Der österreichische Jurist Max Schrems steht erneut vor dem EuGH. Wieder geht es um die Einhaltung des Datenschutzes eines amerikanischen Riesenkonzerns. Am gestrigen Tag hat zu diesem Rechtsstreit, auch bekannt unter Schrems II, der EU-Generalanwalt seine Schlussanträge gestellt.
Kurz vor Weihnachten wurde es noch einmal spannend. Gestern gegen 09:45 Uhr waren alle Augen nach Luxemburg gerichtet - alle warteten gespannt auf die Schlussanträge des EU-Generalanwalts. Schlussanträge, die eine erste Richtung in Bezug auf das Datenschutzabkommen zwischen der EU und den USA vorgeben werden. Ein bindendes Urteil wird erst in einigen Wochen erwartet, doch die Schlussanträge der Generalanwälte geben bereits eine kleine Tendenz vor, zu wessen Gunsten es ausfallen wird. Entscheidet sich der EU-Generalanwalt gegen die Zulässigkeit von Standardvertragsklauseln und dem Privacy-Shield müssten zentrale Absprachen zwischen Europa und den USA neu verhandelt werden.
Aber jetzt erst einmal zurück zum Anfang. Schließlich ist der Fall seit 6,5 Jahren anhängig und dementsprechend sehr komplex. Wir möchten Ihnen mit diesem Blogbeitrag einen kleinen, verständlichen Einblick in den umfassenden Rechtsstreit und in die Schlussanträgen EU-Generalanwalts geben.
Um zum Anfang dieses Rechtsstreites zu gelangen, müssen wir weit zurückreisen. Genauer gesagt in das Jahr 2013 zu den Enthüllungen von Whistleblower Edward Snowden und somit zum ersten großen, öffentlich bekannten Datenskandal der letzten Jahre.
Edward Snowden legte offen, dass viele amerikanische Unternehmen, darunter auch Facebook, der US-Regierung Zugang zu europäischen Benutzerdaten ermöglichen müssen. Die USA rechtfertigte dieses Verhalten damit, dass die Daten zur Aufdeckung und Abschreckung bei der Bekämpfung von sämtlichen Straftaten wie beispielsweise Terrorismus genutzt werden.
Diese Enthüllungen nahm der Datenschutzaktivist Max Schrems zum Anlass bei der irischen Datenschutzbehörde Beschwerde gegen Facebook zu erheben. Die Datenschutzbehörde wies die Beschwerde zurück und Schrems klagte vor dem EuGH und gewann (Fall C-362/14 Schrems). Der EuGH argumentierte, dass die Massenüberwachung der USA die Grundrechte der europäischen Bürger verletzt. Als Folge dessen wurde zum 06. Oktober 2015 die „Safe-Harbour“-Entscheidung, die als Rechtsgrundlage für den transatlantischen Datentransfer diente, für ungültig erklärt. Zur damaligen Zeit eine äußerst ungünstige und missliche Situation - sowohl für Unternehmen in Europa als auch in den USA. Schließlich stellt die Übermittlung personenbezogener Daten einen notwendigen und integralen Bestandteil der transatlantischen Handelsbeziehung zwischen der EU und den USA dar. Eine Lösung musste dringend gefunden werden, auf die die Datenübermittlung weiterhin gestützt werden kann. So verständigte sich die Kommission in langen Verhandlungen mit den USA auf ein neues Datenschutzschild, das EU-US-Privacy-Shield, das Mitte 2016 als neue Rechtsgrundlage genutzt werden konnte. Herr Schrems steht dem Datenschutzschild seit dessen Einführung kritisch gegenüber, da seiner Ansicht nach das Privacy Shield eine minimal behübschte Version des illegalen Safe-Harbours sei. Außerdem ist er der Meinung, dass die USA nichts an ihren Überwachungsvorschriften geändert, geschweige denn verbessert habe.
Jetzt kommt bei Ihnen sicherlich die Frage auf, wieso dieser Rechtsstreit noch nicht beendet ist, obwohl es eine neue, zulässige und von der Kommission verhandelte Rechtsgrundlage für den Datentransfer gibt?
Facebook wollte seine Datenübermittlung nach der EuGH-Entscheidung gegen das „Safe-Harbour“-Abkommen und der laut gewordenen Kritik am neuen Privacy-Shield nicht mehr auf ein Datenschutzschild stützen, sondern behauptete, dass sie nun die Rechtsgrundlage aus den Standardvertragsklauseln verwenden werden. Standardvertragsklauseln sind vertragliche Vereinbarungen zwischen EU-Datenexporteur und US-Datenimporteur, die von der Kommission allgemein anerkannt sind. Die Standardvertragsklauseln verpflichten die jeweiligen Unternehmen zum Einhalten und Umsetzen bestimmter Datenschutzvorschriften. Die Standardvertragsklauseln wurden weit vor Einführung des neuen Datenschutzgesetzes (DSGVO) von der Kommission anerkannt.
Mit Einführung der DSGVO wurden die geltenden Datenschutzbestimmungen in Europa reformiert. Die DSGVO verlangt bei einer Übermittlung personenbezogener Daten in ein Drittland wie den USA, dass das Drittland bzw. im vorliegenden Fall Facebook ein ausreichendes Schutzniveau gewährleisten muss. Dieses hohe Schutzgut steht natürlich im Widerspruch mit den Überwachungsgesetzen in den USA. Ein Grund, warum dieser Rechtsstreit immer noch nicht abgeschlossen ist.
Herr Schrems forderte nach dem EuGH-Urteil im Jahr 2015 die irische Datenschutzbehörde auf, Facebook die Datenübermittlung von Europa in die USA zu untersagen. Facebook hätte aufgrund der Gesetzeslage in den USA weder durch das Privacy-Shield noch durch die Standardvertragsklauseln eine zulässige Rechtsgrundlage für die Übermittlung.
Die irische Datenschutzbehörde untersagte Facebook daraufhin nicht die Datenübermittlung, sondern reichte Klage (Fall C-311/18 Facebook Irland und Schrems) gegen Facebook und Max Schrems vor dem irischen High Court ein. Der irische High Court leitete die Klage an den EuGH weiter, der über die Gültigkeit der Standardvertragsklauseln und der Datenübermittlung von Facebook entscheiden soll.
Um ein mögliches Ende dieses Rechtstreites in Aussicht zu stellen, nahm der EU-Generalanwalt gestern in seinen Schlussanträgen Stellung zu der ganzen Situation. Wir möchten an dieser Stelle noch einmal betonen, dass die Schlussanträge rechtlich nicht binden sind, sondern eine Tendenz auf das bevorstehende Urteil geben. Unternehmen sollten sich aber trotzdem anhand der Schlussanträge bereits Gedanken über mögliche Auswirkungen eines bindenden Urteils machen. Aber jetzt kommen wir erst einmal zu den wichtigen Thesen seines Antrags:
Wenn der EuGH in einigen Monaten bei Urteilsverkündung dem Ansatz des Generalanwalts folgt, müssten Unternehmen, Organisationen oder Vereine erstmal nichts am Datenverkehr in die USA ändern. Die Datenströme könnten weiterhin normal verlaufen. Die EU-Aufsichtsbehörden werden aber explizit darauf hingewiesen, die Übermittlungen an jene US-Unternehmen zu untersagen, die dem FISA 702 (dem oben angesprochenen US-Überwachungsgesetz) unterliegen.
In der ausführliche Stellungnahme des EU-Generalanwalts können Sie sich über weitere Details zu dem Fall informieren. Es bleibt somit spannend. Wir sind auf das bindende Urteil gespannt und werden Sie natürlich auf dem Laufenden halten.
In diesem Sinne wünschen wir Ihnen nun ein besinnliches Weihnachtsfest und einen guten Start in das neue Jahr. Wir hoffen, Sie bleiben uns auch 2020 als Leser unseres Blogs erhalten.
Schrems kippt das EU-US-Privacy-Shield! Am 16. Juli 2020 hat der EuGH das Urteil zum internationalen Datentransfer gesprochen. Mehr Informationen erhalten Sie in unserem neusten Blogbeitrag.
SchremsII EuUsPrivacyShield Datenschutz Standardvertragsklauseln EuGeneralanwalt