EU-US-Datenübertragungen
Seit 2013 ist dieser Fall über US-Massenüberwachung und EU-Unternehmen, die dafür die Daten liefern, vor der irischen Datenschutzbehörde anhängig. Er wurde zweimal vor dem Irish High Court und dem Europäischen Gerichtshof (EuGH) verhandelt und hat sogar einen kurzen Besuch beim Irish Supreme Court gemacht. Die Geschichte dieses Falles ist in vielerlei Hinsicht einzigartig:
Hintergrund
Im Kern geht es in diesem Fall um einen Rechtskonflikt zwischen den Überwachungsgesetzen der USA, die eine Überwachung verlangen, und den Datenschutzgesetzen der EU, die den Schutz der Privatsphäre vorschreiben.
Problem: US-Überwachungsgesetze
Im Jahr 2013 gab Edward Snowden öffentlich bekannt, dass US-Geheimdienste mit Hilfe von Überwachungsprogrammen wie PRISM Zugang zu den persönlichen Daten europäischer Nutzer haben. Dieser Zugang wurde durch ein US-Gesetz erleichtert, von dem nicht bekannt ist, dass es eine solch weitreichende Überwachung erlaubt, das 50 U.S.C. §1881a (oder FISA 702) genannt wird. FISA 702 wurde 2008 verabschiedet und erweiterte die Möglichkeiten der Überwachung und des Datenzugriffs für US-Behörden grundlegend. Gleichzeitig mit dieser Erweiterung wurden immer mehr personenbezogene Daten von US-amerikanischen Anbietern elektronischer Kommunikationsdienste (wie Apple, Microsoft, Facebook, Google und Yahoo) gesammelt. In Kombination führte dies zu einer immer stärkeren Beeinträchtigung der Privatsphäre der europäischen Nutzer.
Nach FISA 702 können US-amerikanische "Anbieter elektronischer Kommunikationsdienste" (wie in 50 U.S.C. §1881(4) definiert) gezwungen werden, den US-Sicherheitsbehörden Zugang zu den personenbezogenen Daten von "Nicht-US-Personen" zu gewähren, d.h. von Personen, die weder US-Bürger noch in den USA ansässig sind. Die Überwachungsanordnungen nach diesem Gesetz müssen nicht spezifisch auf ein einzelnes Ziel ausgerichtet sein, sondern ermöglichen vielmehr ein ganzes pauschales Überwachungsprogramm wie PRISM oder Upstream. Es gibt keine individualisierte gerichtliche Genehmigung für Nicht-US-Personen. FISA 702 erlaubt auch die Überwachung für recht weit gefasste Zwecke, wie z.B. "Informationen, die sich ... auf ... die Führung der auswärtigen Angelegenheiten der Vereinigten Staaten beziehen" (siehe 50 U.S.C. §1801(e)).
Es gibt auch US-amerikanische Überwachungsbefugnisse, die auf der "inhärenten Macht des US-Präsidenten" basieren und in einer Ausführungsverordnung (EO 12.333) näher definiert sind, während andere Elemente in der Presidential Policy Directive 28 (PPD-28) beschrieben sind. Bei beiden handelt es sich um interne Anordnungen innerhalb der Exekutive, die keine Pflichten oder Rechte für private Einrichtungen schaffen, aber die Überwachung von Nicht-US-Personen ermöglichen.
In den von Edward Snowden offengelegten Dokumenten sind eine Reihe von US-Unternehmen aufgeführt, die der US-Regierung Daten für Überwachungsprogramme wie PRISM oder Upstream im Rahmen dieser Bestimmungen zur Verfügung stellen, darunter Apple, Microsoft, Facebook, Google und Yahoo.
Die Reaktion: GDPR schränkt Datenübertragungen ein
Die europäischen Datenschutzgesetze (früher die Richtlinie 95/46 und jetzt das GDPR) basieren auf dem Konzept des freien Flusses personenbezogener Daten, aber nur innerhalb eines Bereichs, der die Privatsphäre der Nutzer schützt. Würden personenbezogene Daten nur innerhalb der Europäischen Union geschützt, könnten sie jedoch ohne Einschränkungen außerhalb des Zuständigkeitsbereichs der EU übermittelt werden, könnte das innerhalb der EU erforderliche hohe Schutzniveau für personenbezogene Daten leicht untergraben werden.
Das EU-Recht hat jedoch immer gleichzeitig Ausnahmen von diesem Grundsatz der Beschränkung von Übertragungen vorgesehen, z.B. wenn personenbezogene Daten notwendigerweise übertragen werden müssen (z.B. bei der Buchung einer Dienstleistung im Ausland oder beim Versenden einer E-Mail) oder wenn ein Nutzer einer Übertragung aus freien Stücken zustimmt. Diese Ausnahmeregelungen für nicht-strukturelle Übermittlungen sind derzeit in Artikel 49 GDPR kodifiziert.
Darüber hinaus wird im EU-Recht anerkannt, dass es Situationen geben kann, in denen Nicht-EU-Unternehmen ein gleichwertiges Schutzniveau für personenbezogene Daten bieten. In einigen Ländern ähnelt das nationale Recht dem EU-Recht (z.B. in der Schweiz, Israel, Kanada oder Japan), und in anderen Ländern können sich Unternehmen freiwillig zu EU-Grundsätzen verpflichten, indem sie zivilrechtliche Vereinbarungen unterzeichnen, wie z.B. Standardvertragsklauseln (SCCs), verbindliche Unternehmensregeln oder den EU-US-Datenschutzschild. Die letztgenannten Rechtsgrundlagen finden sich in den Artikeln 46 bis 48 GDPR und werden weitgehend für Situationen verwendet, die sich am besten als "Outsourcing" der Verarbeitung personenbezogener Daten durch Unternehmen in Nicht-EU-Länder beschreiben lassen.
Da es in den USA kein Omnibus- oder Bundesgesetz über den Schutz der Privatsphäre gibt, müssen sich US-Unternehmen für die Auslagerung auf eine dieser vertraglichen Optionen in den Artikeln 46 bis 48 GDPR stützen. Für Unternehmen, die unter die US-Aufsichtsgesetze fallen, ist die Nutzung dieser vertraglichen Optionen jedoch in der Praxis unmöglich , da sie nach US-Recht verpflichtet sind, ihre Verpflichtungen nach EU-Recht zu brechen. Dieses Problem steht im Mittelpunkt aller Fälle zwischen Herrn Schrems, dem irischen Datenschutzbeauftragten (DPC) und Facebook, da Facebook eindeutig unter die US-Überwachungsgesetze fällt und an Programmen wie PRISM teilgenommen hat, während es widersprüchlich SCCs, Safe Harbor und jetzt Privacy Shield (die Entscheidung über EU-US-Datentransfers, die Safe Harbor ersetzt) unterzeichnet hat.
Erste Bezugnahme auf den CJEU in den Jahren 2013-2015 ("Safe Harbor")
Verfahren vor dem irischen Datenschutzbeauftragten (DPC)
Nach den Enthüllungen von Snowden reichte Herr Schrems (damals ein österreichischer Jurastudent) beim irischen Datenschutzbeauftragten (DPC) eine Beschwerde gegen Facebook Ireland Ltd. ein. Die Beschwerde argumentierte, dass nach der EU-US Safe Harbor-Entscheidung 2000/520/EG (eine Entscheidung der Europäischen Kommission aus dem Jahr 2000) Die persönlichen Daten von Herrn Schrems sollten nicht von Facebook Ireland Ltd (die Facebook-Nutzer außerhalb der USA und Kanadas bedient) an Facebook Inc. gesendet werden. (die US-Muttergesellschaft) gesendet werden, da Facebook der US National Security Agency Zugang zu solchen Daten gewähren muss.
Das irische DPC wies die Beschwerde von Herrn Schrems als "leichtfertig und ärgerlich" zurück und argumentierte, dass Facebook sich bei der Durchführung seiner Datenübertragungen in die USA auf die Safe-Harbor-Entscheidung verließ. Nach Ansicht des DPC hatte die Europäische Kommission in der Entscheidung aus dem Jahr 2000 (8 Jahre vor der Verabschiedung von 50 U.S.C. § 1881a) akzeptiert, dass das US-Recht angemessen ist und dass das DPC absolut an die Entscheidung der Kommission gebunden war.
Gerichtliche Überprüfung gegen die DPC
Im Oktober 2013 beantragte Herr Schrems eine gerichtliche Überprüfung der DPC-Entscheidung mit dem Argument, dass die DPC eine "Notfallklausel" in der Safe-Harbor-Entscheidung verwenden könne, um den Datentransfer auszusetzen, und dass die Safe-Harbor-Entscheidung in jedem Fall ungültig sei. In einem Urteil vom 18. 6. 2014 [2014] IEHC 310 unterbrach der Irish High Court das Verfahren und verwies den Fall an den Gerichtshof der Europäischen Union (CJEU). Der Irish High Court war sich weitgehend darin einig, dass es nach US-Recht eine "Massenüberwachung" gibt, vertrat jedoch die Auffassung, dass er keine endgültige Entscheidung im Fall von Herrn Schrems treffen könne, ohne zuvor die Gültigkeit der Safe Harbor-Entscheidung festzustellen. Nach EU-Recht kann nur der CJEU Entscheidungen über die Gültigkeit von EU-Rechtsakten wie der Safe-Harbor-Entscheidung treffen, was bedeutete, dass der Irish High Court den Fall an den CJEU verweisen musste.
Urteil des Gerichtshofs der Europäischen Gemeinschaften vom 6. Oktober 2015 (C-362/14)
In einer bahnbrechendes Urteil (C-362/14 Schrems) erklärte der CJEU die Safe-Harbor-Entscheidung für ungültig, wobei er weitgehend den Argumenten von Herrn Schrems folgte. Das Gericht entschied, dass ein Drittland wie die USA ein "im Wesentlichen gleichwertiges" Schutzniveau bieten müsse, wie es das EU-Recht gewähre, und dass "Rechtsvorschriften, die Behörden den Zugang auf allgemeiner Basis gestatten", gegen das Wesen des EU-Grundrechts auf Privatsphäre gemäß Artikel 7 der EU-Charta der Grundrechte (CFR) verstießen. Ebenso verstößt das Fehlen jeglicher Rechtsmittel in den USA für Nicht-US-Personen gegen das Grundrecht auf einen Rechtsbehelf nach Artikel 47 der CFR.
Im Anschluss an das Urteil des CJEU schloss der Irish High Court das Verfahren vor den irischen Gerichten ab, da sich die DPC verpflichtete, die Entscheidung des CJEU zügig umzusetzen.
Zweite Bezugnahme auf den CJEU in den Jahren 2015-20 (SCCs & Privacy Shield)
Informationen, dass sich Facebook tatsächlich auf die SCCs stützte
Zur großen Überraschung von Herrn Schrems teilte ihm der DPC im November 2015 mit, dass das Urteil des CJEU zur Safe-Harbor-Entscheidung für seine ursprüngliche Beschwerde irrelevant sei, da sich Facebook bei der Datenübermittlung tatsächlich immer auf die so genannten "Standardvertragsklauseln" (SCCs) gestützt habe. Der DPC hatte diese Informationen nicht an Herrn Schrems weitergegeben, was ihn zu der Annahme veranlasste, dass Facebook sich auf Safe Harbor verlassen habe, obwohl er diese Informationen von Facebook bereits in einer E-Mail-Antwort auf die Beschwerde im Jahr 2013 erhalten hatte.
Dementsprechend formulierte Herr Schrems seine Beschwerde so um, dass sie nun auch die SKG und alle anderen Rechtsgrundlagen für Datentransfers umfasst, auf die sich Facebook berufen kann, und übermittelte dem DPC am 1. Dezember 2015 eine aktualisierte Beschwerde. Herr Schrems argumentierte, dass das DPC Artikel 4 der SCC-Entscheidung nutzen sollte, um Datentransfers auszusetzen, da Artikel 4 es dem DPC erlaubt, Datentransfers auszusetzen, wenn die Grundrechte der Nutzer verletzt werden.
Klage des DPC gegen Facebook und Herrn Schrems
Anstatt schnell über den Fall zu entscheiden, reichte der DPC überraschenderweise kurz nach Beginn seiner "Untersuchung" der neu formulierten Beschwerde der beiden Parteien eine Klage gegen Facebook Ireland Ltd. und Herrn Schrems ein. Nach Ansicht der DPC waren die beiden Parteien in diesem Fall die "natürlichen Beklagten", und die DPC sah sich gezwungen, den High Court aufzufordern, eine weitere Klage vor dem Gerichtshof der EU zu erheben. Herr Schrems hat den Fall angefochten und argumentiert, dass das DPC den EuGH erst dann ein zweites Mal anrufen kann, wenn alle Fakten und Fragen untersucht worden sind.
Mehrere Parteien haben beantragt, sich als Amicus (neutrale Helfer des Gerichts) an dem Fall zu beteiligen; die US-Regierung, EPIC.org und zwei Lobbygruppen der Industrie haben sich ihm angeschlossen.
In der Klage argumentierte der DPC, dass er sich nicht nur den Ansichten von Herrn Schrems in seinen Bedenken über das US-amerikanische Überwachungsgesetz anschließe, sondern darüber hinaus auch ernsthafte Bedenken über die Gültigkeit der von Facebook verwendeten SCCs habe. Das DPC vertrat die Ansicht, dass die SCCs keinen rechtmäßigen Mechanismus für die Übermittlung von Daten vorsehen, wenn ein Drittland wie die USA Gesetze erlassen hat, die im Widerspruch zu den SCCs stehen. Facebook und Herr Schrems hatten kein Problem mit den Obersten Gerichtshöfen selbst und stimmten zu, dass in einem solchen Fall Artikel 4 des Beschlusses (EU) 2010/87 der Obersten Gerichtshöfe eine Lösung ermöglichen würde.
Im Gegensatz zu Herrn Schrems und dem DPC sah Facebook kein Problem mit den US-amerikanischen Überwachungsgesetzen und vertrat die Ansicht, dass die EU in Fragen der "nationalen Sicherheit" nicht zuständig sei. Facebook stützte sich auch auf die Privacy Shield Decision (EU) 2016/1250 der Europäischen Kommission, die die für ungültig erklärte Safe Harbor-Entscheidung ersetzte. In dieser Entscheidung stellte die Europäische Kommission fest, dass es keinen Konflikt zwischen den Überwachungsgesetzen der USA und den Grundrechten der EU gibt. Laut Facebook muss diese Feststellung in der Privacy Shield-Entscheidung auch für Transfers im Rahmen der SCCs gelten. Schrems vertrat die Ansicht, dass die Privacy Shield-Entscheidung selbst ungültig sei, da sie die US-Überwachungsgesetze grundlegend falsch darstelle und daher keine Befugnis zur Auslegung der SCCs darstelle.
Nach mehreren Verfahrensschritten und mehr als fünfwöchigen Anhörungen mit mehreren Sachverständigen zum US-amerikanischen Überwachungsrecht erkannte der Irish High Court die Existenz von Massenüberwachungsprogrammen der US-Regierung an. In einem Urteil vom 3. Oktober 2017 [2017] IEHC 545 fasste der Irish High Court alle faktischen Erkenntnisse zusammen und hob hervor, dass die USA eine "Massenverarbeitung" personenbezogener Daten durchführen, wenn sie beispielsweise den gesamten Internetverkehr filtern, der durch Teile des Internet-Backbone fließt. Am 13. April 2018 legte er dem CJEU elf Auslegungsfragen zur Entscheidung vor. Die Fragen wurden zu einem grossen Teil vom DPC formuliert.
Im Anschluss an den Verweis beantragte Facebook beim irischen Obersten Gerichtshof, den Verweis durch den High Court zu stoppen, aber die Berufung wurde schließlich am 31. Mai 2019 zurückgewiesen.
Verfahren vor dem CJEU (C-311/18)
Am 30. August 2018 mussten die Parteien ihre schriftlichen Stellungnahmen einreichen.
Am 19. Juli 2019 verhandelte der CJEU den Fall vor der Großen Kammer (der größten Zusammensetzung des Gerichtshofs mit 15 Richtern) und hörte die drei Parteien, die vier Amicus, die Europäische Kommission, das Europäische Parlament, den Europäischen Datenschutzrat (EDPB) und eine große Anzahl von Regierungen der EU-Mitgliedstaaten. Die Fragen der Richter konzentrierten sich insbesondere auf Fragen im Zusammenhang mit den US-Überwachungsgesetzen und der Gültigkeit der Entscheidung zum Privacy Shield.
Am 19. Dezember 2019 hat der Generalanwalt (AG) des Gerichtshofs seine nicht verbindlichen Schlussanträge in der Rechtssache gestellt und sich dabei weitgehend dem Standpunkt von Herrn Schrems angeschlossen. Dem Schlussantrag zufolge sind die Überwachungsgesetze der USA mit den Grundrechten der EU unvereinbar, aber die Lösung der Unvereinbarkeit liegt darin, dass das DPC die Aussetzung der Datenübermittlung gemäß Artikel 4 des Beschlusses des Obersten Gerichtshofs anordnet. Der AG kritisierte zwar ausdrücklich die Datenschutzschild-Entscheidung, vertrat jedoch die Auffassung, dass die Frage ihrer Gültigkeit nicht integraler Bestandteil des Falles sei.
Am 16. Juli 2020 verkündete der Europäische Gerichtshof seine Entscheidung "Schrems II", in der er sich voll und ganz auf die Seite des Beschwerdeführers stellte, die Entscheidung zum "Privacy Shield" für ungültig erklärte, die Datenschutzbehörde aufforderte, die Datenübermittlung zu stoppen, und feststellte, dass die US-Überwachungsgesetze gegen Artikel 7 (Recht auf Privatsphäre), Artikel 8 (Recht auf Datenschutz) und Artikel 47 (Recht auf Rechtsbehelf) der Europäischen Charta der Grundrechte verstoßen.