EuGH entscheidet über die Datenübermittlung in die USA

Am Donnerstag entscheidet der Europäische Gerichtshof (EuGH) in Luxemburg im Fall irische Datenschutzbehörde gegen Facebook und Max Schrems. Dabei geht es um die Frage, unter welchen Voraussetzungen europäische Daten in die USA übertragen werden dürfen. Facebook hat in Irland seinen Europasitz, weshalb die Datenschutzbehörde in Irland für den ursprünglichen Fall zuständig war.

Der Hintergrund

Max Schrems und Facebook sind in diesem Fall beide die Beklagten und Kläger ist die irischen Datenschutzbehörde. Allerdings haben sie beide unterschiedliche Ansichten und Positionen: Schrems beanstandete vor dem irischen Datenschutzbeauftragten die Übermittlung seiner personenbezogenen Daten durch "Facebook Ireland" an Facebook in den USA. Der Datenschutzbeauftragte solle alle Datenübermittlungen zwischen den beiden Unternehmen aussetzen, so seine Empfehlung. Facebook ist nämlich verpflichtet, die übermittelten Daten US-Behörden wie der NSA und dem FBI zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen könnten. Facebook sieht dies freilich anders.

Facebook macht geltend, dass das EU-Recht nicht für die Verarbeitung personenbezogener Daten für Zwecke der nationalen Sicherheit gelte, unabhängig davon, ob die Verarbeitung in der EU oder in den USA stattfinde. Der irische Datenschutzbeauftragte hat sich an den irischen High Court gewandt, damit dieser vor dem Europäischen Gerichtshof die Rechtmäßigkeit der Datenübermittlung kläre. Grundlage ist ein Beschluss der EU-Kommission über Standardvertragsklauseln.

Der Generalanwalt hat sich beim Verfahren dafür ausgesprochen, dass Standardvertragsklauseln (SCC) für diese Übertragung wirksam und gültig seien, weil sie einen eingebauten Schutz haben, der Datenschutzbehörden verpflichtet, Datentransfers zu stoppen, wenn es ein Problem mit US-Gesetzen gebe. Das finale Urteil wird für Donnerstag mit Spannung erwartet. Der Richter kann dem Urteil des Generalanwalts folgen, oder aber etwas komplett anderes entscheiden.

Safe Harbor und Privacy Shield

Am Ende könnte sogar „Privacy Shield“, das EU-US-Datenschutzabkommen, für ungültig erklärt werden – oder aber die Standardvertragsklauseln.

Schrems hatte bereits einmal erfolgreich gegen die Weitergabe seiner persönlichen Facebook-Daten in die USA vor dem EuGH geklagt. Im Oktober 2015 kippte der EU-Gerichtshof das "Safe Harbor"-Abkommen wegen der Massenüberwachung durch US-Geheimdienste, das bis dahin den unkomplizierten Datenaustausch der Europäer mit den USA regelte. Die EU-Kommission hat daraufhin 2016 ein neues Datenaustauschabkommen - das "Privacy Shield" (Datenschutzschild) - mit den USA angenommen.