Auf vielfachen Wunsch haben wir die wichtigsten Fakten des Verfahrens vor dem Gerichtshof der Europäischen Union (EuGH) über die Datenübermittlung zwischen der EU und den USA und die Massenüberwachung durch die US-Regierung zusammengefasst. Der Fall wird morgen (Dienstag, 9. Juli, 9:00 Uhr) vor der Großen Kammer des Gerichtshofs verhandelt.
Häufige Missverständnisse in dieser Rechtssache
- Geht es in diesem Fall um alle Datenübermittlungen zwischen der EU und den USA? Nein, es geht nur um Datenübermittlungen in die USA, die Gegenstand einer "Massenüberwachung" sind. In den meisten Fällen gibt es einfache Möglichkeiten, die Massenüberwachung zu vermeiden, und viele Wirtschaftszweige (z. B. Banken, Fluggesellschaften, Handel und Bankwesen) fallen nicht unter ein solches Massenüberwachungsgesetz. Die Beschwerde von Herrn Schrems richtet sich nur gegen Facebook, das in dem Snowden-Dokument als Unterstützer der NSA bei der Massenüberwachung im Rahmen von "PRISM" genannt wird.
- Geht es in diesem Fall um alle internationalen EU-Datenübermittlungen? Von den Verfahrensbeteiligten vertritt nur der irische Datenschutzbeauftragte die Auffassung, dass die "Standardvertragsklauseln" (SCC) ungültig sind. Herr Schrems vertritt die Auffassung, dass die SCC (bei korrekter Anwendung und Durchsetzung durch die Datenschutzbehörde) eine angemessene Lösung darstellen. Außer der DPC hat keine andere Partei des irischen Verfahrens Fragen zur Gültigkeit aufgeworfen.
- Sind alle Datenübermittlungen in die USA problematisch? Nein. Überwachungsgesetze wie FISA 702 gelten nur für "Anbieter elektronischer Kommunikationsdienste". Das europäische Recht unterscheidet außerdem zwischen notwendigen Übermittlungen (in den Ausnahmeregelungen zu hören) und unnötigem "Outsourcing" der Verarbeitung. In der Kombination stellt sich das Problem vor allem bei Cloud-Service- und Kommunikationsanbietern, die unter die Überwachungsgesetze fallen (z. B. Facebook, Google, Apple, Amazon Web Services), nicht aber bei anderen Branchen oder "notwendigen" Datenübermittlungen (z. B. E-Mails, Buchungen und dergleichen).
- Behauptet Herr Schrems, dass die SCCs ungültig sind? Nein. Herr Schrems argumentiert, dass die SCCs es dem irischen Datenschutzbeauftragten ermöglichen, einzelne Datenübermittlungen, wie die von Facebook, zu stoppen. Da es eine offensichtliche Lösung für das Problem gibt, stellt sich seiner Meinung nach die Frage der Gültigkeit nicht.
- Liegt der "Privacy Shield" auf dem Tisch? Ja. Facebook hat sich auf die Bewertung des US-Rechts durch die Europäische Kommission im "Privacy Shield" gestützt und argumentiert, dass diese Bewertung auch für die "Standardvertragsklauseln" gelten sollte. Herr Schrems hat seinerseits argumentiert, dass diese Einschätzung der Kommission falsch ist. Da der "Privacy Shield" auf einer falschen Auslegung des US-Rechts beruht, sollte er für ungültig erklärt werden.
- Werden Sie weiterhin E-Mails in die USA schicken oder einen Flug buchen können? Ja. Artikel 49 der Datenschutz-Grundverordnung sieht "Ausnahmen" vor, die alle Datenübermittlungen zulassen, wenn sie z. B. "für die Erfüllung eines Vertrags erforderlich" sind oder der Nutzer ausdrücklich zugestimmt hat. Ein Beispiel: Es ist notwendig, eine E-Mail in die USA zu senden, wenn sich der Empfänger dort befindet, aber es ist nicht notwendig, E-Mails über die USA zu senden, wenn sich der Absender und der Empfänger in Europa befinden.
- Welche Arten von Übermittlungen müssen dann möglicherweise eingestellt werden? Grundsätzlich die "Auslagerung" von Datenverarbeitungen, die auch in Europa oder anderen Ländern mit angemessenen Datenschutzstandards durchgeführt werden könnten.
Vorgeschichte des Falles
Der Fall geht auf eine Klage des Datenschutzanwalts Max Schrems gegen Facebook aus dem Jahr 2013 zurück(Link zur Klage). Vor mehr als sechs Jahren enthüllte Edward Snowden, dass Facebook den US-Geheimdiensten im Rahmen von Überwachungsprogrammen wie "PRISM" Zugang zu persönlichen Daten von Europäern gewährt (siehe Wikipedia). Die Beschwerde zielt darauf ab, die Datenübermittlung von Facebook zwischen der EU und den USA zu stoppen. Bislang hat der irische Datenschutzbeauftragte noch keine konkreten Maßnahmen ergriffen, um dies zu erreichen.
Erste Ablehnung und EuGH-Urteil zu Safe Harbor
Der Fall wurde zunächst 2013 vom irischen Datenschutzbeauftragten (DPC) abgelehnt und war dann Gegenstand einer gerichtlichen Überprüfung in Irland und einer Anrufung des Gerichtshofs der Europäischen Union (CJEU). Der EuGH entschied 2015, dass das sogenannte "Safe Harbor"-Abkommen, das Datenübermittlungen zwischen der EU und den USA erlaubt, ungültig ist(Link zum Urteil in der Rechtssache C-362/14) und dass die irische Datenschutzbehörde den Fall untersuchen muss, was sie zunächst ablehnte.
Informationen über die Verwendung von "Standardvertragsklauseln"
Überraschenderweise teilte die Datenschutzbehörde Herrn Schrems Ende 2015 mit, dass Facebook sich nie auf das inzwischen für ungültig erklärte "Safe Harbor"-Abkommen gestützt hatte, sondern bereits 2013 auf "Standardvertragsklauseln" (ein weiterer Mechanismus für die Übermittlung von Daten aus der EU in die USA) zurückgegriffen hatte. Die Datenschutzbehörde hatte diese Tatsache verschwiegen und stattdessen behauptet, dass Safe Harbor sie daran hindere, den Fall weiterzuverfolgen. Dieser "Umweg" machte das erste Urteil des EuGH für den Fall irrelevant.
Zweite Untersuchung und Klage
Herr Schrems passte seine Beschwerde an die Übermittlungen im Rahmen der Standardvertragsklauseln an und forderte ebenfalls die Beendigung der Datenübermittlungen an Facebook USA mit dem Argument, dass diese die Daten der NSA zur Verfügung stellen. Die Untersuchung der Datenschutzbehörde dauerte nur wenige Monate von Dezember 2015 bis Frühjahr 2016. Anstatt über die Beschwerde zu entscheiden, reichte die Datenschutzbehörde 2016 beim irischen High Court eine Klage gegen Facebook und Herrn Schrems (beide sind jetzt Beklagte) ein, um dem EuGH weitere Fragen vorzulegen. Nach mehr als sechswöchigen Anhörungen, die hauptsächlich im Jahr 2017 stattfanden, stellte der irische High Court fest, dass die US-Regierung eine "Massenverarbeitung" europäischer personenbezogener Daten vornimmt, und legte dem EuGH 2018 zum zweiten Mal elf Fragen vor(Link zum Urteil).
Nächste Schritte
Der EuGH hat den Fall unter der Nummer C-311/18 geführt und wird ihn am 9. Juli 2019 - etwa sechs Jahre nach Einreichung der ursprünglichen Beschwerde - ein zweites Mal anhören. Ein Urteil wird vor Ende des Jahres erwartet. Nach dem Urteil des EuGH müsste der DPC dann zum ersten Mal endgültig über die Beschwerde entscheiden. Gegen die Entscheidung könnten Facebook oder Herr Schrems erneut Berufung einlegen.
Kernargumente der Parteien
- Der irische Datenschutzbeauftragte schließt sich der Auffassung von Herrn Schrems an, dass die US-Überwachungsgesetze gegen die Grundrechte auf Privatsphäre, Datenschutz und Rechtsschutz nach europäischem Recht verstoßen. Die Datenschutzbeauftragte sagt jedoch, dass sie keine Befugnisse hat, das Problem zu lösen. Da der von Facebook verwendete Datenübertragungsmechanismus (Standardvertragsklauseln) eine solche Situation nicht vorsieht, müssen die Klauseln selbst für ungültig erklärt werden. Dies würde bedeuten, dass Datenübermittlungen in ein Nicht-EU-Land im Rahmen dieses Instruments gestoppt werden müssten.
- Facebook ist der Ansicht, dass das US-Recht nicht über das hinausgeht, was nach EU-Recht legal ist. Facebook bezweifelt auch, dass die EU für Fälle der "nationalen Sicherheit" zuständig ist. Zusammenfassend sieht Facebook kein Problem darin, im Rahmen von Massenüberwachungsgesetzen wie FISA weiterhin Daten an die Vereinigten Staaten zu übermitteln. Facebook stützt sich auch auf die Bewertung des US-Rechts durch die Europäische Kommission in der so genannten "Privacy Shield"-Entscheidung, die besagt, dass die US-Überwachungsgesetze den EU-Anforderungen entsprechen.
- Schrems stimmt mit dem DPC in der Problematik überein, schlägt aber eine maßvollere Lösung vor. Das Gesetz (Artikel 4 SCCs) erlaubt es dem Datenschutzbeauftragten, einzelne Datenübermittlungen (wie die von Facebook) zu stoppen. Herr Schrems sagt, dass der irische Datenschutzbeauftragte die Pflicht hat, zu handeln, anstatt den Fall an den EuGH zurückzuverweisen. In Bezug auf Facebooks Berufung auf das "Privacy Shield" vertritt Herr Schrems die Ansicht, dass die Privacy-Shield-Entscheidung der Europäischen Kommission die US-Überwachungsgesetze nicht angemessen beschreibt und nicht einmal im Entferntesten in der Lage ist, einen angemessenen Schutz der Privatsphäre zu gewährleisten, und daher für ungültig erklärt werden muss.
- Europäische Kommission: Es wird erwartet, dass die Europäische Kommission ihre beiden Entscheidungen verteidigen wird: Die Standardvertragsklauseln und das Privacy Shield. Sie wird sich wahrscheinlich auf die Seite der Vereinigten Staaten und von Facebook stellen, wenn sie der Ansicht ist, dass keine Verletzung der Grundrechte in den Vereinigten Staaten vorliegt, aber auch anerkennen, dass der Datenschutzbeauftragte die Möglichkeit hat, das Problem selbst zu lösen, wenn der EuGH eine Verletzung der Grundrechte in den USA sieht.
Erklärung von Herrn Schrems
Max Schrems, Vorsitzender von noyb: "Wir schlagen eine maßvolle Lösung vor: Die irische Datenschutzbehörde muss die Regeln einfach richtig durchsetzen, anstatt den Fall immer wieder nach Luxemburg zurückzuverweisen. Dieser Fall ist bereits seit sechs Jahren anhängig. In diesen sechs Jahren hat der DPC nur in 2-3 % der Fälle, die ihm vorgelegt wurden, tatsächlich entschieden. Wir haben kein Problem mit 'Standardvertragsklauseln', wir haben ein Problem mit der Durchsetzung"
noyb
noyb ist eine neue europäische gemeinnützige Organisation, die das Recht auf Privatsphäre durch Rechtsstreitigkeiten durchsetzt. Sie unterstützt diesen Fall und wird selbst von mehr als 3.500 spendenden Mitgliedern unterstützt.
Schlüsselzahlen
Die Parteien vor dem Gericht sind der irische Datenschutzbeauftragte, Facebook Ireland Ltd und Max Schrems. Das irische Gericht hat auch vier "amicus curiae" (neutrale Helfer des Gerichts) zugelassen, die sich dem Fall anschließen, nämlich die US-Regierung, das Electronic Privacy Information Center (epic.org) und zwei Lobbyorganisationen der Industrie.
Alle EU-Mitgliedstaaten, die Europäische Kommission, das Europäische Parlament und der Europäische Datenschutzausschuss (EDPB) hatten die Möglichkeit, Stellungnahmen abzugeben.
Mitglied werden
Unsere Arbeit wird durch mehr als 3.100 Fördermitglieder ermöglicht - vielleicht auch durch Sie?