Fragen und Antworten zum EuGH-Verfahren Facebook und der "sichere Hafen"
Verstößt es gegen EU-Recht, wenn Facebook Daten europäischer User in den USA speichert? Was hat das mit dem Prinzip des "sicheren Hafens" zu tun? Der EuGH entscheidet heute über die Klage eines österreichischen Studenten. tagesschau.de erklärt die Hintergründe.
Wie läuft die Datenspeicherung bei Facebook ab?
Wer als EU-Bürger das soziale Netzwerk Facebook nutzen möchte, schließt einen Vertrag mit einer europäischen Tochter des US-Konzerns, mit der "Facebook Ireland Ltd.". Die Wahl des europäischen Sitzes in Irland dürfte für Facebook vor allem steuerliche Gründe haben. Die persönlichen Daten der Nutzer werden dann zunächst bei Facebook in Irland gespeichert. Von dort werden die Daten in die USA exportiert und auf US-Servern gespeichert. Dieser Datentransfer aus der EU in die USA ist Kern und wichtigster Streitpunkt des aktuellen Gerichtsverfahrens.
Was ist die rechtliche Grundlage für einen Transfer persönlicher Daten von der EU in die USA?
Die EU-Datenschutzrichtlinie fordert, dass die Mitgliedsstaaten einen Transfer persönlicher Daten außerhalb der EU nur dann erlauben, wenn dort ein vergleichbares rechtliches Niveau in Sachen Datenschutz herrscht ("angemessenes Schutzniveau", Artikel 25 Absatz 1 der Richtlinie). Gleichzeitig bietet die EU-Richtlinie die Möglichkeit, dass die EU-Kommission pauschal und EU-weit gültig feststellt, dass in einem bestimmten Staat ein "angemessenes Schutzniveau" für dorthin übermittelte Daten herrscht (Artikel 25 Absatz 6 der Richtlinie).
Um einen Datentransfer in die USA zu ermöglichen, hat die EU-Kommission im Jahr 2000 die sogenannte Entscheidung "Safe Harbour" (sicherer Hafen) getroffen, die in diesem Gerichtsverfahren eine zentrale Rolle spielt. US-Unternehmen können sich den sogenannten "Safe Harbour Principles" unterwerfen und auf einer Liste des US-Handelsministeriums eintragen lassen. 2000 hat die EU anerkannt, dass alle Teilnehmer von "Safe Harbour" das erforderliche Niveau an Datenschutz garantieren und daher ein Datentransfer möglich ist. Zahlreiche große US-Unternehmen haben diesen Weg gewählt, zum Beispiel Microsoft, IBM, Google, Dropbox, und eben Facebook. Mehr als 4000 US-Unternehmen profitieren derzeit von "Safe Harbour".
Warum steht die "Safe Harbour"-Entscheidung der EU-Kommission in der Kritik?
Kritiker wie der Kläger im konkreten Verfahren argumentieren: Die Situation beim Datentransfer in die USA habe sich seit den Enthüllungen von Edward Snowden über den Geheimdienst NSA und dessen Programme wie PRISM fundamental geändert. Von einem "sicheren Hafen" für europäische Daten in den USA könne keine Rede mehr sein. Zahlreiche Datenschützer in Deutschland haben sich inzwischen kritisch geäußert. EU-Kommissarin Viviane Reding hatte im Sommer 2013 eine Überprüfung der "Safe Harbour"-Entscheidung angekündigt. Derzeit sind diese Fragen auch ein Thema bei den Verhandlungen zur neuen EU-Datenschutzverordnung.
Wer hat das Gerichtsverfahren ins Rollen gebracht?
Initiator des Verfahrens ist der österreichische Jurist Max Schrems. Er hatte schon vor einigen Jahren Schlagzeilen damit gemacht, dass er bei Facebook die von ihm gesammelten Daten anforderte. Ausgedruckt waren das am Ende rund 1200 Seiten, ein immenser Stapel Papier. Darüber hinaus stört ihn seit langem der Datentransfer in die USA.
Wie ist das Verfahren an den EuGH gekommen?
Max Schrems versuchte sein Glück am Europa-Sitz von Facebook und wandte sich an den irischen Beauftragten für Datenschutz. Schrems machte u.a. geltend, seine persönlichen Daten seien in den USA nicht vor Überwachung geschützt. Der Datenschutzbeauftragte solle das doch prüfen und einschreiten.
Doch dieser lehnte die Beschwerde von Schrems ab. Als Datenschutzbeauftragter könne er in diesem Fall gar nicht in eine inhaltliche Prüfung einsteigen. Er sei an die "Safe Harbour"-Entscheidung der EU-Kommission aus dem Jahr 2000 gebunden. Die Snowden-Enthüllungen hätten an der Sachlage nichts geändert. Gegen diesen ablehnenden Bescheid erhob Schrems Klage beim irischen High Court.
Der Vorwurf an den Datenschutzbeauftragen lautet also, vereinfacht gesagt: Der tut nichts und kommt seiner Aufgabe nicht nach. Weil es um europäisches Datenschutzrecht geht, legte das irische Gericht den Fall dem Europäischen Gerichtshof in Luxemburg vor. Das irische Gericht möchte wissen: Ist ein unabhängiger Datenschutzbeauftragter so streng an die "Safe Harbour"-Entscheidung von 2000 gebunden, dass er gar keine eigene Prüfung vornehmen und neuere Entwicklungen berücksichtigen kann?
Was ist der rechtliche Kern des Verfahrens?
Der Weg bis nach Luxemburg klingt durchaus kompliziert und ein wenig nach "Klein-Klein". Hinter dem Rechtsstreit stehen aber wichtige Grundsatzfragen zum europäischen Datenschutz. Wie stark schauen die EU-Staaten bzw. die EU selbst global agierenden Konzernen in Sachen Datenschutz auf die Finger? Kann man das Grundrecht auf Datenschutz aus der EU-Grundrechtecharta in der Praxis wirklich durchsetzen?
Kläger Schrems hat im Übrigen eine ganze Reihe von Beschwerden beim Datenschutzbeauftragten eingereicht, die komplett abgelehnt wurden. Eine Stellungnahme von Facebook war im Vorfeld des EuGH-Verfahrens nicht zu bekommen.
Was steht in den "Schlussanträgen" des EuGH-Generalanwaltes?
Der Generalanwalt hat die Rolle eines unabhängigen Gutachters, der dem Gericht einige Monate nach der mündlichen Verhandlung seine Auffassung in den sogenannten "Schlussanträgen" mitteilt. Und die haben es durchaus in sich. Die EU-Kommission könne mit einer Entscheidung wie "Safe Harbour" (also, dass die USA ein angemessenes Datenschutzniveau bieten) nicht einfach die Kontrollbefugnisse der nationalen Datenschutzbehörden einschränken. Das würde ihre Unabhängigkeit beeinträchtigen, die das europäische Recht ausdrücklich vorsieht.
Aus Sicht des Generalanwaltes hat es sich der irische Datenschutzbeauftragte also zu einfach gemacht, wenn er sagt: Ich steige erst gar nicht in die Prüfung ein, ob der Datentransfer in die USA rechtlich problematisch ist und ich ihn vielleicht stoppen muss. Die Mitgliedsstaaten müssten die Möglichkeit haben, die Grundrechte ihrer Bürger zu schützen.
Äußert sich der Generalanwalt auch zum Niveau des Datenschutzes in den USA?
Ja. Das sind die spannendsten Passagen der Schlussanträge. Der Generalanwalt stellt fest: Die "Safe-Harbour"-Entscheidung der EU-Kommission ist aus seiner Sicht "ungültig". Die USA würden kein angemessenes Datenschutzniveau mehr garantieren. Mit anderen Worten: Sie seinen kein "sicherer Hafen". Das US-Recht gestatte es, die persönlichen Daten von EU-Bürgern zu speichern, ohne dass diese über wirksamen Rechtsschutz dagegen verfügen.
Vor allem argumentiert der Generalanwalt mit den aktuellen Erkenntnissen der letzten Jahre rund um die US-Geheimdienste. Der Zugang zu den Daten durch die US-Geheimdienste sei ein Eingriff in die Grundrechte auf Privatleben und Datenschutz. Die Überwachung sei massiv, nicht zielgerichtet und umfasse auch die Inhalte der Kommunikation, ohne jede Differenzierung.
Für den Generalanwalt ist klar: Die EU-Kommission hätte die Anwendung von "Safe Harbour" nach den neuen Erkenntnissen in Sachen NSA aussetzen müssen. Es reiche nicht aus, dass die EU-Kommission neue Verhandlungen mit den USA aufgenommen habe, mit dem Ziel, mögliche Verstöße gegen den Datenschutz abzustellen. Sollte der EuGH "Safe-Harbour" ebenfalls für ungültig halten, wäre die rechtliche Basis über den Haufen geworfen. Wichtige Fragen wären dann: Kann man "Safe-Harbour" überarbeiten? Gibt es noch andere Rechtsgrundlagen für einen Datentransfer? Die genauen Konsequenzen würden aber vom Inhalt des Urteils und der Begründung des Gerichts abhängen.
Folgt der EuGH in der Regel den Schlussanträgen?
Das ist immer die schwierigste Frage nach den Schlussanträgen. In der Mehrzahl der Fälle folgt das Gericht diesen Anträgen, aber eben nicht immer. In der letzten Zeit gab es einige prominente Fälle, in denen das Urteil von den Schlussanträgen abwich. Zum Beispiel bei der Frage "Hartz-IV für EU-Bürger" oder auch der "Vorratsdatenspeicherung". Der schnelle Urteilstermin nach den Schlussanträgen am 23. September muss ebenfalls nichts heißen. Es könnte auch gut sein, dass dieser mit der baldigen Pensionierung von EuGH-Präsident Vasilios Skouris zusammenhängt.
Allerdings: In der mündlichen Verhandlung haben die EU-Richter - darunter der deutsche Richter Thomas von Danwitz - vor allem den Vertreter der EU-Kommission ganz schön in die Mangel genommen, ob die Kommission denn wirklich das "angemessene Schutzniveau" in den USA ausreichend geprüft habe.
Wie hat der EuGH bislang in Sachen Datenschutz geurteilt?
In den letzten Jahren hat der EuGH immer wieder wichtige Urteile zum Datenschutz gefällt. Zum Beispiel hat er in Sachen Google ein "Recht auf Vergessenwerden" etabliert, mit einem Löschanspruch für bestimmte Suchergebnisse. In diesem Urteil weist der Gerichtshof auch darauf hin, dass für eine Tochterfirma eines Konzerns in Europa (dort Google Spain) die Datenschutzrichtlinie der EU anwendbar ist.
Denkwürdig war auch das Urteil zur Vorratsdatenspeicherung, in dem der Gerichtshof die EU-Richtlinie in dieser Form als Verstoß gegen das Recht auf Datenschutz ansah. Der Gerichtshof monierte zum Beispiel auch, dass keine Speicherung der Verbindungsdaten im Gebiet der EU vorgeschrieben sei. Die Überwachung der Datensicherheit durch eine unabhängige Stelle sei damit nicht gewährleistet.
Was sagen die USA zum Gerichtsverfahren?
Die US-Botschaft bei der EU hat in einem Statement geäußert, dass der Generalanwalt die Rechtslage zum Datenschutz in den USA völlig falsch einschätzt. Die Bedeutung des Verfahrens gehe zudem weit über diesen Fall hinaus. Wenn sich die Meinung des Generalanwaltes durchsetze, könnten sich andere Staaten und Firmen nicht mehr auf Entscheidungen verlassen, die mit der EU-Kommission verhandelt worden seien. Auch die EU-Kommission dürfte das Urteil mit einer gewissen Nervosität erwarten. Für den Nachmittag ist jedenfalls schon mal ein Pressestatement angekündigt.