noyb Blog | Updates

EuGH verhandelt über EU-US Datenübermittlungen (Standarddatenschutzklauseln und Privacy Shield)

Jul 8, 2019

Aufgrund zahlreicher Anfragen haben wir hier die wichtigsten Fakten des Falles vor dem Europäischen Gerichtshof (EuGH) zu Datenübermittlungen zwischen der EU und den USA und der Massenüberwachung durch die US-Regierung zusammengefasst. Der Fall wird morgen (9:00 Uhr, Dienstag, 9. Juli) vor der Großen Kammer des Gerichtshofs verhandelt.

Download: PDF

Häufige Missverständnisse des Falles

  • Geht es in dem Fall um sämtliche Datenübermittlungen zwischen der EU und den USA? Nein, es geht nur um Übermittlungen in die USA, die einer „Massenüberwachung“ unterliegen. In den meisten Situationen gibt es einfache Möglichkeiten, eine Massenüberwachung zu vermeiden, und viele Branchen (z.B. Banken, Fluggesellschaften, der Handel und Banken) unterliegen keinem Massenüberwachungsgesetz. Die Beschwerde von Herrn Schrems richtet sich nur gegen Facebook, dass laut Snowdens Unterlagen im Rahmen des Programs „PRISM“ der NSA bei der Massenüberwachung unterstützt.
  • Geht es in diesem Fall um sämtliche internationalen EU-Datenübermittlungen? Nein. Von den am Verfahren Beteiligten ist nur die irische Datenschutzbeauftragte der Ansicht, dass die „Standarddatenschutzklauseln“ (SCCs) ungültig sind. Herr Schrems ist der Meinung, dass die SCCs (bei korrekter Anwendung und Durchsetzung durch den DPC) für eine angemessene Lösung sorgen. Keine andere Partei des Verfahrens hat deren Gültigkeit angezweifelt. Es wäre falsch zu behaupten, dass andere Parteien außer der irischen DPC die Ungültigkeit der SCCs fordern.
  • Sind alle Datenübermittlungen in die USA problematisch? Nein. Überwachungsgesetze wie FISA 702 gelten nur für „Electronic Communication Service Provider“, sodass Datenübermittlungen in anderen Bereichen nicht direkt betroffen sind. Europäisches Recht unterscheidet wiederum zwischen „notwendigen“ Datenübermittlungen und nicht notwendigen Outsourcing. Zusammenfassen entsteht ein Problem primär bei Cloud-Services und Kommunikationsanbietern, die dem Gesetz unterliegen (z.B. Facebook, Google, Apple, Amazon Web Services). Kein Problem entsteht, wenn man z.B. ein Hotel in den USA bucht, Flüge bucht oder das normale Tagesgeschäft online abwickelt.
  • Fordert Herr Schrems, die SCCs für ungültig zu erklären? Nein. Herr Schrems argumentiert, dass die SCCs es der irischen Datenschutzbeauftragten gestatten, einzelne Datenübermittlungen, wie die von Facebook, zu stoppen. Da es eine einfache und öffentsichliche Lösung für das Problem gibt, muss die Gültigkeit der SCCs hier nicht angegriffen werden.

  • Wird „Privacy Shield“ ebenfalls überprüft? Ja. Facebook hat sich auf die Beurteilung des US-Rechts im „Privacy Shield“ durch die Europäische Kommission gestützt und argumentiert, dass diese Beurteilung auch für die „Standarddatenschutzklauseln“ gelten sollte. Herr Schrems hat argumentiert, dass diese Einschätzung der Kommission falsch sei. Da Privacy Shield auf einer fehlerhaften Verständnis des US-Rechts beruht, sollte die Entscheidung für ungültig erklärt werden. Ob der EuGH sich damit beschäftigt ist unklar.
  • Wird man weiterhin E-Mails in die USA schicken oder einen Flug in die USA buchen können? Ja. Artikel 49 DSGVO sieht Ausnahmen vor, die alle Datenübertragungen zulassen, wenn sie z.B. für die Erfüllung eines Vertrages erforderlich sind oder wenn der Nutzer ausdrücklich eingwilligt hat. Ein Beispiel: Es ist erforderlich, eine E-Mail an die USA zu senden, wenn der Empfänger dort ist, aber es ist nicht notwendig, E-Mails über die USA zu senden, wenn sich Absender und Empfänger in Europa befinden.
  • Welche Art von Übermittlungen müssen dann möglicherweise gestoppt werden? Grundsätzlich jede Auslagerung einer Datenverarbeitung, die auch in Europa oder anderen Ländern erfolgen könnte, die ein angemessenes Datenschutzniveau bieten.

 

Vorgeschichte des Falles

Im Mittelpunkt des Falles steht eine Beschwerde des Datenschutzrechtlers Max Schrems gegen Facebook im Jahr 2013 (Link zur Beschwerde). Vor mehr als sechs Jahren gab Edward Snowden bekannt, dass Facebook den US-Geheimdiensten unter Überwachungsprogrammen wie „PRISM“ (siehe Wikipedia) den Zugang zu personenbezogenen Daten von EuropäerInnen ermöglicht. Mit der Beschwerde soll die Datenübertragung zwischen der EU und den USA über Facebook eingestellt werden. Bislang hat der irische DPC keine konkreten Maßnahmen dazu ergriffen.

Erste Ablehnung und EuGH-Urteil zum Thema Safe Harbor

Der Fall wurde erstmals 2013 vom irischen Datenschutzbeauftragten (DPC) abgelehnt, dann einer gerichtlichen Überprüfung in Irland und schließlich einer Anrufung des Europäischen Gerichtshofs (EuGH) unterzogen. Der EuGH entschied 2015, dass das so genannte „Safe Harbor“-Abkommen, das Datenübermittlungen zwischen der EU und den USA erlaubte, ungültig sei (Link zum Urteil in C 362/14), und dass der irische DPC den Fall untersuchen müsse, was sie ursprünglich ablehnten.

Informationen über die Verwendung von “Standarddatenschutzklauseln”

Überraschenderweise teilte die (neue) irische Datenschutzbeauftrage Herrn Schrems Ende 2015 mit, dass sich Facebook tatsächlich nie auf das inzwischen ungültige „Safe Harbor“-Abkommen verlassen hatte, sondern sich schon 2013 auf „Standarddatenschutzklauseln“ (ein weiterer Mechanismus zur Übermittlung von Daten aus der EU in die USA) stützte. In der Vergangenheit wurde diese Tatsache nicht offengelegt. Stattdessen wurde angedeutet, dass Safe Harbor daran hindert, den Fall zu verfolgen. Dieser „Umweg“ machte das erste Urteil des EuGH für die Beschwerde irrelevant.

Zweite Untersuchung und Gerichtsverfahren

Herr Schrems passte seine Beschwerde an die Übermittlung im Rahmen von „Standardvertragsklauseln“ an und forderte ebenfalls das Ende der Datenübermittlung an Facebook USA, mit dem Argument, dass Faceook die Daten der NSA zur Verfügung stellt. Die Untersuchung der DPC dauerte nur wenige Monate von Dezember 2015 bis Frühjahr 2016. Anstatt über die Beschwerde zu entscheiden, reichte die DPC 2016 beim irischen High Court eine Klage gegen Facebook und Herrn Schrems (beide sind nun Beklagte) ein, um dadurch weitere Fragen an den EuGH in einer Vorabentscheidung richten zu können. Nach über sechswöchigen Anhörungen, die hauptsächlich im Jahr 2017 stattfanden, stellte der irische High Court fest, dass die US-Regierung eine „Massenverarbeitung“ europäischer personenbezogener Daten betreibt, und übermittelte dem EuGH 2018, mittlerweile zum zweiten Mal, nunmehr elf Fragen (Link zum Urteil).

Nächste Schritte

Der EuGH führt den Fall unter C-311/18 und wird ihn am 9. Juli 2019 – etwa sechs Jahre nach Einreichung der ursprünglichen Beschwerde – zum zweiten Mal hören. Ein Urteil wird vor Ende des Jahres erwartet. Nach dem Urteil des EuGH wird die DPC erstmals über die Beschwerde entscheiden müssen. Gegen die Entscheidung könnten erneut Berufungen von Facebook oder Herrn Schrems eingelegt werden.

 

Kernargumente der Parteien

  • Die irische Datenschutzbeauftragte schließt sich der Auffassung von Herrn Schrems an, dass die US-Überwachungsgesetze die Grundrechte auf Privatsphäre, Datenschutz und Rechtsschutz nach europäischem Recht verletzen. Die DPC sagt jedoch, dass sie keine Befugnisse hat, das Problem zu lösen. Da der von Facebook verwendete Datenübermittlungsmechanismus (Standardvertragsklauseln) eine solche Situation nicht vorsieht, müssen die Klauseln selbst für ungültig erklärt werden. Dies würde allerdings bedeuten, dass Datenübermittlungen mittels den Standarddatenschutzklauseln in alle Länder eingestellt werden müssten.
  • Facebook ist der Ansicht, dass das US-Recht nicht über das hinausgeht, was nach EU-Recht legal ist. Zudem zweifelt Facebook an, ob die EU überhaupt eine Zuständigkeit in Fällen der „nationalen Sicherheit“ hat. Zusammenfassend lässt sich sagen, dass Facebook kein Problem damit hat, weiterhin Daten an die USA im Rahmen von Massenüberwachungsgesetzen wie der FISA zu übermitteln. Facebook stützt sich auch auf die Bewertung des US-Rechts durch die Europäische Kommission in der so genannten „Privacy Shield“-Entscheidung, wonach die US-Überwachungsgesetze den EU-Anforderungen entsprechen.
  • Herr Schrems stimmt mit der DPC hinsichtlich des Problems überein, schlägt aber eine gemäßigtere Lösung Das Gesetz (Artikel 4 der Standarddatenschutzklauseln) erlaubt es der DPC, einzelne Datenübermittlungen zu unterbinden (wie die von Facebook). Herr Schrems ist der Ansicht, dass die irische DPC eine Handlungspflicht hat, anstatt den Fall an den CJEU zurückzuverweisen. Mit Blick darauf, dass sich Facebook auf „Privacy Shield“ verlässt, ist Herr Schrems der Ansicht, dass die Privacy Shield-Entscheidung der Europäischen Kommission die Lage der US-Überwachungsgesetze nicht angemessen beschreibt, nicht annähernd in der Lage ist, einen angemessenen Datenschutz zu gewährleisten, und daher für ungültig erklärt werden muss.
  • Europäische Kommission: Es wird erwartet, dass die Europäische Kommission ihre beiden Entscheidungen verteidigen wird: Die Standarddatenschutzklauseln und Privacy Shield. Sie wird wahrscheinlich der Ansicht der Vereinigten Staaten und Facebook teilen, dass es keine Verletzung der Grundrechte in den Vereinigten Staaten gibt, aber auch einsehen, dass die DPC die Befugnis hat, das Problem selbst zu lösen, sofern der EuGH eine Verletzung der Grundrechte feststellt.

Stellungnahme

Max Schrems, Vorsitzender von noyb: „Wir schlagen eine gemäßigte Lösung vor. Die irische DPC muss das Recht einfach durchsetzen, anstatt den Fall immer wieder nach Luxemburg zu verweisen. Wenn die Behörde korrekt vorgeht müssten Datenübermittlungen die nicht notwendig sind und für Spionage oder Überwachung genutzt werden von der Behörde untersagt werden. Dieses Verfahren ist seit sechs Jahren anhängig. In diesen sechs Jahren hat die DPC in lediglich in 2-3% der ihr vorgelegten Fälle entschieden. Wir haben kein Problem mit ‚Standarddatenschutzklauseln‘, wir haben ein Problem mit der Durchsetzung des Rechts.“

noyb

noyb ist eine neue europäische gemeinnützige Organisation, die das Recht auf Privatsphäre bei den Behörden und gerichtlich durchsetzt. Sie unterstützt diesen Fall und wird selbst von mehr als 3.500 spendenden Mitgliedern unterstützt.

 

Hauptakteure

Die Parteien vor dem Gericht sind die irische Datenschutzbeauftragte, Facebook Ireland Ltd. und Max Schrems. Der irische Gerichtshof hat auch vier „amicus curiae“ (neutrale Helfer des Gerichts) zugelassen: die US-Regierung, die Electronic Privacy Information Center (epic.org) sowie zwei Branchenlobbyorganisationen.

Alle EU-Mitgliedstaaten, die Europäische Kommission, das Europäische Parlament und der Europäische Datenschutzrat (EDPB) konnten Stellungnahmen einreichen.

#MakePrivacyReal

Our work is made possible by more than 3.100 supporting members – any maybe you?