«Facebook vs. Schrems» Was die EuGH-Entscheidung bedeutet

Der EuGH hat erneut auf Betreiben des Datenschutzaktivisten Max Schrems die Datenverkehrsregeln in die USA gekippt. Datenübertragungen sind dennoch möglich.

Datenschutzaktivist Max Schrems in Wien. Foto: Hans Punz/APA/dpa - dpa-infocom GmbH

Das Wichtigste in Kürze

  • Auf Betreiben von Jurist Max Schrems hat die EuGH das «Privacy Shield» verworfen.
  • Das Abkommen soll die Sicherheit von EU-Internet-Nutzern gewährleisten.
  • Angeblich können Daten aber nach wie vor – legal – an US-Behörden weitergegeben werden.

Max Schrems hat europäische Datenschutz-Geschichte geschrieben – schon wieder. Auf sein Betreiben kippte der Europäische Gerichtshof das Datenabkommen «Privacy Shield» zwischen der EU und den USA. Der EuGH hatte nach einer Schrems-Klage bereits 2015 die Vorgängerregelung «Safe Harbor» kassiert.

Der Europäische Gerichtshof (EuGH) in Luxemburg. - Keystone

Das Urteil beinhaltet zwei Entscheidungen: Einerseits stellt der Gerichtshof fest, dass Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der EU-Grundrechte verstossen. Diese nutzt auch Facebook für die Datenübertragung zwischen der EU und den USA. Das Datenabkommen «Privacy Shield» zwischen den USA und der EU erklärt der EuGH hingegen für ungültig.

Was ist «Privacy Shield» und warum wurde es für ungültig erklärt?

Nach dem Scheitern des «Safe Habor»-Abkommens zwischen den USA und der EU 2015 wurde ein Jahr später eine Abmachung geschlossen. Darin wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen.

Die Räte haben sich betreffend der Datenschutz-Regelung geeinigt. - Keystone

Es wird pauschal festgestellt, dass eine wichtige Bedingung der europäischen Datenschutz-Grundverordnung (DSGVO) erfüllt ist. Nach der DSGVO dürfen im Ausland nur personenbezogene Daten gespeichert und verarbeitet werden. Aber nur, wenn die Datenschutzvorkehrungen in jenem Land ähnlich hoch sind. In einer Selbstverpflichtung erklären die Unternehmen dabei, dass dies der Fall ist.

Dem EuGH gehen die Überwachungsbefugnisse der amerikanischen Geheimdienste und Sicherheitsbehörden zu weit. Nach dem amerikanischen Foreign Surveillance Act (FISA) dürfen amerikanische Behörden auch ohne einen richterlichen Beschluss ausländische Nutzerdaten durchforsten. Den Enthüllungen des Whistleblowers Edward Snowden konnte man entnehmen, dass Daten von Microsoft, Facebook, Google, Apple und co abgesaugt werden. Der EuGH sagt nun, dass die Überwachungsprogramme nicht auf das zwingend erforderliche Mass beschränkt sind.

Was hat es mit den Standardvertragsklauseln auf sich?

In diesen Verträgen erklären die beteiligten Parteien, dass es auch im Ausland Schutz für die Daten von EU-Bürgern gibt. Sie gelten deshalb als einfach anwendbares Instrument, um rechtskonform personenbezogene Daten ins Ausland zu übermitteln.

Der Softwarekonzern Microsoft senkt wegen Währungseffekten ihre Prognose. - DPA

Das Konstrukt wurde zwar vom EuGH bestätigt. Aber auch hier haben die Betroffenen die Möglichkeit, die Rechtmässigkeit im konkreten Fall durch die zuständigen Datenschutzbehörden überprüfen zu lassen. Im Streit zwischen dem Datenschutzaktivisten Max Schrems und Facebook liegt der Ball damit wieder im Feld der irischen Datenschutzbehörde DPC. Die ist bislang aber nicht durch ein scharfes Vorgehen gegenüber US-Konzernen aufgefallen, die von Irland aus ihr Europa-Geschäft betreiben.

Wer ist Max Schrems und was bemängelt er?

Der Jurist Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa - und gegen Facebook. Die Antworten auf erste Anfragen bei Facebook und der irischen Datenschutzbehörde waren so surreal, dass er weitermachen müsste, sagt er. Schrems gründete auch den Datenschutz-Verein Noyb. Dieser brachte auf Grundlage der DSGVO bereits Anzeigen gegen Google und Facebook auf den Weg.

Der österreichische Jurist und Datenschutzaktivist Max Schrems. - Keystone

Schrems hat bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den US-amerikanischen Mutterkonzern weiterleitet. Dies, obwohl diese dort mangelhaft gegen Ausspähaktionen gesichert seien. Der irische High Court rief schliesslich den EuGH. Dabei wollte sie wissen, ob Standardvertragsklauseln und «Privacy Shield» mit dem europäischen Datenschutzniveau vereinbar sind.