Im Kern des Rechtsstreits Schrems vs. Facebook geht es darum, dass Facebook die Daten europäischer Nutzer und Nutzerinnen in die USA übermittelt, wo sie US-Gesetzen zur Überwachung durch Geheimdienste unterliegen. Nach den Enthüllungen des Whistleblowers Edward Snowden legte Schrems im Jahr 2013 seine erste Beschwerde gegen diese Praxis ein, mittlerweile wehrt er sich seit sechs Jahren auf dem Rechtsweg gegen den Facebook-Konzern. Entsprechend verworren ist die Causa bereits.
In der Empfehlung von Donnerstag ging es um die Rechtsgrundlage, auf deren Basis Facebook Irland derzeit die Daten europäischer Nutzerinnen und Nutzer an Facebook Inc. in Kalifornien überträgt: Facebook beruft sich dabei auf die EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten. Dabei handelt es sich um einen Vertrag, der zwischen EU-Unternehmen und Firmen aus Drittstaaten geschlossen wird und sicherstellen soll, dass der europäische Datenschutz in den Drittstaaten respektiert wird.
Schrems: Schutz bei Datenexport in USA nicht möglich
Schrems beanstandete diese Praxis 2015 bei der Datenschutzbehörde in Irland und forderte diese dazu auf, die Übermittlung seiner persönlichen Daten auszusetzen. Seine Begründung: Ein Datenexport auf Basis der Standardvertragsklauseln sei nur dann legal, wenn das exportierende Unternehmen – im konkreten Fall Facebook Irland – einen „angemessenen Schutz“ der Daten im Ausland sicherstellen kann. Das sei in den USA aufgrund der Gesetze zur Überwachung nicht der Fall, so der Jurist.
Denn Facebook fällt wie etwa Google und Microsoft laut Schrems in den USA unter ein spezifisches Überwachungsgesetz (FISA) und ist somit verpflichtet, die übermittelten Daten auf Grundlage dieses Gesetzes US-Behörden wie der NSA und dem FBI zugänglich zu machen. Die Betroffenen in Europa haben aber keine Möglichkeit, dagegen gerichtlich vorzugehen.
Schrems sieht einen grundlegenden Konflikt zwischen den Rechtslagen in den USA und der EU: „Einfach ausgedrückt: Europäisches Recht verlangt Datenschutz, während das US-Recht eine Massenüberwachung verlangt. Die Frage ist, was passiert, wenn ein EU-Unternehmen wie Facebook Irland dem US- statt dem EU-Recht folgt?“, so Schrems.
Ausnahmeklausel als Knackpunkt
Dabei gibt es allerdings einen Knackpunkt: Laut Schrems kann die irische Datenschutzbehörde über eine Ausnahmeklausel eine individuelle Entscheidung zu Facebooks Datentransfers erzwingen. Damit könnte die irische Datenschutzbehörde die Datentransfers von heute auf morgen beenden. Deswegen hält er die Standardvertragsklauseln auch nicht per se für ungültig.
Die irische Datenbehörde sah bei sich selbst allerdings keine Handhabe. Sie sprach sich generell dafür aus, dass die Standardvertragsklauseln für ungültig erklärt werden. Schrems sieht in diesem Schritt Irlands eine Art Verzögerungstaktik. Die Datenschutzbehörde schickte den Fall wieder zum EuGH, indem sie Klage gegen Schrems und Facebook beim irischen Höchstgericht einbrachte. Dieses wiederum richtete elf Fragen an den EuGH, die der Generalanwalt Saugmandsgaard Oe nun beantwortete.
Generalanwalt sieht Pflicht bei Datenschutzbehörden
Der Generalanwalt stellte dabei fest, dass ein Abschaffen der Standardvertragsklauseln nicht angemessen sei. Das EU-Recht dazu sei anwendbar, auch wenn gewerblich übermittelte Daten durch Behörden im Zielland für Zwecke der nationalen Sicherheit verarbeitet werden können. Allerdings wies er die irische Datenschutzbehörde auch auf die Ausnahmeklausel hin, die es Datenschutzbehörden erlaubt, einen Datenfluss auszusetzen, wenn ein Problem mit US-Recht vorliegt.
Die Stellungnahme mache laut Schrems deutlich, dass die Datenschutzbehörde „die Lösung für diesen Fall in ihren eigenen Händen hat: Sie kann Facebook anweisen, die Übertragungen morgen zu stoppen. Stattdessen wandte sie sich an den EuGH, um das gesamte System für nichtig zu erklären. Es ist wie ein Ruf nach der europäischen Feuerwehr, weil man nicht in der Lage ist, eine Kerze auszublasen.“
Weiters äußerte sich der Generalanwalt kritisch zu dem USA-EU-Datentransferabkommen „Privacy Shield“, dem Nachfolger des 2000 geschlossenen Abkommens „Safe Harbour“. Dieses war 2015 nach einer Klage von Schrems vom EuGH gekippt worden. Der EuGH erklärte damals, dass die US-Massenüberwachung das europäische Grundrecht auf Achtung des Privatlebens verletze. Zahlreiche Expertinnen und Experten glauben, dass auch „Privacy Shield“ vom EuGH gekippt werden könnte.
„Schallende Ohrfeige für Datenschutzbehörde“
Schrems und der von ihm gegründete Verein Noyb zeigten sich am Donnerstag zufrieden. Das Gutachten folge „in fast allen Teilen unseren Argumenten“. Es sei „eine schallende Ohrfeige für die irische Datenschutzbehörde und für Facebook – und ein wichtiges Zeichen für den Schutz der Privatsphäre von Nutzern“.
Das endgültige Urteil wird erst in einigen Wochen erwartet. Die Schlussanträge des Generalanwalts sind für den Gerichtshof auch nicht bindend. Meistens folgt das Urteil des EuGH dem Generalanwalt – laut Schrems könnte das in seinem Fall aber anders sein. Es sei äußerst unwahrscheinlich, dass es auf die Fragen der irischen Datenschutzbehörde einfache und gleichlautende Antworten geben werde. Die Fragen der Richter zum US-Recht seien während der Anhörung zudem wesentlich kritischer gewesen als der Generalanwalt – das endgültige Urteil könnte also günstiger für den Datenschutz ausfallen als das Gutachten.