Vorbereitungsinformationen: EuGH verhandelt über EU-US Datenübermittlungen(Standarddatenschutzklauseln und Privacy Shield)

(WK-intern) – Aufgrund zahlreicher Anfragen fassen wir hier die wichtigsten Fakten des Falles vor dem Europäischen Gerichtshof (EuGH) zu Datenübermittlungen zwischen der EU und den USA und der Massenüberwachung durch die US-Regierung zusammen.

Der Fall wird morgen (9:00 Uhr, Dienstag, 9. Juli) vor der Großen Kammer des Gerichtshofs verhandelt.

Vorgeschichte des Falles

Im Mittelpunkt des Falles steht eine Beschwerde des Datenschutzrechtlers Max Schrems gegen Facebook im Jahr 2013 (Link zur Beschwerde). Vor mehr als sechs Jahren gab Edward Snowden bekannt, dass Facebook den US-Geheimdiensten unter Überwachungsprogrammen wie „PRISM“ (siehe Wikipedia) den Zugang zu personenbezogenen Daten von EuropäerInnen ermöglicht. Mit der Beschwerde soll die Datenübertragung zwischen der EU und den USA über Facebook eingestellt werden. Bislang hat der irische DPC keine konkreten Maßnahmen dazu ergriffen.

Erste Ablehnung und EuGH-Urteil zum Thema Safe Harbor

Der Fall wurde erstmals 2013 vom irischen Datenschutzbeauftragten (DPC) abgelehnt, dann einer gerichtlichen Überprüfung in Irland und schließlich einer Anrufung des Europäischen Gerichtshofs (EuGH) unterzogen. Der EuGH entschied 2015, dass das so genannte „Safe Harbor“-Abkommen, das Datenübermittlungen zwischen der EU und den USA erlaubte, ungültig sei (Link zum Urteil in C 362/14), und dass der irische DPC den Fall untersuchen müsse, was sie ursprünglich ablehnten.

Informationen über die Verwendung von “Standarddatenschutzklauseln”

Überraschenderweise teilte die (neue) irische Datenschutzbeauftrage Herrn Schrems Ende 2015 mit, dass sich Facebook tatsächlich nie auf das inzwischen ungültige „Safe Harbor“-Abkommen verlassen hatte, sondern sich schon 2013 auf „Standarddatenschutzklauseln“ (ein weiterer Mechanismus zur Übermittlung von Daten aus der EU in die USA) stützte. In der Vergangenheit wurde diese Tatsache nicht offengelegt. Stattdessen wurde angedeutet, dass Safe Harbor daran hindert, den Fall zu verfolgen. Dieser „Umweg“ machte das erste Urteil des EuGH für die Beschwerde irrelevant.

Zweite Untersuchung und Gerichtsverfahren

Herr Schrems passte seine Beschwerde an die Übermittlung im Rahmen von „Standardvertragsklauseln“ an und forderte ebenfalls das Ende der Datenübermittlung an Facebook USA, mit dem Argument, dass Faceook die Daten der NSA zur Verfügung stellt. Die Untersuchung der DPC dauerte nur wenige Monate von Dezember 2015 bis Frühjahr 2016. Anstatt über die Beschwerde zu entscheiden, reichte die DPC 2016 beim irischen High Court eine Klage gegen Facebook und Herrn Schrems (beide sind nun Beklagte) ein, um dadurch weitere Fragen an den EuGH in einer Vorabentscheidung richten zu können. Nach über sechswöchigen Anhörungen, die hauptsächlich im Jahr 2017 stattfanden, stellte der irische High Court fest, dass die US-Regierung eine „Massenverarbeitung“ europäischer personenbezogener Daten betreibt, und übermittelte dem EuGH 2018, mittlerweile zum zweiten Mal, nunmehr elf Fragen (Link zum Urteil).

Nächste Schritte

Der EuGH führt den Fall unter C-311/18 und wird ihn am 9. Juli 2019 – etwa sechs Jahre nach Einreichung der ursprünglichen Beschwerde – zum zweiten Mal hören. Ein Urteil wird vor Ende des Jahres erwartet. Nach dem Urteil des EuGH wird die DPC erstmals über die Beschwerde entscheiden müssen. Gegen die Entscheidung könnten erneut Berufungen von Facebook oder Herrn Schrems eingelegt werden.

Kernargumente der Parteien

· Die irische Datenschutzbeauftragte schließt sich der Auffassung von Herrn Schrems an, dass die US-Überwachungsgesetze die Grundrechte auf Privatsphäre, Datenschutz und Rechtsschutz nach europäischem Recht verletzen. Die DPC sagt jedoch, dass sie keine Befugnisse hat, das Problem zu lösen. Da der von Facebook verwendete Datenübermittlungsmechanismus (Standardvertragsklauseln) eine solche Situation nicht vorsieht, müssen die Klauseln selbst für ungültig erklärt werden. Dies würde allerdings bedeuten, dass Datenübermittlungen mittels den Standarddatenschutzklauseln in alle Länder eingestellt werden müssten.

· Facebook ist der Ansicht, dass das US-Recht nicht über das hinausgeht, was nach EU-Recht legal ist. Zudem zweifelt Facebook an, ob die EU überhaupt eine Zuständigkeit in Fällen der „nationalen Sicherheit“ hat. Zusammenfassend lässt sich sagen, dass Facebook kein Problem damit hat, weiterhin Daten an die USA im Rahmen von Massenüberwachungsgesetzen wie der FISA zu übermitteln. Facebook stützt sich auch auf die Bewertung des US-Rechts durch die Europäische Kommission in der so genannten „Privacy Shield“-Entscheidung, wonach die US-Überwachungsgesetze den EU-Anforderungen entsprechen.

· Herr Schrems stimmt mit der DPC hinsichtlich des Problems überein, schlägt aber eine gemäßigtere Lösung vor. Das Gesetz (Artikel 4 der Standarddatenschutzklauseln) erlaubt es der DPC, einzelne Datenübermittlungen zu unterbinden (wie die von Facebook). Herr Schrems ist der Ansicht, dass die irische DPC eine Handlungspflicht hat, anstatt den Fall an den CJEU zurückzuverweisen. Mit Blick darauf, dass sich Facebook auf „Privacy Shield“ verlässt, ist Herr Schrems der Ansicht, dass die Privacy Shield-Entscheidung der Europäischen Kommission die Lage der US-Überwachungsgesetze nicht angemessen beschreibt, nicht annähernd in der Lage ist, einen angemessenen Datenschutz zu gewährleisten, und daher für ungültig erklärt werden muss.

· Europäische Kommission: Es wird erwartet, dass die Europäische Kommission ihre beiden Entscheidungen verteidigen wird: Die Standarddatenschutzklauseln und Privacy Shield. Sie wird wahrscheinlich der Ansicht der Vereinigten Staaten und Facebook teilen, dass es keine Verletzung der Grundrechte in den Vereinigten Staaten gibt, aber auch einsehen, dass die DPC die Befugnis hat, das Problem selbst zu lösen, sofern der EuGH eine Verletzung der Grundrechte feststellt.

Erklärung von Herrn Schrems

Max Schrems, Vorsitzender von noyb: „Wir schlagen eine gemäßigte Lösung vor. Die irische DPC muss das Recht einfach durchsetzen, anstatt den Fall immer wieder nach Luxemburg zu verweisen. Dieses Verfahren ist seit sechs Jahren anhängig. In diesen sechs Jahren hat die DPC in lediglich in 2-3% der ihr vorgelegten Fälle entschieden. Wir haben kein Problem mit ‚Standarddatenschutzklauseln‘, wir haben ein Problem mit der Durchsetzung des Rechts.“

noyb

noyb ist eine neue europäische gemeinnützige Organisation, die das Recht auf Privatsphäre bei den Behörden und gerichtlich durchsetzt. Sie unterstützt diesen Fall und wird selbst von mehr als 3.500 spendenden Mitgliedern unterstützt.

Hauptakteure

Die Parteien vor dem Gericht sind die irische Datenschutzbeauftragte, Facebook Ireland Ltd. und Max Schrems. Der irische Gerichtshof hat auch vier „amicus curiae“ (neutrale Helfer des Gerichts) zugelassen: die US-Regierung, die Electronic Privacy Information Center (epic.org) sowie zwei Branchenlobbyorganisationen.

Alle EU-Mitgliedstaaten, die Europäische Kommission, das Europäische Parlament und der Europäische Datenschutzrat (EDPB) konnten Stellungnahmen einreichen.

PM: European Center for Digital Rights