärte.
Nach langen Verhandlungen wurde das „EU-U.S. Privacy Shield“ als Reaktion auf das Urteil beschlossen. US-Unternehmen, welche sich nach den Vorgaben des amerikanischen Rechts zur Einhaltung der Prinzipien des Privacy Shields verpflichten, bieten danach ausreichende Schutzgarantien und dürfen daher personenbezogene Daten, welche ihnen von Verantwortlichen aus der EU übermittelt wurden, verarbeiten.
Wenngleich von Beginn an scharf kritisiert, hielt das Abkommen im Oktober letzten Jahres erneut der jährlichen Prüfung der EU-Kommission stand.[3]
Facebook beruft sich derzeit auf EU-Standardvertragsklauseln als Rechtsgrundlage für die Übermittlung von Daten durch Facebook Irland in die USA. Dabei handelt es sich um einen Vertrag zwischen europäischen Unternehmen und solchen aus den USA, um den europäischen Datenschutzstandard sicherzustellen.[4]
Gegen dieses Vorgehen klagte Max Schrems nun erneut. Seiner Ansicht nach sei zwar nichts gegen die Standardvertragsklauseln einzuwenden, jedoch sei die Datenschutzbehörde dazu verpflichtet, einzelne Datenübermittlungen zu unterbinden, wenn diese dennoch nicht sicher sein sollten.[5] Das Privacy Shield hingegen solle laut Schrems für ungültig erklärt werden, da es (ebenso wie das Safe Harbour-Abkommen) zu wenig Schutz hinsichtlich der faktischen Überwachungsmaßnahmen aufgrund der Gesetzeslage in den USA gewähre.[6]
Die irische Datenschutzbehörde hingegen wies jegliche Verantwortung von sich, da ihr ihrer Ansicht nach nicht die Befugnis für die Aussetzung einer Datenübermittlung zustehe, solange sich Facebook auf EU-Standardvertragsklauseln berufe und somit diese im Hinblick auf die Überwachungsmaßnahmen der USA zunächst für ungültig erklärt werden müssten.[7]
Der irische High Court wandte sich nun mit Vorlagefragen an den EuGH, die insbesondere die Frage nach der Gültigkeit des derzeitigen Verfahrens zur Datenübertragung in die USA und die Rolle der Datenschutzbehörden beinhalten.
Empfehlung des EuGH-Generalanwalts
Generalanwalt Henrik Saugmandsgaard Øe sprach sich in seinen Schlussanträgen vom 19. Dezember für die Gültigkeit der Standardvertragsklauseln aus, da diese grundsätzlich dazu geeignet seien, ein ausreichendes Datenschutzniveau zu garantieren, sofern dies nicht bereits durch die Rechtslage im Drittland gegeben sei. Ergänzend seien jedoch gewisse Regelungen zur Einhaltung der Klauseln erforderlich, welche auch gewährleisten müssen, dass eine auf Standardvertragsklauseln beruhende Datenübermittlung ausgesetzt wird, sollten Klauseln verletzt werden oder deren Einhaltung nicht möglich sein. Für die Einhaltung der Standardvertragsklauseln seien dabei sowohl die Vertragsparteien als auch insbesondere die Datenschutzbehörden verantwortlich, welche sowohl die Datenübermittlung prüfen als auch entsprechende Maßnahmen (wie gegebenenfalls die Untersagung der Datenübermittlung) treffen müssten, sollte diese nicht den Vereinbarungen entsprechen. Ihre Befugnis dazu ergebe sich dabei aus der Datenschutzgrundverordnung (DSGVO), welche ihrerseits im Lichte der EU-Grundrechte-Charta auszulegen sei.[8]
Da der High Court innerhalb seiner Vorlagefragen insbesondere einen Beschluss der EU-Kommission in Frage gestellt hatte, in dem diese das Datenschutzniveau in den USA bei Übermittlungen auf Grundlage des Privacy Shields für „ausreichend“ erachtet hatte, ging der Generalstaatsanwalt daher zudem noch auf das von Max Schrems kritisierte Privacy Shield ein und zweifelte im Zuge dessen den Beschluss der Kommission hierzu an. Seiner Ansicht nach seien Beeinträchtigungen im Hinblick auf die Rechte auf Achtung des Privatlebens, auf den Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf zu befürchten.[9]
Fazit und Ausblick
Max Schrems und der EU-Generalanwalt sind sich einig, dass es sich bei EU-Standardvertragsklauseln wohl grundsätzlich um eine zulässige rechtliche Grundlage für Datentransfers zwischen der EU und den USA handelt, um durch vertragliche Garantien einen sicheren Datenschutz zu garantieren. Um dies aber in jedem Einzelfall zu gewährleisten, ist das Aktivwerden der irischen Datenschutzbehörde vonnöten, die sich bislang nicht dazu in der Pflicht sieht.
Es ist abzuwarten, ob sich der EuGH in seiner Entscheidung den Ausführungen des Generalanwalts anschließen und weitere grundsätzliche Ausführungen machen wird, die gegebenenfalls sogar das Privacy Shield aushebeln. Grundsätzlich entfalten zwar Schlussanträge keine rechtlich bindende Wirkung, jedoch beeinflussen sie erfahrungsgemäß die Entscheidung des EuGH in hohem Maße.
Somit verspricht das Jahr 2020 bereits jetzt einige weitere spannende Entscheidungen im Hinblick auf den Datenschutz.
[1] Pressemitteilung des Gerichtshofs der Europäischen Union, Schlussanträge des Generalanwalts in der Rechtssache C-311/18, 19. Dezember 2019.
[2] Kühl, Schrems gegen Facebook, Staffel 2, zeit.de, 19. Dezember 2019, abrufbar unter: https://www.zeit.de/digital/datenschutz/2019-12/datenschutz-europaeischer-gerichtshof-facebook-max-schrems, zuletzt abgerufen am 23. Januar 2020.
[3] Fanta, EU-Kommission erneuert Persilschein für Datenaustausch mit den USA, netzpolitik.org, 23. Oktober 2019, abrufbar unter: https://netzpolitik.org/2019/eu-kommission-erneutert-persilschein-fuer-datenaustausch-mit-den-usa/, zuletzt abgerufen am 23. Januar 2020.
[4] Kaufmann, Generalanwalt sieht jetzt irische Datenschutzbehörde am Zug, lto.de, 19. Dezember 2019, abrufbar unter: https://www.lto.de/recht/hintergruende/h/eugh-c-311-18-schlussantraege-schrems-facebook-irische-datenschutzbehoerde-datentransfer-eu-usa/, zuletzt abgerufen am: 23. Januar 2020.
[5] NOYB, Preb-Document for December 19th 2019, noyb.eu, 18. Dezember 2019, abrufbar unter: https://noyb.eu/wp-content/uploads/2019/12/ag_prep_en.pdf, zuletzt abgerufen am: 23. Januar 2020.
[6] NOYB, Preb-Document for December 19th 2019, noyb.eu, 18. Dezember 2019, abrufbar unter: https://noyb.eu/wp-content/uploads/2019/12/ag_prep_en.pdf, zuletzt abgerufen am: 23. Januar 2020.
[7] Kühl, Schrems gegen Facebook, Staffel 2, zeit.de, 19. Dezember 2019, abrufbar unter: https://www.zeit.de/digital/datenschutz/2019-12/datenschutz-europaeischer-gerichtshof-facebook-max-schrems, zuletzt abgerufen am 23. Januar 2020.
[8] Pressemitteilung des Gerichtshofs der Europäischen Union, Schlussanträge des Generalanwalts in der Rechtssache C-311/18, 19. Dezember 2019.
[9] Pressemitteilung des Gerichtshofs der Europäischen Union, Schlussanträge des Generalanwalts in der Rechtssache C-311/18, 19. Dezember 2019.