EuGH hört Fall über die Übermittlung von Daten zwischen der EU und den USA (Standardvertragsklauseln und Datenschutz)

17 Sep 2019

Aufgrund einer Reihe von Anfragen haben wir die wichtigsten Fakten der Rechtssache vor dem Gerichtshof der Europäischen Union (EuGH) zu Datenübertragungen zwischen der EU und den USA und der Massenüberwachung durch die US-Regierung zusammengefasst. Die Rechtssache wird morgen (9:00 Uhr, Dienstag, 9. Juli) vor der Großen Kammer des Gerichtshofs verhandelt.

gemeinsame Missverständnisse des Falles

  • Ist dieser Fall über all EU-US-Datenübertragungen?
  • Ist dieser Fall über all internationale EU-Datenübertragungen? Nur der irische Datenschutzbeauftragte ist der Ansicht, dass die "Standard Contractual Clauses" (SCCs) ungültig sind. Herr Schrems ist der Ansicht, dass die SCCs (bei korrekter Anwendung und Durchsetzung durch den DPC) für eine angemessene Lösung sorgen. Keine andere Partei des irischen Verfahrens als der DPC hat Fragen der Gültigkeit aufgeworfen.
  • Sind alleDatenübertragungen in die USA problematisch?
  • Deutet Herr Schrems, die SCCs zu invalidieren?
  • Liegt "Privacy Shield" auf dem Tisch? Ja. Facebook hat sich auf die Bewertung des US-Rechts im "Privacy Shield" durch die Europäische Kommission gestützt und argumentiert, dass diese Bewertung auch für die "Standard-Vertragsklauseln" gelten sollte. Herr Schrems wiederum argumentierte, dass diese Einschätzung der Kommission falsch sei. Da der Privacy Shield auf einer falschen Interpretation des US-Rechts basiert, sollte er invalidiert werden
  • Werden Sie trotzdem E-Mails in die USA senden oder einen Flug buchen können? Ja. Artikel 49 GDPR sieht "Ausnahmeregelungen" vor, die alle Datenübertragungen zulassen, wenn sie z.B. "für die Vertragserfüllung erforderlich" sind oder wenn der Nutzer ausdrücklich zugestimmt hat. Zum Beispiel: Es ist notwendig, eine E-Mail an die USA zu senden, wenn der Empfänger dort ist, aber es ist nicht notwendig, E-Mails über die USA zu senden, wenn sich Absender und Empfänger in Europa befinden.
  • Welche Art von Transfers müssen dann möglicherweise gestoppt werden?

    Geschichte des Falles

    Der Fall konzentriert sich auf eine Beschwerde des Datenschutzrechtlers Max Schrems gegen Facebook im Jahr 2013 (Link zur Beschwerde). Vor mehr als sechs Jahren gab Edward Snowden bekannt, dass Facebook den US-Geheimdiensten den Zugang zu personenbezogenen Daten von Europäern unter Überwachungsprogrammen wie "PRISM" ermöglicht (siehe Wikipedia). Mit der Beschwerde soll die Datenübertragung zwischen der EU und den USA über Facebook eingestellt werden. Bisher hat der irische DPC keine konkreten Maßnahmen ergriffen.

    Erste Ablehnung und CJEU-Urteil über Safe Harbor

    >

    Der Fall wurde zunächst 2013 vom irischen Datenschutzbeauftragten (DPC) abgelehnt, dann in Irland gerichtlich überprüft und an den Gerichtshof der Europäischen Union (CJEU) verwiesen. Der EuGH entschied 2015, dass das so genannte "Safe Harbor"-Abkommen, das Datenübertragungen zwischen der EU und den USA erlaubte, ungültig sei (Link zum Urteil in C-362/14), und dass der irische DPC den Fall untersuchen musste, was sie zunächst ablehnten.

    Informationen über die Verwendung von "Standardvertragsklauseln"

    <Überraschenderweise informierte der DPC Herrn Schrems Ende 2015, dass sich Facebook tatsächlich nie auf das inzwischen ungültige "Safe Harbor"-Abkommen verlassen hatte, sondern stattdessen bereits 2013 auf "Standardvertragsklauseln" (ein weiterer Mechanismus zur Übermittlung von Daten aus der EU in die USA) setzte. Der DPC hatte diese Tatsache nicht offengelegt und stattdessen vorgeschlagen, dass Safe Harbor sie blockiert, um den Fall fortzusetzen. Dieser "Umweg" machte das erste Urteil des CJEU für den Fall irrelevant.

    Zweite Untersuchung und Klage

    Link zum Urteil)

    Nächste Schritte

    Der CJEU hat den Fall unter C-311/18 aufgeführt und wird ihn am 9. Juli 2019 - etwa sechs Jahre nach Einreichung der ursprünglichen Beschwerde - ein zweites Mal hören. Ein Urteil wird vor Ende des Jahres erwartet. Nach dem Urteil des EuGH müsste der DPC schließlich erstmals über die Beschwerde entscheiden. Die Entscheidung könnte erneut von Facebook oder Herrn Schrems angefochten werden.

    Kernargumente der Parteien

    • The Irish Data Protection Commissioner schließt sich Herrn Schrems in seiner Ansicht an, dass US-Überwachungsgesetze die Grundrechte auf Privatsphäre, Datenschutz und Rechtsschutz nach europäischem Recht verletzen. Die DPC sagt jedoch, dass sie keine Befugnisse hat, das Problem zu lösen. Da der von Facebook verwendete Datenübertragungsmechanismus (Standardvertragsklauseln) eine solche Situation nicht vorsieht, müssen die Klauseln selbst ungültig gemacht werden. Dies würde bedeuten, dass die Datenübermittlung in ein Drittland im Rahmen dieses Instruments eingestellt werden müsste.
    • Facebook ist der Ansicht, dass das US-Recht nicht über das hinausgeht, was nach EU-Recht legal ist. Facebook stellt auch die Frage, ob die EU in Fällen der "nationalen Sicherheit" eine Zuständigkeit hat. Zusammenfassend lässt sich sagen, dass Facebook kein Problem damit sieht, weiterhin Daten an die Vereinigten Staaten im Rahmen von Massenüberwachungsgesetzen wie der FISA zu übermitteln. Facebook stützt sich auch auf die Bewertung des US-Rechts durch die Europäische Kommission in der so genannten "Privacy Shield"-Entscheidung, in der es heißt, dass die US-Überwachungsgesetze den EU-Anforderungen entsprechen.
    • Schrems stimmt mit dem DPC über das Problem überein, schlägt aber eine angemessenere Lösung vor. Das Gesetz (Artikel 4 SCCs) erlaubt es dem DPC, einzelne Datenübertragungen (wie Facebook's) zu unterbinden. Herr Schrems sagt, dass der irische DPC eine Handlungspflicht hat, anstatt den Fall an den CJEU zurückzuverweisen. In Bezug auf das Vertrauen von Facebook auf den "Privacy Shield" ist Herr Schrems der Ansicht, dass die Entscheidung der Europäischen Kommission über den Datenschutz die US-Überwachungsgesetze nicht angemessen beschreibt, nicht einmal annähernd in der Lage ist, einen angemessenen Datenschutz zu gewährleisten, und daher ungültig gemacht werden muss.
    • Europäische Kommission:

    Erklärung von Herrn Schrems

    Max Schrems, Vorsitzender von noyb: "Wir schlagen eine maßvolle Lösung vor: Der irische DPC muss die Regeln einfach richtig durchsetzen, anstatt den Fall immer wieder an Luxemburg zurückzugeben. Dieses Verfahren ist seit sechs Jahren anhängig. In diesen sechs Jahren hat der DPC tatsächlich nur in 2-3% der ihm vorgelegten Fälle entschieden. Wir haben kein Problem mit'Standardvertragsklauseln', wir haben ein Problem mit der Durchsetzung."

    noyb

    noyb ist eine neue europäische gemeinnützige Organisation, die das Recht auf Privatsphäre durch Rechtsstreitigkeiten durchsetzt. Sie unterstützt diesen Fall und wird selbst von mehr als 3.500 spendenden Mitgliedern unterstützt

    Kennzahlen

    Die Parteien vor Gericht sind der irische Datenschutzbeauftragte, Facebook Ireland Ltd. und Max Schrems. Der irische Gerichtshof hat auch vier "amicus curiae" (neutrale Helfer des Gerichts) zugelassen, sich dem Fall anzuschließen, nämlich die US-Regierung, das Electronic Privacy Information Center (epic.org) und zwei Branchenlobbyorganisationen.

Werden Sie Mitglied

Unsere Arbeit wird durch mehr als 3.100 unterstützende Mitglieder ermöglicht - vielleicht sogar durch Sie?