fbpx

Datenübertragung an Facebook entspricht Rechtsgrundlagen

In einem Rechtsstreit vor dem Europäischen Gerichtshof (EuGH) zwischen dem österreichischen Datenschutzaktivisten Max Schrems und Facebook Inc. hat der zuständige Generalanwalt befunden, dass die gesetzliche Grundlage, auf derer Facebook Daten europäischer Nutzer an die USA übermittelt, gültig ist. Rechtlich bindend ist diese Einschätzung nicht, ein endgültiges Urteil wird erst später erwartet.

In dem Verfahren (C-311/18) geht es darum, ob und wie das Online-Netzwerk personenbezogene Daten in die USA, dem Facebook-Hauptsitz, übermitteln darf. Generalanwalt Henrik Saugmandsgaard Öe erklärte in seinem am Donnerstag veröffentlichten Schlussantrag, dass der EU-Beschluss über die sogenannten Standardvertragsklauseln (SSC), auf Basis derer die Datenübermittlung stattfindet, gesetzeskonform ist.

Gleichzeitig wies der Generalanwalt darauf hin, dass es eine Ausnahmeregelung für die Standardvertragsklauseln gebe, die dazu verpflichte, den Datenfluss auszusetzen, wenn die Klauseln mit rechtlichen Verpflichtungen im Drittstaat in Konflikt stehen. Damit liegt der Ball nun wieder bei Irland, wo Facebook seinen europäischen Sitz hat, bzw. bei der Irischen Datenschutzbehörde (DPC). Sie wird entscheiden müssen, ob aus ihrer Sicht Daten europäischer Nutzer in den USA ausreichend geschützt sind.

Aus Schrems‘ Sicht ist das freilich nicht der Fall. Er hatte Facebook Irland geklagt und gefordert, die automatische personenbezogene Datenübermittlung in die USA zu untersagen. Facebook fällt laut Schrems in den USA unter ein spezifisches Überwachungsgesetz (FISA) und ist somit verpflichtet, die auf Grundlage der Standardvertragsklauseln übermittelten Daten US-Behörden wie der NSA und dem FBI zugänglich zu machen. Die Betroffenen in Europa haben dabei aber keine Möglichkeit, dagegen gerichtlich vorzugehen – weshalb Schrems klagte.

Die Beschwerde brachte der Datenschutzaktivist bereits 2013 ein – nach Bekanntwerden der Massenüberwachung in den USA, die der frühere NSA-Mitarbeiter Edward Snowden an die Öffentlichkeit brachte. Inzwischen landete der Fall bereits zwei mal vor dem EuGH und zwei Mal vor dem irischen High Court. Schrems ortet diesbezüglich eine „Verzögerungstaktik“ seitens Irlands, wie er gegenüber der APA erklärte.

Die Irische Datenschutzbehörde wandte sich ihrerseits an den irischen High Court. Da der High Court die Gültigkeit der gesamten Standardvertragsklauseln – ein EU-Rechtsakt – anzweifelte, wurde der EuGH zuständig.

Die Rechtsansicht des Generalanwaltes entspreche großteils auch seiner Rechtsansicht und sei eine „schallende Ohrfeige für die irische Datenschutzbehörde und für Facebook“, betonte Schrems in einer ersten Stellungnahme. Besonders erfreut zeigte er sich über das erwähnte „Notfallventil“, das das Aussetzen der Datenübermittlung erlaubt bzw. sogar dazu verpflichtet.

In seiner Stellungnahme vom Donnerstag meldet der Generalanwalt auch Bedenken bezüglich des 2016 beschlossenen Datenaustauschabkommen „Privacy Shield“ zwischen der EU und den USA an, räumte jedoch ein, dass diese Frage nur indirekt Thema des gegenständlichen Rechtsstreits sei. „Privacy Shield“ (Datenschutzschild) wurde ausverhandelt, nachdem sein Vorgängerabkommen 2015 „Safe Harbor“ – ebenfalls nach einer erfolgreichen Klage von Schrems – gekippt worden war.

Der EuGH bestätigte damals die Ansicht von Schrems und entschied, dass die Massenüberwachung die europäischen Grundrechte verletzt und das „Safe Harbor“-System, das den Datentransfer zwischen der EU und den USA ermöglichte, wurde für ungültig erklärt. Auch „Privacy Shield“ entspricht nach Schrems‘ Ansicht nicht den europäischen Datenschutzanforderungen. Schrems wartet nun darauf, ob der EuGH in seinem Urteil eventuell doch noch auch den Datenschutzschild überprüft.

Die Schlussanträge des Generalanwalts sind für den Gerichtshof nicht bindend. In der Vergangenheit folgten ihm die EU-Richter mehrheitlich – allerdings nicht immer, wie etwa bei der deutschen Pkw-Maut. Schrems glaubt, dass das endgültige Urteil „durchaus günstiger für den Datenschutz sein könnte als das Gutachten“, wie er noch vor Veröffentlichung der EuGH-Stellungnahme gegenüber der APA erklärte.

Facebook betonte die Wichtigkeit der Standardvertragsklauseln und begrüßte die Stellungnahme des EuGH-Generalanwaltes.