EuGH prüft Datentransfer Neuer Ärger für Facebook
Seit Jahren kämpft der österreichische Datenschutzaktivist Max Schrems gegen Facebook. Nun soll der EuGH entscheiden: Darf Facebook aus Europa Daten in die USA schicken?
Worum geht es in dem Fall?
Wer als EU-Bürger Facebook nutzt, schließt einen Vertrag mit der europäischen Tochter des US-Konzerns Facebook Ireland Ltd. Die persönlichen Daten der Nutzer werden dann zunächst bei Facebook in Irland gespeichert. Von dort werden sie in die USA exportiert und auf US-Servern gespeichert. Diesen Datentransfer will der österreichische Jurist Max Schrems verhindern. Er fürchtet, dass seine Daten in den USA nicht sicher sind. Die Enthüllungen des Whistleblowers Edward Snowden über den US-Geheimdienst NSA hätten gezeigt, dass in den Vereinigten Staaten ein weit niedrigeres Datenschutzniveau herrsche als in der Europäischen Union.
Was wurde in der Sache schon entschieden?
Max Schrems ist am Europäischen Gerichtshof (EuGH) kein Unbekannter. Er erreichte 2015, dass der Luxemburger Gerichtshof das sogenannte Safe-Harbor-Abkommen (sicherer Hafen) der EU-Kommission kippte. Damit hatte die EU zuvor anerkannt, dass US-Unternehmen, die sich den Safe-Harbor-Principles unterwarfen, ausreichend Datenschutz garantieren. Diese Unternehmen durften dann Daten aus der EU in die USA schicken. Mehr als 4000 US-Unternehmen hatten von diesem Datentransfer profitiert - darunter Microsoft, IBM, Google, Dropbox und eben auch Facebook.
Wurde der Datentransfer in die USA mit diesem ersten Urteil illegal?
Nein. Die Richter sagten nicht, dass die USA in Sachen Datenschutz kein sicherer Hafen seien. Aber: Für einen Datentransfer müsse der Datenschutz in den USA gleichwertig mit dem in der EU sein. Die EU-Kommission habe aber das Datenschutzniveau in den Vereinigten Staaten gar nicht ordentlich geprüft. Und so spielte der EuGH den Ball ins Feld der nationalen Datenschutzbeauftragten zurück: Diese müssten "mit aller gebotenen Sorgfalt" und anhand genauer Kriterien prüfen, ob die übermittelten Daten in den USA ausreichend geschützt werden. Im Fall von Facebook zum Beispiel die irische Datenschutzbehörde.
Warum gibt es ein neues Verfahren vor dem EuGH?
Ende 2015 teilte die irische Datenschutzbehörde Schrems dann mit, Facebook habe die Übermittlung der Daten in die USA von Anfang an nicht auf Grundlage des - mittlerweile ungültigen - Safe-Harbor-Abkommens vorgenommen, sondern auf Grundlage sogenannter Standardvertragsklauseln. Das sind von der EU-Kommission abgesegnete Formulierungen, mit denen Unternehmen die Einhaltung ausreichender Datenschutzstandards garantieren können.
Aufgrund dieser Garantien genehmigen die Datenschutzbehörden dann oft Datenübertragungen auch in Staaten ohne angemessenes Datenschutzniveau. Das greift Schrems nicht an. Er findet aber, dass die Datenschutzbehörden die Datenströme kappen müssen, wenn Unternehmen gegen ihre Garantien verstoßen: Facebook könne viel garantieren. Nach den US-Gesetzen müsse das Unternehmen die Daten aber - wenn gefordert - der NSA und dem FBI zugänglich machen, Garantie hin oder her. Die irische Datenschutzbehörde wollte die Sache gerichtlich klären lassen. Der High Court legte sie dem EuGH vor.
Was hat es mit dem Privacy Shield auf sich?
In der Verhandlung am EuGH soll es auch um den sogenannten Privacy Shield gehen. Seit Juli 2016 ist dieser EU-US-Datenschutzschild in Kraft. Er ist eine Art verpflichtendes Gütesiegel für Unternehmen, die auf beiden Seiten des Atlantiks aktiv sind. Die Unternehmen versprechen, die Mindeststandards des europäischen Datenschutzes einzuhalten - auch dann, wenn die Daten in die USA geschickt werden.
Europäische Nutzer können Auskunft verlangen, wohin ihre Daten gelangen und was mit ihnen passiert. Allerdings: Die USA dürfen im Dienste der nationalen Sicherheit weiterhin massenhaft Daten sammeln. Im Vergleich zum Safe-Harbor-Abkommen haben EU-Bürger also mehr Auskunftsrechte. Das Problem, dass US-Unternehmen die Daten im Zweifel an die amerikanischen Geheimdienste weitergeben müssen, bleibt aber bestehen. Der EuGH muss nun klären, ob mit dem Privacy-Shield-Beschluss ausgesagt wird, dass die USA ein angemessenes Datenschutzniveau bieten. Falls ja, könnte der Datentransfer auch auf dieser Grundlage zulässig sein.