EuGH zu Facebook-Datentransfer in die USA
Darf Facebook Daten aus Europa in die USA senden? Seit nunmehr sechs Jahren kämpft der Österreicher Max Schrems gegen Facebook und um Beantwortung dieser enorm wichtigen Frage. Bereits 2015 schon wurde „Safe Harbor“ für Datenübermittlungen in die USA auf Schrems Initiative hin vom EuGH für ungültig erklärt. Am heutigen Donnerstag gibt es nun die Fortsetzung. Nachdem zuletzt im Juli 2019 vor dem Europäischen Gerichtshof (EuGH) über die Übermittlung personenbezogener Daten von Facebook Ireland in die USA mündlich verhandelt wurde, werden heute die Schlussanträge des EuGH-Generalanwalts in der Rechtssache C-311/18 erwartet.
Der Kölner Datenschutzexperte Rechtsanwalt Christian Solmecke: “Das Verfahren bietet alles, um ein spektakuläres Ende zu finden. Gut möglich, dass ein Urteil einen Großteil des Datentransfers in Drittstaaten wie die USA zum Erliegen bringen könnte. Uns erwartet nach der Safe Harbor-Entscheidung eine weitere richtungsweisende Entscheidung des EuGH.“
Zum bisherigen Verfahrensgang
Nach den Snowden-Enthüllungen und dem NSA-Skandal im Jahr 2013 hatte der damalige Student Schrems die Übermittlung seiner personenbezogenen Daten durch Facebook in die USA bei der irischen Datenschutzaufsichtsbehörde angeprangert. Seiner Auffassung nach verletze ihn die Datenübermittlung in die USA in seinen Grundrechten. Die irische Behörde jedoch wies den Fall ab. Der EuGH kippte 2015 das Safe-Harbor Abkommen. Das Urteil war seinerzeit ein Paukenschlag. Damit konnten Übermittlungen personenbezogener Daten aus Europa an Unternehmen in den USA nicht mehr auf „Safe-Harbor“ gestützt werden.
Seit 2016 bildet nunmehr der Nachfolger, das EU-US Privacy Shield, die Grundlage für den Datenverkehr. Das EU-US Privacy Shield dient dazu, DSGVO-konform personenbezogene Daten europäischer Bürger an US-Unternehmen zu übermitteln. Allerdings handelt es sich dabei um einen Selbstzertifizierungsmechanismus. US-Unternehmen, die teilnehmen wollen, gehen vereinfacht gesagt die Selbstverpflichtung ein, dass sie bestimmte Datenschutz-Prinzipien befolgen und Betroffenen Rechte gewähren werden. So soll ein ausreichender Schutz für EU-Daten sichergestellt werden. Das EU-US Privacy Shield kann insofern als eine Art Gütesiegel für Unternehmen verstanden werden, welche sowohl in Europa als auch z.B. in den USA tätig sind. Unternehmen, die sich nicht dem Privacy Shield unterworfen haben, nutzen so genannte Standardvertragsklauseln, die von der EU herausgegeben worden sind, um Daten in die USA vermeintlich rechtswirksam zu übertragen. Gegen beide Rechtskonstrukte wendet sich Schrems in seinem aktuellen EuGH-Verfahren. Er befürchtet, dass die Daten der EU Bürger in den USA nicht sicher sind.
2018 hatte bereits der irische High Court daher dem EuGH im Wege eines Vorabentscheidungsverfahren eine ganze Reihe von Fragen zur Sicherheit der Daten von EU-Bürgern in den USA vorgelegt. Zu diesen wird nun am Donnerstag der EuGH-Generalanwalt Stellung beziehen. Die Schlussanträge sind auch deshalb mit Spannung zu erwarten, da sich der EuGH diesen regelmäßig anschließt und ihnen insofern erhebliches Gewicht zukommt.
Drittstaaten, insbesondere in die USA, grundlegend neu nachdenken müssen. Denn sollte der EuGH zu dem Ergebnis gelangen, dass derzeit weder das EU-US Privacy Shield noch die sog. Standardvertragsklauseln (Model Clauses) personenbezogene Daten aus der EU hinreichend schützen, bedarf es grundsätzlicher Änderung. Dem EU-US Privacy Shield könnte somit dasselbe Schicksal wie seinerzeit „Safe Harbor“ drohen. Schließlich leidet das Privacy Shield meiner Ansicht nach weiterhin an nahezu identischen Schwachstellen wie der bereits gekippte „Safe Harbor“. Entscheidet der EuGH, dass EU-Datenschutzrecht und US-Recht unvereinbar sind, dann muss er konsequenterweise sowohl das EU-US-Privacy Shield als auch die Model Clauses kippen und für ungültig erklären.
Unternehmen müssten dann einen Datentransfer in die USA entweder erneut auf eine andere Basis stellen oder es muss sogar – zumindest vorübergehend – ganz auf einen Datentransfer in die USA verzichtet werden. Da heute nahezu jedes Unternehmen Kundendaten in ein Drittland transferiert, wären diese Datentransfers auf einen Schlag rechtswidrig. Führt man sich vor Augen, dass gemäß Art. 83 DSGVO bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs drohen, hat der Ausgang des Verfahrens einen enormen Stellenwert.“