Entscheidung des EuGH Das Facebook-Urteil und was es bedeutet
Facebook schickt Daten von Nutzern aus der EU in die USA. Diesen Datentransfer hat der Europäische Gerichtshof jetzt quasi unmöglich gemacht - zum Schutz der europäischen Grundrechte.
Wie lautet die Entscheidung aus Luxemburg?
Die USA bieten für personenbezogene Daten von EU-Bürgern keinen angemessenen Schutz. Das Abkommen "Privacy Shield", das den Datentransfer in die USA bislang erlaubt, hat der Europäische Gerichtshof (EuGH) für ungültig erklärt. Unternehmen dürfen Personendaten von Europäern nur noch in Länder außerhalb der EU senden, wenn dort das Datenschutzniveau verglichen mit Europa "der Sache nach gleichwertig" ist. Wenn sie das nicht garantieren können, müssen sie den Transfer stoppen.
Worum geht es in dem Fall?
Wer als EU-Bürger Facebook nutzt, schließt einen Vertrag mit der europäischen Tochter des US-Konzerns: der Facebook Ireland Ltd. Die personenbezogenen Daten der Nutzer werden dann zunächst bei Facebook in Irland gespeichert. Von dort werden sie in die USA exportiert und auf US-Servern gespeichert.
Diesen Datentransfer will der österreichische Jurist Max Schrems nicht hinnehmen. Er fürchtet, dass seine Daten in den USA nicht sicher sind. In den USA können Unternehmen nach den Gesetzen vor Ort gezwungen werden, personenbezogene Daten von Ausländern an die Sicherheitsbehörden und Geheimdienste herauszugeben. Die Enthüllungen des Whistleblowers Edward Snowden über den US-Geheimdienst NSA hätten gezeigt, dass in den Vereinigten Staaten ein weit niedrigeres Datenschutzniveau herrsche als in der EU.
Am Rande der Verhandlung beim EuGH hatte Schrems beschrieben, was ihn antreibt: "Wenn ich weiß, alles wird überwacht, dann sage ich vielleicht Dinge nicht, die ich mich sonst trauen würde, zu sagen. Und das ist relativ schädlich für eine Demokratie."
Wann ist Datentransfer generell zulässig?
Personenbezogene Daten von EU-Bürgern dürfen in Länder außerhalb der EU exportiert werden, wenn eine von zwei Bedingungen erfüllt ist. Möglichkeit eins: Die EU-Kommission stellt in einem Beschluss fest, dass dort angemessener Datenschutz gewährleistet ist. Oder Möglichkeit zwei: Das Unternehmen garantiert, dass bestimmte Datenschutzstandards eingehalten werden.
Auf welcher Grundlage überträgt Facebook Daten in die USA?
Bei der Übertragung von Daten in die USA nutzte Facebook bislang vorwiegend Möglichkeit zwei und verwendete sogenannte Standardvertragsklauseln. Das sind Formulierungen, die die EU-Kommission abgesegnet hat. Unternehmen garantieren damit vertraglich die Einhaltung ausreichender Datenschutzstandards, auch in Staaten ohne angemessenes Schutzniveau.
Diese Klauseln an sich hatte Schrems nicht angegriffen. Er findet aber, dass die irische Datenschutzbehörde, die innerhalb der EU für Facebook zuständig ist, die Datenströme trotzdem hätte kappen müssen. Denn Facebooks Garantien seien nicht viel wert, wenn das Unternehmen in den USA gezwungen werden könne, personenbezogene Daten der NSA und dem FBI zugänglich zu machen.
An den "Standardvertragsklauseln" selbst rüttelten auch die Richter nicht. Allerdings sagt der EuGH: Wenn Unternehmen personenbezogene Daten in Länder außerhalb der EU schicken wollen, müssen sie vorher genau prüfen, ob dort das erforderliche Schutzniveau eingehalten wird. Sie müssen das EU-Datenschutzniveau also nicht nur garantieren, es muss auch tatsächlich möglich sein, es einzuhalten. Wenn das nicht der Fall ist, müssen sie den Transfer stoppen. Die Datenschutzbehörden müssen das kontrollieren und gegebenenfalls eingreifen.
Was sagt der EuGH zum "Privacy Shield"?
Der "EU-US-Datenschutzschild", meist "Privacy Shield" genannt, war eine weitere Möglichkeit, um Daten in die Vereinigten Staaten zu transferieren. Er beruht auf einer Vereinbarung zwischen der EU-Kommission und den USA und ist eine Art verpflichtendes Datenschutz-Gütesiegel für Unternehmen, die auf beiden Seiten des Atlantiks aktiv sind.
Die EU-Kommission hatte darin festgestellt, dass es keinen Konflikt zwischen den Grundrechten der EU-Bürger und den US-Gesetzen gebe. Das sahen die Richter jetzt deutlich anders und erklärten den "Privacy Shield" für ungültig.
Wegen der Zugriffsmöglichkeiten der Behörden bestehe in den USA gerade kein gleichwertiger Schutz für die Daten von EU-Bürgern. Denn die US-Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt. Darüber hinaus bemängelten die Richter, dass es für EU-Bürger keinen ausreichenden Rechtsschutz gebe.
Gilt das Urteil nur für Facebook?
Ganz klar: Nein. Die Entscheidung betrifft die Übertragung personenbezogener Daten ins EU-Ausland allgemein - zumindest wenn Nutzer nicht eingewilligt haben. Die Entscheidung gilt also für viele große Unternehmen. Nicht berührt sind allerdings Situationen, in denen persönliche Daten notwendigerweise übertragen werden müssen. Etwa wenn man als EU-Bürger eine E-Mail in die USA schreibt oder dort einen Flug bucht.