EuGH-Urteil erwartet Darf Facebook Daten in die USA schicken?
Facebook schickt Daten von Nutzern aus der EU in die USA. Ist das rechtmäßig? Darüber entscheidet der EuGH. Dabei geht es um die Frage, ob die USA europäische Grundrechte wahren.
Worum geht es in dem Fall?
Wer als EU-Bürger Facebook nutzt, schließt einen Vertrag mit der europäischen Tochter des US-Konzerns: der Facebook Ireland Ltd. Die personenbezogenen Daten der Nutzer werden dann zunächst bei Facebook in Irland gespeichert. Von dort werden sie in die USA exportiert und auf US-Servern gespeichert.
Diesen Datentransfer will der österreichische Jurist Max Schrems verhindern. Er fürchtet, dass seine Daten in den USA nicht sicher sind, dass insbesondere Sicherheitsbehörden zu leicht darauf zugreifen könnten. Die Enthüllungen des Whistleblowers Edward Snowden über den US-Geheimdienst NSA hätten gezeigt, dass in den Vereinigten Staaten ein weit niedrigeres Datenschutzniveau herrsche als in der EU.
Am Rande der Verhandlung beim Europäischen Gerichtshof (EuGH) beschrieb Max Schrems, was ihn antreibt: "Wenn ich weiß, alles wird überwacht, dann sage ich vielleicht Dinge nicht, die ich mich sonst trauen würde, zu sagen. Und das ist relativ schädlich für eine Demokratie."
Wann ist Datentransfer zulässig?
Personenbezogene Daten von EU-Bürgern dürfen in Länder außerhalb der EU exportiert werden, wenn eine von zwei Bedingungen erfüllt ist. Möglichkeit eins: Die EU-Kommission stellt in einem Beschluss fest, dass dort angemessener Datenschutz gewährleistet ist.
Oder Möglichkeit zwei: Das Unternehmen garantiert, dass bestimmte Datenschutzstandards eingehalten werden.
Was wurde in der Sache schon entschieden?
Schrems ist am EuGH kein Unbekannter. Er erreichte 2015, dass der Luxemburger Gerichtshof das "Safe Harbor"-Abkommen ("sicherer Hafen") zwischen der EU und den USA kippte. In dem Abkommen hatte die EU-Kommission eingeschätzt, dass die USA in Sachen Datenschutz ein sicherer Hafen seien.
Mit der Entscheidung des EuGH war der Datentransfer jedoch nicht automatisch illegal. Die für Facebook zuständige irische Datenschutzbehörde musste neu prüfen.
Warum jetzt ein zweites Verfahren vor dem EuGH?
Ende 2015 teilte die irische Datenschutzbehörde Schrems dann mit, Facebook habe die Übermittlung der Daten in die USA von Anfang an nicht auf Basis des - mittlerweile ungültigen - "Safe Harbor"-Abkommens vorgenommen, sondern auf Grundlage sogenannter Standardvertragsklauseln. Damit garantieren Unternehmen die Einhaltung ausreichender Datenschutzstandards auch in Staaten ohne angemessenes Datenschutzniveau.
Die Klauseln an sich greift Schrems nicht an. Er findet aber, dass die irische Datenschutzbehörde die Datenströme kappen müsse, weil Facebook in den USA nach dortigen Gesetzen gezwungen werden könnte, personenbezogene Daten der NSA und dem FBI zugänglich zu machen. Datenschutz-Garantie hin oder her.
Was hat es mit dem "Privacy Shield" auf sich?
Nachdem der EuGH das "Safe Harbor"-Abkommen gekippt hatte, verhandelten die EU-Kommission und die US-Regierung neu, um die Lücke für Datenübermittlungen in die USA zu schließen. So entstand der "Privacy Shield": eine Art verpflichtendes Gütesiegel für Unternehmen, die auf beiden Seiten des Atlantiks aktiv sind.
Die EU-Kommission hatte festgestellt, dass es keinen Konflikt zwischen den Grundrechten der EU-Bürger und den US-Gesetzen gebe. Wenn Unternehmen Daten auf Grundlage des "Privacy Shield" versenden wollen, müssen sie garantieren, die Mindeststandards des europäischen Datenschutzes einzuhalten. Schrems wirft der EU-Kommission vor, dass sie die US-Überwachungsgesetze völlig falsch einschätze.
Worüber wird nun entschieden?
Der EuGH entscheidet nun über zwei Kanäle für den Datentransfer und eine große Frage: Werden die personenbezogenen Daten von EU-Bürgern in den Vereinigten Staaten ausreichend geschützt?
Beim EuGH steht die Übermittlung personenbezogener Daten von EU-Bürgern in die USA insgesamt auf dem Prüfstand - egal, ob sie auf Grundlage der Standardvertragsklauseln erfolgt oder über den "Privacy Shield". Das Urteil hat Auswirkungen weit über Facebook hinaus. Es betrifft auch andere Unternehmen, die Personendaten von EU-Bürgern über den Atlantik schicken wollen, um sie dort zu verarbeiten.