EuGH: Schrems vs. Facebook

In der mündlichen Verhandlung vor dem Europäischen Gerichtshof (EuGH) ging es am 9. Juli 2019 um verschiedene Fragen, die der Irische High Court dem EuGH zur Vorabentscheidung vorgelegt hat. Hintergrund des Verfahrens [Az.: C-311/18] ist eine Beschwerde des österreichischen Datenschutzaktivisten Max Schrems, der die Übermittlung seiner personenbezogenen Daten in die USA durch Facebook für unzulässig hält und deshalb Beschwerde bei der irischen Datenschutzbehörde eingelegt hat, welche für Facebook mit EU-Hauptsitz in Dublin zuständig ist.

Zum Hintergrund:

Der Transfer personenbezogener Daten in ein Drittland außerhalb der EU für wirtschaftliche Zwecke ist u.a. nur dann zulässig, wenn das EU-Recht dafür eine Rechtsgrundlage vorsieht. Facebook hatte sich ursprünglich auf den "Safe-Harbour"-Entscheidung der EU-Kommission berufen, die eine Datenübermittlung in die USA unter bestimmten Bedingungen erlaubte. Diese Entscheidung wurde vom EuGH jedoch im Oktober 2015 für ungültig erklärt. Seitdem stützt Facebook seinen Datentransfer auf sogenannte EU-Standardvertragsklauseln. Bei diesen handelt es sich um harmonisierte und von der Kommission zur allgemeinen Nutzung freigegebene Musterverträge, die nach Ansicht der Kommission bei einem Datentransfer in ein Drittland ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen bieten.

Zur Bedeutung der Entscheidung des EuGH:

Genau diese Standardvertragsklauseln stehen im aktuellen Verfahren auf dem Prüfstand. Aber es geht um viel mehr: letztlich könnte das Fundament aller wesentlichen Rechtsgrundlagen für eine Vielzahl von Datentransfer in die USA bröckeln. Dazu gehören auch sogenannte "Binding Corporate Rules" sowie der sogenannte "EU- U.S. Privacy Shield", auf den Facebook seine Datentransfers offenbar ebenfalls stützt. Dieser Datenschutzschild wurde 2016 infolge der Ungültigerklärung von "Safe Harbour" nach langen Verhandlungen mit den USA von der EU-Kommission offiziell beschlossen [Beschluss (EU) 2016/1250]. US-Unternehmen, die sich im Wege der Selbstzertifizierung freiwillig an die Grundsätze des "Privacy Shield" binden, dürfen seither personenbezogene Daten von EU-Bürgern zu kommerziellen Zwecken empfangen, speichern und verarbeiten. Denn die Kommission attestiert mit ihrem Beschluss in rechtlicher Hinsicht, dass diese Daten dann im Wesentlichen in den USA gleichwertig wie in der EU geschützt sind.

Dies wird seit Jahren von Datenschutzexperten und auch vom cep kritisiert. Auch nach einigen in der Zwischenzeit erfolgten kleineren Anpassungen des Privacy Shield bleibt die vom cep in einer Studie geäußerte Kritik am "Privacy Shield" aus cep-Sicht in weiten Teilen bestehen. Zwar wurde für Datentransfers unter dem "Privacy Shield" speziell ein sogenannter "Ombudsperson-Rechtsbehelf" geschaffen. U.a. können bei dieser Ombudsperson Beschwerden gegen den Datenzugriff durch US-Nachrichtendienste und andere staatliche Behörden eingelegt werden. Dieser Rechtsbehelf kann seither auch bei Datentransfers auf der Basis von Standardvertragsklauseln und "Binding Corporate Rules" genutzt werden. Aus Sicht des cep erfüllt der Ombudsmann-Rechtsbehelf jedoch nicht die Anforderungen des EuGH an einen "gerichtlichen Rechtsschutz" i.S.v. Art. 47 der EU-Grundrechtecharta. So ist die "Ombudsperson" z.B. nicht vollkommen unabhängig, hat unzureichende Befugnisse und fällt intransparente Entscheidungen.

Ob der EuGH dies ebenso sieht, gehört zu den zentralen Fragen, die der Gerichtshof in diesem Verfahren zu beantworten hat - neben der sehr wesentlichen Frage, inwieweit das EU-Datenschutzrecht und die EU-Grundrechtecharta auf den vorliegenden Fall überhaupt anwendbar sind, weil die es maßgeblich um Datenverarbeitungen geht, die nationale Interessen wie die öffentliche Sicherheit und Landesverteidigung betreffen. Bejaht der Gerichtshof dies, und hält er den Ombudsmann-Rechtsbehelf nicht für ausreichend, dürfte dies auch Auswirkungen auf die Rechtmäßigkeit von Datentransfers auf der Basis des "Privacy Shield" und der "Binding Corporate Rules" haben und damit den transatlantischen Datentransfer schlechthin in eine Krise stürzen - zumindest insoweit, als dieser Datentransfer der Massenüberwachung durch US-Behörden unterliegt, wie es im Bereich der elektronischen Kommunikationsdienste der Fall ist.

Laut Twitter-Informationen der Politico-Reporterin Laura Kayali appellierten während der Verhandlung die Beklagten Facebook und Max Schrems selbst ebenso wie die Kommission, die USA und auch die Mitgliedstaaten, welche sich im Verfahren ebenfalls äußern durften, an den EuGH, die Standardvertragsklauseln nicht für ungültig zu erklären. Vielmehr sei es Befugnis und Pflicht der irischen Datenschutzbehörde, den Transfer im konkreten Fall zu untersagen. Dagegen vertritt die irische Datenschutzbehörde - Klägerin im vorliegenden Fall - die gegenteilige Auffassung: sie geht davon aus, dass die Standardvertragsklauseln ihr im konkreten Fall keine hinreichende Befugnis gäben, die Datentransfers zu untersagen, und deshalb ungültig seien. Darüber hinaus fordert Max Schrems den Gerichtshof auf, den "Privacy Shield" für ungültig zu erklären.

Die Verhandlung dauerte mehrere Stunden. Der zuständige Generalanwalt wird am 12. Dezember 2019 in der genannten Rechtssache seine Schlussanträge verkünden.

Siehe bereits cepAktuell vom 16.04.2018: