Zur Vorbereitung der Bekanntgabe des unverbindlichen Gutachtens des Generalanwalts am 19. Dezember um ca. 9:45 Uhr in Luxemburg haben wir das folgende Vorbereitungsdokument erstellt. Der Fall ist seit 6,5 Jahren anhängig, befasst sich mit komplexen EU-Datenschutz- und US-Aufsichtsgesetzen und war Gegenstand von vier Anhörungen vor verschiedenen Gerichten. Der Fall ist daher sehr komplex..
I. Hintergrund des Falles
US Überwachung. Wie die Enthüllungen von Edward Snowden bestätigten, sind viele große US-Internetunternehmen (in diesem Fall Facebook) verpflichtet, der US-Regierung den massenhaften Zugriff auf europäische Nutzerdaten für "fremde Geheimdienstzwecke" (einschließlich Terrorismusbekämpfung und Spionage) zu ermöglichen. Eine solche Nutzung der Daten der Europäer kann durchaus gegen die nationalen Interessen der EU und ihrer Mitgliedstaaten verstoßen (z.B. bei der Durchsetzung von US-Sanktionen gegen EU-Unternehmen oder bei der Bespitzelung von EU-Bürger*innen und Regierungen).
Der "Safe Harbor"-Fall 2015. Aufgrund dieser Tatsachen reichte Herr Schrems 2013 eine Beschwerde gegen Facebook beim irischen Datenschutzbeauftragten (DPC") ein. Die DPC wies die Beschwerde zunächst als "leichtfertig und schikanös" zurück. Herr Schrems legte gegen die DPC Berufung ein und gewann schließlich: In diesem Fall, C-362/14 Schrems bestätigte der CJEU ("Gerichtshof der Europäischen Union", das oberste Gericht der EU) seine Auffassung und entschied, dass die Massenüberwachung die europäischen Grundrechte verletzt. Der CJEU hat das frühere "Safe Harbor"-System, das die Datenübertragung zwischen der EU und den USA erleichterte, abgeschafft. Dieses System wurde 2016 dringend durch das "Privacy Shield"-System ersetzt. Schrems: "Privacy Shield ist eine aktualisierte Version des illegalen 'Safe Harbor'. Es wurde nichts im US-Überwachungsgesetz geändert oder festgelegt."
Standardvertragsklauseln ("SCCs"). Nach der ersten CJEU-Entscheidung über "Safe Harbor" behauptete Facebook, dass es nicht "Privacy Shield", sondern sogenannte "Standard-Vertragsklauseln” (SCCs).
SCCs sind ein Vertrag zwischen einem EU-Unternehmen (hier Facebook Irland) und einem Nicht-EU-Unternehmen (hier Facebook Inc., in Kalifornien), in dem sich das ausländische Unternehmen verpflichtet, die Privatsphäre der Europäer zu respektieren. Das Gesetz akzeptiert, dass solche Verträge europäische Daten bei der Übermittlung ins Ausland ausreichend schützen.
Kernproblem: Das EU-Datenschutzrecht kollidiert mit dem US-amerikanischen Überwachungsrecht. Nach den Datenschutzgesetzen der EU ("GDPR") und den SCCs ist ein "Datenexport" in ein Drittland nur dann legal, wenn das exportierende Unternehmen (in diesem Fall Facebook Ireland Ltd.) einen "angemessenen Schutz" in den USA gewährleisten kann. In der Praxis erwies sich dies als unmöglich, da die US-Überwachungsgesetze (wie FISA 702 und EO 12.333) zu einer "Massenverarbeitung" durch die US-Regierung führen[1] von personenbezogenen Daten für Überwachungszwecke. Schrems: "In einfachen Worten: Das EU-Recht verlangt den Schutz der Privatsphäre, während das US-Recht eine Massenüberwachung vorschreibt. Die Frage ist, was passiert, wenn ein EU-Unternehmen US-Recht und nicht EU-Recht befolgt? ”
Anwendung von Herrn Schrems & Reaktion des irischen DPC. Angesichts der oben beschriebenen Situation und des Urteils des EuGH im "Safe Harbor"-Fall hat Herr Schrems die irische Datenschutzbehörde im Jahr 2015 aufgefordert, Artikel 4 der SCC anzuwenden, der es der Datenschutzbehörde ermöglicht, Facebook anzuordnen, die Datenübermittlung in Einzelfällen "auszusetzen". Die DPC stimmte nun zwar mit Herrn Schrems darin überein, dass die US-Überwachungsgesetze gegen EU-Recht verstoßen, aber sie haben nicht direkt gehandelt. Schrems: "Wir haben gezielt nach einer Lösung gefragt, nur für Unternehmen, die unter diese Überwachungsgesetze fallen. Die DPC hätte eine solche Entscheidung innerhalb eines Tages erlassen können"
Die irische DPC will SCCs für ungültig erklären. Das DPC folgte jedoch nicht dem Antrag von Herrn Schrems, sondern reichte stattdessen eine Klage gegen Facebook und Herrn Schrems vor dem Irish High Court ein, mit dem Ziel, den Fall an den CJEU zurückzuverweisen - diesmal zur Gültigkeit der SCCs. Der Irish High Court ist dem Antrag des DPC nachgekommen und hat elf Fragen an den CJEU, trotz des Widerstands von Herrn Schrems und Facebook (die beide aus unterschiedlichen Gründen gegen den Verweis waren). Gerard Rudden (von ARQ Solicitors, in Vertretung von Herrn Schrems): "Mein Kunde fragte nach einer gezielten Lösung für Unternehmen, die unter die US-Massenüberwachungsgesetze fallen. Die DPC hätte schon längst eine solche Entscheidung erlassen können. Stattdessen haben wir nach 7 Jahren und zwei Verweisungen an den CJEU immer noch keine formelle Entscheidung des DPC. ”
noyb.eu & Legal Team Herr Schrems hat diesen Fall auf einer pro-bono Basis eingebracht und wird von einem Team von Anwälten aus Irland, den USA und Luxemburg unterstützt. Der Fall wird auch von der europäischen Non-Profit-Organisation unterstützt noyb.eu, dessen Ehrenvorsitzender er auch ist. Herr Schrems wird von Eoin McCullhan vertreten, der von den Ahern Rudden Quigley Solicitors beauftragt wird. Prof. Herwig Hofmann unterstützte den Fall in europarechtlichen Fragen. Ashley Gorski von der Amerikanischen Bürgerrechtsunion (ACLU.org) hat als Sachverständiger für das US-amerikanische Überwachungsrecht mitgewirkt.
