Netzpolitik
03/24/2015

Facebook: EuGH prüft Datenübermittlung an die NSA

Der Europäische Gerichtshof (EuGH) befasste sich am Dienstag mit der Frage, inwieweit sich Facebook an EU-Rechte zum Schutz personenbezogener Daten halten muss.

Ist Safe Harbor noch sicher? Das war eines der Themen, denen sich der EuGH am Dienstag widmete. Der österreichische Datenschutz-Aktivist Max Schrems hatte eine Klage gegen Facebook in Irland eingereicht, weil das soziale Netzwerk dort seinen Europasitz hat. Dieser Fall geht nun bis vor den EuGH, weil der irische High Court die Klage von Schrems wegen Untätigkeit der irischen Datenschutzbehörde an den Europa-Gerichtshof verwiesen hat.

Konkret ging es in der mündlichen Anhörung vor dem EuGH am Dienstag um die Frage, inwieweit europäische Tochterfirmen von Konzernen wie Facebook und Google die EU-Grundrechtecharta zum Schutz personenbezogener Daten beachten müssen. Diese Unternehmen nehmen am Safe Harbor-Abkommen teil, das die Weitergabe persönlicher Daten von europäischen an amerikanische Unternehmen regelt. US-Firmen können sich beim Handelsministerium registrieren lassen und müssen sich dann verpflichten, bestimmte Prinzipien beim Datenschutz einzuhalten.

Mündliche Befragung

Insgesamt wurden mehrere Staaten, das EU-Parlament, die EU-Kommission sowie die Anwälte des Klägers Max Schrems und am Verfahren teilnehmende Vertreter von Bürgerrechtsorganisationen am Dienstag in Luxemburg zu der Causa mündlich befragt, nachdem alle Beteiligten bereits vorab ein schriftliches Statement eingebracht hatten. Der Datenschutz-Aktivist Max Schrems kommentierte die Anhörung live via Twitter.

Die Anwälte von Schrems argumentierten vor dem EuGH, dass Daten von europäischen Bürgern nach EU-Recht nur dann ins Ausland transferiert werden dürfen, wenn dort ein „angemessenen Schutzniveau“ garantiert wird. Dieses ist laut Schrems seit Bekanntwerden des NSA-Skandals rund um das Überwachungsprogramm PRISM nicht mehr gegeben. Den Snowden-Dokumenten zufolge hatte die NSA direkten Zugang zu den Computersystemen von neun der führenden US-Internet-Unternehmen, darunter neben Facebook auch Google, Apple, Microsoft und Yahoo.

Massenüberwachung

Zwar hätten die betroffenen IT-Unternehmen selbst dementiert, der NSA einen direkten Zugriff zu den Daten zur Verfügung zu stellen, aber sowohl der US-Präsident Barack Obama als auch US-Gemeindienstdirektor James Clapper hätten niemals abgestritten, dass die NSA einen direkten Zugriff auf Systeme von Facebook & Co habe. Von einer flächendeckenden Massenüberwachung sei daher auszugehen, wie es am Dienstag vor dem EuGH heißt.

In einem früheren Urteil habe der EuGH zudem bereits entschieden, dass die Vorratsdatenspeicherung den Artikel 8 der Menschenrechtscharta verletzen würde und die Datenspeicherung daher als grundrechtswidrig anzusehen sei. Bei der Massenüberwachung durch PRISM seien noch mehr Daten, und zwar auch Inhaltsdaten, betroffen, sagten die Anwälte von Schrems vor dem EuGH.

EU-Parlament für Aufhebung

Das EU-Parlament hat sich am Dienstag vorm EuGH einmal mehr für die Aufhebung des Safe Harbor-Abkommens stark gemacht. Im Frühjahr 2014 hatte es bereits für eine Aussetzung des Abkommen gestimmt. Die EU-Kommission habe nach Ansicht des EU-Parlaments die Verpflichtung, Safe Harbor aufzuheben.

Doch diese versuchte am Dienstag auch vor dem Gerichtshof zu beruhigen und verwies auf laufende Verhandlungen. Der EU-Gerichtshof solle die EU-Kommission ohne Vorverurteilung mit den USA verhandeln lassen, lautete der Tenor, der zumindest aus den Twitter-Nachrichten von Schrems hervorging. Man könne derzeit nicht garantieren, dass das Schutzniveau bei der Datenübermittlung tatsächlich angemessen sei, hieß es zudem seitens der EU-Kommission.

Zügige Verhandlungen?

Zeitgleich zur EuGH-Verhandlung verlautbarte die EU-Kommission in einer Aussendung, dass die Verhandlungen zwischen EU-Kommission und USA über die „Verbesserungen der Safe Harbor-Regeln“ bis Mai abgeschlossen sein sollten. Man wolle mit den USA auf 13 im November 2013 verabschiedeten Handlungsempfehlungen diese Woche in Washington verhandeln, heißt es in der Aussendung der EU-Kommission. Im Jänner hieß es jedoch noch, dass die Verhandlungen ins Stocken geraten seien. Schrems kritisierte die EU-Kommission auf Twitter, dass sie schon lange wisse, dass Safe Harbor nicht sicher sei und bisher „nichts getan“ habe.

Auch Österreich als Mitgliedsstaat wurde vom EuGH angehört. Laut Schrems erklärte der Vertreter Österreichs, dass Safe Harbor schon immer nur ein sicherer Hafen für Datenpiraten gewesen sei und niemals legal. Bei der Anhörung vor dem EuGH stellte unter anderem der deutsche Richter Thomas von Danwitz viele kritische Fragen an EU-Kommission. Er ist Berichterstatter des Verfahrens und war dies auch im Fall der Vorratsdatenspeicherung. „Der Richter hat eindeutig erkannt, worum es bei der Safe Harbor-Problematik geht“, freut sich Schrems.

Entscheidung folgt

Eine Entscheidung fällt der EuGH allerdings erst in ein paar Monaten, nachdem die Schlussanträge des Generalanwalts erfolgt sind. Damit ist Ende Juni zu rechnen. Der jahrelange Streit des österreichischen Datenschutz-Aktivisten mit Facebook wird auf jeden Fall grundsätzliche Folgen für die Übermittlung der Daten von Internet-Unternehmen in die USA haben. Es wird spannend, ob sich ein politischer Kompromiss zwischen den EU und den USA abzeichnen, oder ob der EuGH das gesamte Safe Harbor-Abkommen als EU-grundrechtswidrig einstufen wird.

Das geschah bisher

Schrems hatte sich 2013 beim irischen Datenschutz-Beauftragten darüber beschwert, dass persönliche Daten in den USA nicht vor staatlicher Überwachung geschützt seien und berief sich dabei auf die Enthüllungen des Informanten Edward Snowden.

Der irische Datenschutz-Beauftragte lehnte die Beschwerde ab. Dabei berief er sich unter anderem auf eine Entscheidung der EU-Kommission aus dem Jahr 2000, in der die Brüsseler Behörde das Schutzniveau der USA als ausreichend eingestuft hatte.

Das zuständige irische Gericht will vom EuGH wissen, ob der Datenschutzbeauftragte sich auf die Brüsseler Entscheidung berufen durfte - oder ob er nicht vielmehr selbst hätte ermitteln können oder müssen.

Schrems hatte rund 60.000 Euro von 2000 Personen via Crowdfunding-Kampagne eingesammelt, um sich ein derartiges Verfahren leisten zu können.