FILE PHOTO: Austrian lawyer and privacy activist Schrems displays his Facebook account's updated terms page during a Reuters interview in Vienna

© REUTERS / Heinz-Peter Bader

Netzpolitik
12/19/2019

Datenübermittlung in die USA: Erfolg für Max Schrems

Auf welcher Basis dürfen die Daten von europäischen Facebook-Nutzern in die USA übertragen werden? Damit beschäftigte sich der EuGH.

von Barbara Wimmer

Der Europäische Gerichtshof (EuGH) in Luxemburg hat am Donnerstag das Gutachten des Generalanwalts im Verfahren des österreichischen Datenschutzaktivisten Max Schrems und Facebook gegen die irische Datenschutzbehörde veröffentlicht (PDF).

In dem laufenden Verfahren geht es um die Datenübermittlung von "Facebook Irland", wo der US-Konzern seinen Europasitz hat, auf der Grundlage von sogenannten Standardvertragsklauseln (SCC). Laut dem Gutachten des Generalanwalts Henrik Saugmandsgaard Øe sind die Standardvertragsklauseln wirksam und gültig. Diese haben einen eingebauten Schutz, der die Datenschutzbehörden verpflichte, Datentransfers zu stoppen, wenn es ein Problem mit US-Gesetzen gebe. Die Verantwortlichen für die Datenverarbeitung und die Kontrollbehörden seien zudem verpflichtet, die Übermittlung zu stoppen, wenn die Datenschutz-Vorgaben nicht eingehalten werden, heißt es.

Datenschutzbehörden müssen agieren

Laut Ansicht des Generalanwalts müssen Datenschutzbehörden auf jeden Fall tätig werden, wenn es Beschwerden aufgrund von Datenschutzverletzungen gebe. "Derzeit machen viele Datenschutzbehörden einfach ihre Augen zu, wenn es um Berichte von Verstößen geht. Sie wollen sich nicht mit Beschwerden beschäftigen, daher ist das ein großer Schritt, um die Datenschutzgrundverordnung durchzusetzen", sagte Max Schrems in einer ersten Reaktion (PDF). Der Generalanwalt habe in seinem Gutachten hauptsächlich erklärt, dass "die Datenschutzbehörde endlich ihren Job machen" solle, so der österreichische Jurist.

Möglicherweise muss die irische Datenschutzbehörde, und damit der irische Staat, auch die Kosten des gesamten Verfahrens zahlen und das wären rund zehn Millionen Euro, sagt Schrems. "Ich freue mich generell über die Stellungnahme des Generalanwalts. Die Stellungnahme entspricht Großteils auch unserer Rechtsansicht. Das ist eine schallende Ohrfeige für die irische Datenschutzbehörde und für Facebook – und ein wichtiges Zeichen für den Schutz der Privatsphäre von Nutzern.”

Was Schrems von der Behörde wollte

Was vielen nicht klar ist: Max Schrems und Facebook sind in diesem Fall beide die Beklagten und Kläger ist die irischen Datenschutzbehörde. Allerdings haben sie beide unterschiedliche Ansichten und Positionen: Schrems beanstandete vor dem irischen Datenschutzbeauftragten die Übermittlung seiner personenbezogenen Daten durch "Facebook Ireland" an Facebook in den USA. Der Datenschutzbeauftragte solle alle Datenübermittlungen zwischen den beiden Unternehmen aussetzen, so seine Empfehlung. Facebook ist nämlich verpflichtet, die übermittelten Daten US-Behörden wie der NSA und dem FBI zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen könnten. Facebook sieht dies freilich anders.

Facebook macht geltend, dass das EU-Recht nicht für die Verarbeitung personenbezogener Daten für Zwecke der nationalen Sicherheit gelte, unabhängig davon, ob die Verarbeitung in der EU oder in den USA stattfinde. Der irische Datenschutzbeauftragte hat sich an den irischen High Court gewandt, damit dieser vor dem Europäischen Gerichtshof die Rechtmäßigkeit der Datenübermittlung kläre. Grundlage ist ein Beschluss der EU-Kommission über Standardvertragsklauseln.

EuGH will nicht zu Privacy Shield entscheiden

Beim sogenannten "Privacy Shield", das die vom EuGH gekippte „Safe-Harbor“-Regelung ersetzt, sieht Generalanwalt Saugmandsgaard Øe zwar einige Probleme. Er betonte aber, dass der Gerichtshof zur Klärung des aktuellen Verfahrens nicht über die Gültigkeit des "Privacy Shield"-Beschlusses entscheiden müsse. Die Datenschützer wartet nun darauf, ob der EuGH in seinem finalen Urteil eventuell doch noch auch den Datenschutzschild überprüft.

Die Entscheidung des EuGH-Generalanwalts ist nämlich noch nicht das finale Urteil und auch nicht bindend. Die finale Entscheidung trifft ein EuGH-Richter im kommenden Jahr. In der Regel dauert es drei bis sechs Monate. Im Großen und Ganzen folgen die Richter zudem in vielen Fällen den Ansichten der Generalanwälte. Ob das in allen Fragestellungen dieses äußerst komplexen Falles passieren wird, ist nicht abzusehen.Facebook zeigte sich in einer ersten Reaktion als zufrieden und betonte die Wichtigkeit der Standardvertragsklauseln.

Steit um Datentransfer wird weitergehen

Der Streit um den Datentransfer zwischen Europa und den USA geht damit laut Ansicht von Schrems daher nicht zu Ende. "Langfristig müssen sich die US-Gesetzgeber überlegen, wie die das Vertrauen in die US-Industrie herstellen können, wenn es keinen wirksamen Schutz der Privatsphäre in den USA gibt. Man kann nicht sagen: 'Gebt uns unsere Daten, vertraut uns, aber ihr habt keinerlei Rechte'", so Schrems. Die USA habe außerdem ähnliche Befürchtungen, was die Hardware von Huawei betreffe, so der Datenschutzjurist.

Safe Harbor Abkommen gekippt

Schrems hatte bereits einmal erfolgreich gegen die Weitergabe seiner persönlichen Facebook-Daten in die USA vor dem EuGH geklagt. Im Oktober 2015 kippte der EU-Gerichtshof das "Safe Harbor"-Abkommen wegen der Massenüberwachung durch US-Geheimdienste, das bis dahin den unkomplizierten Datenaustausch der Europäer mit den USA regelte. Die EU-Kommission hat daraufhin 2016 ein neues Datenaustauschabkommen - das "Privacy Shield" (Datenschutzschild) - mit den USA angenommen.