Im Kern geht es in diesem Fall um einen Rechtskonflikt zwischen den US-Überwachungsgesetzen, die Überwachung verlangen, und den EU-Datenschutzgesetzen, die den Schutz der Privatsphäre gewährleisten sollen.
Seit 2013 ist dieser Fall betreffend die Massenüberwachung durch die USA und daran beteiligte EU-Unternehmen anhängig. Er wurde bereits zweimal vor dem irischen High Court und dem Europäischen Gerichtshof (EuGH) verhandelt und machte sogar einen kurzen Abstecher vor den irischen Supreme Court. Die Geschichte dieses Falles ist in vielerlei Hinsicht einzigartig.
Hintergrund
Im Kern geht es in diesem Fall um einen Rechtskonflikt zwischen den US-Überwachungsgesetzen, die Überwachung verlangen, und den EU-Datenschutzgesetzen, die den Schutz der Privatsphäre gewährleisten sollen.
Problem: US-Überwachungsgesetze
Im Jahr 2013 enthüllte Edward Snowden öffentlich, dass die US-Geheimdienste mit Hilfe von Überwachungsprogrammen wie PRISM Zugang zu den personenbezogenen Daten europäischer Nutzer:innen haben. Ermöglicht wurde dieser Zugriff durch ein US-Gesetz, von dem nicht bekannt ist, dass es eine derart weitreichende Überwachung erlaubt: 50 U.S.C. §1881a (oder FISA 702). FISA 702 wurde im Jahr 2008 verabschiedet und erweiterte die Möglichkeiten der Überwachung und des Datenzugriffs für US-Behörden grundlegend. Gleichzeitig mit dieser Ausweitung wurden immer mehr personenbezogene Daten von US-Anbietern elektronischer Kommunikationsdienste (wie Apple, Microsoft, Facebook, Google und Yahoo) gesammelt. In Kombination führte dies zu einer immer stärkeren Beeinträchtigung der Privatsphäre der europäischen Nutzer:innen.
Gemäß FISA 702 können US-amerikanische "Anbieter elektronischer Kommunikationsdienste" (wie in 50 U.S.C. §1881(4) definiert) gezwungen werden, den US-Sicherheitsbehörden Zugang zu den personenbezogenen Daten von "Nicht-US-Personen" zu gewähren. Dies betrifft alle Personen, die keine US-Bürger:innen sind oder keinen ständigen Wohnsitz in den USA haben. Die Überwachungsanordnungen im Rahmen dieses Gesetzes müssen sich nicht auf ein einzelnes Ziel beziehen, sondern ermöglichen vielmehr ein pauschales Überwachungsprogramm wie PRISM oder Upstream. Für Nicht-US-Personen gibt es keine gerichterliche Genehmigung. FISA 702 erlaubt auch die Überwachung für recht weit gefassten Zwecke, wie beispielsweise "Informationen, die sich ... auf die Außenpolitik der Vereinigten Staaten beziehen" (siehe 50 U.S.C. §1801(e)).
Darüber hinaus gibt es US-Überwachungsbefugnisse, die auf der "inhärenten Autorität des US-Präsidenten" beruhen und in einer Exekutivanordnung (EO 12.333) näher definiert sind, während andere Elemente in der Presidential Policy Directive 28 (PPD-28) beschrieben werden. Beides sind interne Anordnungen innerhalb der Exekutive. Sie schaffen keine Pflichten oder Rechte für private Einrichtungen, ermöglichen jedoch die Überwachung von Nicht-US-Personen.
Die von Edward Snowden veröffentlichten Dokumenten nennen eine Reihe von US-Unternehmen, die der US-Regierung im Rahmen dieser Bestimmungen Daten für Überwachungsprogramme wie PRISM oder Upstream zur Verfügung stellten, darunter Apple, Microsoft, Facebook, Google und Yahoo.
Reaktion: DSGVO schränkt Datentransfers ein
Die europäischen Datenschutzgesetze (früher die Richtlinie 95/46 und jetzt die DSGVO) beruhen auf dem Konzept des freien Flusses personenbezogener Daten – allerdings nur innerhalb eines Bereichs, der die Privatsphäre der Nutzer:innen schützt. Wären personenbezogene Daten nur innerhalb der Europäischen Union geschützt, könnten aber ohne Einschränkungen in Länder außerhalb der EU-Jurisdiktion übermittelt werden, könnte das innerhalb der EU erforderliche hohe Schutzniveau für personenbezogene Daten leicht untergraben werden.
Das EU-Recht hat jedoch stets auch Ausnahmen von diesem Grundsatz der Beschränkung von Datentransfers vorgesehen. Zum Beispiel in Fällen, in denen personenbezogene Daten zwangsläufig übermittelt werden müssen (z. B. bei der Buchung einer Dienstleistung im Ausland oder beim Versenden einer E-Mail) oder wenn Nutzer:innen freiwillig in eine Übermittlung einwilligen. Diese Ausnahmeregelungen für nicht-strukturelle Übermittlungen sind derzeit in Artikel 49 DSGVO kodifiziert.
Darüber hinaus erkennt das EU-Recht an, dass es Situationen geben kann, in denen Unternehmen außerhalb der EU ein gleichwertiges Schutzniveau für personenbezogene Daten gewährleisten. In einigen Ländern ähnelt das nationale Recht dem EU-Recht (z. B. in der Schweiz, Israel, Kanada oder Japan), und in anderen Ländern können sich Unternehmen freiwillig zu den EU-Grundsätzen verpflichten, indem sie zivilrechtliche Vereinbarungen unterzeichnen, wie z. B. Standardvertragsklauseln (SCC), verbindliche Unternehmensregeln oder das EU-US-Privacy-Shield. Die letztgenannten Rechtsgrundlagen finden sich in den Artikeln 46 bis 48 DSGVO. Sie werden weitgehend für Situationen genutzt, die am besten als "Auslagerung" der Verarbeitung personenbezogener Daten durch Unternehmen in Nicht-EU-Länder beschrieben werden können.
Da es in den USA kein bundesweites Datenschutzgesetz gibt, müssen sich US-Unternehmen bei der Auslagerung auf eine dieser vertraglichen Optionen in den Artikeln 46 bis 48 DSGVO verlassen. Für Unternehmen, die unter die den US-Überwachungsgesetzen unterliegen, ist die Nutzung dieser vertraglichen Optionen jedoch in der Praxis unmöglich. Das US-Recht zwingt sie dazu, ihre Verpflichtungen nach EU-Recht zu brechen. Dieses Problem steht im Mittelpunkt aller Fälle zwischen Herrn Schrems, der irischen Datenschutzbehörde (DPC) und Facebook. Facebook fällt eindeutig unter die US-Überwachungsgesetze und hat an Programmen wie PRISM teilgenommen, während es widersprüchlicherweise SCCs, Safe Harbor und Privacy Shield (die Entscheidung über die Datentransfers zwischen der EU und den USA) unterzeichnet hatte.
Erste Vorlage an den EuGH in den Jahren 2013-2015 ("Safe Harbor")
Verfahren vor der irischen Datenschutzbehörde (DPC)
Nach den Snowden-Enthüllungen reichte Herr Schrems (damals ein österreichischer Jurastudent) bei der irischen Datenschutzbehörde (DPC) eine Beschwerde gegen Facebook Ireland Ltd ein. In der Beschwerde wurde argumentiert, dass gemäß der EU-US Safe Harbor Entscheidung 2000/520/EC (ein Beschluss der Europäischen Kommission aus dem Jahr 2000) die persönlichen Daten von Herrn Schrems nicht von Facebook Ireland Ltd. (das Facebook-Nutzer:innen außerhalb der USA und Kanadas betreut) an Facebook Inc. (die US-amerikanische Muttergesellschaft) übermittelt werden dürften, da Facebook der US-amerikanischen National Security Agency Zugriff zu diesen Daten gewähren müsse.
Die irische Datenschutzbehörde wies die Beschwerde von Herrn Schrems als "unbegründet und schikanös" zurück und argumentierte, Facebook habe sich bei der Datenübermittlung in die USA auf die Safe-Harbor-Entscheidung verlassen. Nach Ansicht der Datenschutzbehörde hatte die Europäische Kommission in ihrer Entscheidung aus dem Jahr 2000 (acht Jahre vor der Verabschiedung von 50 U.S.C. § 1881a) anerkannt, dass das US-Recht angemessen ist, und dass die Datenschutzbehörde absolut an die Entscheidung der Kommission gebunden sei.
Gerichtliche Prüfung der DPC-Entscheidung
Im Oktober 2013 beantragte Herr Schrems eine gerichtliche Überprüfung der DPC-Entscheidung. Er argumentierte, dass die DPC eine "Notfallklausel" in der Safe-Harbor-Entscheidung anwenden könne, um die Datentransfers auszusetzen, und dass die Safe-Harbor-Entscheidung ohnehin ungültig sei. In einem Urteil vom 18.6.2014 [2014] IEHC 310 setzte der Irish High Court das Verfahren aus und verwies den Fall an den Europäischen Gerichtshof (EuGH). Der irische High Court wstimmte weitgehend zu, dass es nach US-Recht eine "Massenüberwachung" gebe. Er vertrat jedoch die Auffassung, dass er keine endgültige Entscheidung über den Fall von Herrn Schrems treffen könne, ohne zuvor die Gültigkeit der Safe-Harbor-Entscheidung zu prüfen. Nach EU-Recht kann nur der EuGH über die Gültigkeit von EU-Rechtsakten wie der Safe-Harbor-Entscheidung entscheiden. Das bedeutet, dass der irische High Court den Fall an den EuGH verweisen musste.
Urteil des EuGH vom 6. Oktober 2015 (C-362/14)
In einem bahnbrechenden Urteil (C-362/14 Schrems) erklärte der EuGH die Safe-Harbor-Entscheidung für ungültig und folgte damit weitgehend den Argumenten von Herrn Schrems. Der Gerichtshof stellte fest, dass ein Drittland wie die USA ein Schutzniveau bieten muss, das dem des EU-Rechts "im Wesentlichen gleichwertig" ist, und dass"Rechtsvorschriften, die Behörden einen allgemeinen Zugang ermöglichen", gegen den Kern des EU-Grundrechts auf Datenschutz gemäß Artikel 7 der EU-Grundrechtecharta verstoßen. Ebenso verstößt das Fehlen eines Rechtsbehelfs in den USA für Nicht-US-Personen gegen das Grundrecht auf einen gerichtlichen Rechtsbehelf gemäß Artikel 47 der Charta.
Nach dem Urteil des EuGH stellte der irische High Court das Verfahren vor den irischen Gerichten ein, da die DPC zugesagt hatte, die Entscheidung des EuGH zügig umzusetzen.
Zweite Vorlage an den EuGH im Zeitraum 2015-2020 (SCCs & Privacy Shield)
Information, dass Facebook sich tatsächlich auf SCCs beruft
Zur großen Überraschung von Herrn Schrems teilte ihm die DPC im November 2015 mit, dass das Urteil des EuGH zur Safe-Harbor-Entscheidung für seine ursprüngliche Beschwerde irrelevant sei, da sich Facebook bei seinen Datentransfers stets auf sogenannte "Standardvertragsklauseln" (SCC) gestützt habe. Die DPC hatte Herrn Schrems diese Information nicht mitgeteilt, weshalb er davon ausging, dass Facebook sich auf Safe Harbor gestützt habe, obwohl er diese Information von Facebook bereits in einer E-Mail-Antwort auf seine Beschwerde im Jahr 2013 erhalten hatte.
Herr Schrems formulierte daraufhin seine Beschwerde neu, um die SCC und alle anderen Rechtsgrundlagen für Datenübermittlungen, auf die sich Facebook berufen könnte, mit einzubeziehen. Am 1. Dezember 2015 übermittelte er der DPC eine aktualisierte Beschwerde. Herr Schrems argumentierte, dass die Datenschutzbehörde Artikel 4 des SCC-Beschlusses verwenden sollte, um die Übermittlungen auszusetzen, da dieser der Behörde erlaubt, Datentransfers auszusetzen, wenn die Grundrechte der Nutzer:innen verletzt werden.
Klage der Datenschutzbehörde gegen Facebook und Herrn Schrems
Anstatt zügig über den Fall zu entscheiden, reichte die DPC überraschenderweise kurz nach Einleitung ihrer „Untersuchung“ der neu formulierten Beschwerde eine Klage gegen Facebook Ireland Ltd und Herrn Schrems ein. Nach Ansicht der DPC waren die beiden Parteien die "natürlichen Beklagten" in diesem Fall, und die DPC sah sich gezwungen, den High Court um eine weitere Vorlage an den EuGH zu ersuchen. Herr Schrems hat den Fall angefochten und argumentiert, dass die DPC den EuGH erst dann ein zweites Mal anrufen kann, wenn alle Fakten und Fragen untersucht worden sind.
Mehrere Parteien haben beantragt, als Amicus (unparteiische Berater des Gerichts) an dem Verfahren beteiligt zu werden; die US-Regierung, EPIC.org und zwei Industrie-Lobbygruppen wurden als Amicus zugelassen.
In der Klage argumentierte die DPC, dass sie nicht nur den Bedenken von Herrn Schrems hinsichtlich des US-Überwachungsrechts anschließe, sondern auch ernsthafte Bedenken hinsichtlich der Gültigkeit der von Facebook verwendeten SCCs habe. Die DPC vertrat die Auffassung, dass Standardvertragsklauseln keinen rechtmäßigen Mechanismus für Datentransfers bieten, wenn ein Drittland wie die USA Gesetze erlassen hat, die im Widerspruch zu den SCCs stehen. Facebook und Herr Schrems hatten keine Einwände gegen die Standardvertragsklauseln selbst und waren sich einig, dass in einem solchen Fall Artikel 4 der Entscheidung (EU) 2010/87 über die Standardvertragsklauseln eine Lösung ermöglichen würde.
Im Gegensatz zu Herrn Schrems und der DPC sah Facebook kein Problem mit den US-Überwachungsgesetzen und vertrat die Ansicht, dass die EU nicht für Fragen der "nationalen Sicherheit" zuständig sei. Facebook berief sich auch auf den Beschluss (EU) 2016/1250 der Europäischen Kommission zum Privacy Shield, der den für ungültig erklärten Safe-Harbor-Beschluss ersetzte. In diesem Beschluss stellte die Europäische Kommission fest, dass es keinen Konflikt zwischen den US-Überwachungsgesetzen und den EU-Grundrechten gibt. Laut Facebook muss diese Feststellung in der Privacy-Shield-Entscheidung auch für Transfers im Rahmen der SCCs gelten. Herr Schrems vertrat die Ansicht, dass die Privacy-Shield-Entscheidung selbst ungültig sei, da sie die US-Überwachungsgesetze grundlegend falsch darstelle und daher keine Autorität für die Auslegung der SCCs darstelle.
Nach mehreren Verfahrensschritten und mehr als fünf Wochen dauernden Anhörungen mit zahlreichen Sachverständigen zum US-Überwachungsrecht erkannte der irische High Court die Existenz von Massenüberwachungsprogrammen der US-Regierung an. In einem Urteil vom 3. Oktober 2017 [2017] IEHC 545 fasste der Irish High Court alle Tatsachenfeststellungen zusammen und hob hervor, dass die USA eine "Massenverarbeitung" personenbezogener Daten durchführen, wenn sie beispielsweise den gesamten Internetverkehr filtern, der durch Teile des Internet-Backbones fließt. Am 13. April 2018 legte es dem EuGH elf Auslegungsfragen zur Entscheidung vor. Die Fragen wurden zu einem großen Teil von der DPC formuliert.
Im Anschluss an die Vorlage an den EuGH wandte sich Facebook an den irischen Supreme Court, um die Vorlage des High Court zu stoppen. Die Berufung wurde jedoch am 31. Mai 2019 zurückgewiesen.
Verfahren vor dem EuGH (C-311/18)
Am 30. August 2018 mussten die Parteien ihre schriftlichen Stellungnahmen einreichen.
Am 19. Juli 2019 verhandelte der EuGH die Rechtssache vor der Großen Kammer (der mit 15 Richter:innen größten Kammer des Gerichtshofs) und hörte die drei Parteien, die vier Amicus, die Europäische Kommission, das Europäische Parlament, den Europäischen Datenschutzausschuss (EDSA) und zahlreiche Regierungen der EU-Mitgliedstaaten an. Die Fragen der Richter:innen konzentrierten sich insbesondere auf Fragen im Zusammenhang mit den US-Überwachungsgesetzen und der Gültigkeit der Privacy-Shield-Entscheidung.
Am 19. Dezember 2019 veröffentlichte der Generalanwalt (AG) des Gerichtshofs seine nicht-bindenden Schlussanträge in dieser Rechtssache, in denen er sich weitgehend dem Standpunkt von Herrn Schrems anschloss. Laut den Schlussanträgen sind die US-Überwachungsgesetze mit den EU-Grundrechten unvereinbar. Die Lösung für die Unvereinbarkeit liegt darin, dass die DPC die Aussetzung der Datentransfers gemäß Artikel 4 der SCC-Entscheidung anordnet. Der AG kritisierte zwar ausdrücklich die Privacy-Shield-Entscheidung, vertrat aber die Auffassung, dass die Frage ihrer Gültigkeit nicht Bestandteil des Falles ist.
Am 16. Juli 2020 verkündete der Gerichtshof seine Entscheidung "Schrems II", in der er sich voll und ganz auf den Standpunkt des Klägers stellte, die "Privacy Shield"-Entscheidung für ungültig erklärte, die DPC aufforderte, die Datenübermittlungen zu stoppen, und feststellte, dass die US-Überwachungsgesetze gegen Artikel 7 (Recht auf Privatsphäre), Artikel 8 (Recht auf Datenschutz) und Artikel 47 (Recht auf Rechtsbehelf) der Europäischen Charta der Grundrechte verstoßen.