noyb Blog | Updates

Prep – Vorbereitung zum Gutachten des Generalanwalts

Dez 18, 2019

Zur Vorbereitung der Bekanntgabe des unverbindlichen Gutachtens des Generalanwalts am 19. Dezember um ca. 9:45 Uhr in Luxemburg haben wir das folgende Vorbereitungsdokument erstellt. Der Fall ist seit 6,5 Jahren anhängig, befasst sich mit komplexen EU-Datenschutz- und US-Aufsichtsgesetzen und war Gegenstand von vier Anhörungen vor verschiedenen Gerichten. Der Fall ist daher sehr komplex.

Hier das gesamte Prep-Dokument herunterladen  (PDF)

I. Hintergrund des Falles

US-Überwachung. Wie die Aufdeckungen von Edward Snowden bestätigten, sind viele große US‑Internetunternehmen (in diesem Fall Facebook) verpflichtet, der US-Regierung den Zugang zu europäischen Benutzerdaten in großem Umfang zu ermöglichen. Dies geschieht für Zwecke der „foreign intelligence“ (was alles von Terrorismusbekämpfung bis zu Spionage abdeckt).

Eine solche Verwendung von europäischen Daten kann durchaus gegen europäische Interessen erfolgen (z.B. bei der Durchsetzung von US-Sanktionen gegen EU-Unternehmen oder bei der Spionage gegen EU-Bürger und gegen europäische Regierungen).

 

2013 – 2015: Der „Safe Harbor“ Fall. Auf der Grundlage dieser Fakten reichte Max Schrems schon 2013 bei der irischen Datenschutzbehörde („DPC“) eine Beschwerde gegen Facebook ein. Die DPC wies die Beschwerde zunächst als „ frivolous and vexatious“ zurück. Schrems klagte und gewann schließlich.

Im Fall C‑362/14 Schrems bestätigte der EuGH die Ansicht von Schrems und entschied, dass die Massenüberwachung die europäischen Grundrechte verletzt. Der CJEU hat das bisherige „Safe Harbor“-System, das den Datentransfer zwischen der EU und den USA ermöglichte wegen schweren Datenschutzbedenken, für ungültig erklärt. Dieses System wurde 2016 schnell durch das neue „Privacy Shield“ ersetzt. Schrems: „Privacy Shield ist eine minimal behübschte Version des illegalen ‚Safe Harbor‘. Nichts an den US-Überwachungsgesetzen wurde geändert oder repariert.“

 

Standardvertragsklauseln („SCCs“). Nach der ersten EuGH-Entscheidung zu „Safe Harbor“ behauptete Facebook, man würde nun nicht „Privacy Shield“, sondern sogenannte „Standardvertragsklauseln“ (SCCs) verwenden um Daten zwischen der EU und den USA zu übertragen.

SCCs sind ein Vertrag zwischen einem EU-Unternehmen (hier Facebook Irland) und einem ausländischen Unternehmen (hier Facebook Inc, in Kalifornien). In den SCCs verpflichtet sich das ausländische Unternehmen, den europäischen Datenschutz zu respektieren. Die DSGVO geht davon aus, dass derartige Verträge die Daten im Ausland ausreichend schützen.

 

Kernproblem: US-Überwachung bricht EU-Datenschutz? Nach den EU-Datenschutzgesetzen („DSGVO“) und den SCCs ist ein „Datenexport“ in ein Drittland nur dann legal, wenn das exportierende Unternehmen (hier Facebook Ireland Ltd) in den USA einen „angemessenen Schutz“ gewährleisten kann. In der Praxis erwies sich dies als unmöglich, da die US-Überwachungsgesetze (wie FISA 702 und EO 12.333) zur „Massenverarbeitung[1] personenbezogener Daten durch die US-Regierung führen. Schrems: „Einfach ausgedrückt: Europäisches Recht verlangt Datenschutz, während das US-Recht eine Massenüberwachung verlangt. Die Frage ist, was passiert, wenn ein EU-Unternehmen wie Facebook Irland dem US- statt dem EU-Recht folgt?

 

Antrag von Herrn Schrems & Reaktion durch die irische DPC. Angesichts der oben genannten Situation und des Urteils im „Safe Harbor“-Fall forderte Schrems die irische DPC im Jahr 2015 auf, das EuGH-Urteil umzusetzen und Facebook die weitere Datenübermittlung in die USA zu untersagen. Artikel 4 der SCCs gibt der Behörde genau diese Möglichkeit. Die Behörde war sich zwar mit Schrems einig, dass die US-Überwachungsgesetze gegen EU-Recht verstoßen, dachte jedoch nicht daran den Datenfluss zwischen Facebook Irland und Facebook USA zu stoppen. Schrems: „Wir haben eine gezielte Lösung gefordert, nur für Unternehmen, die unter diese US-Überwachungsgesetze fallen. Die DPC hätte eine solche Anordnung innerhalb eines Tages erlassen können.“

 

DPC will SCCs für ungültig erklären. Anstatt dem Antrag von Max Schrems zu folgen, reichte die DPC eine Klage gegen Facebook und Max Schrems vor dem irischen High Court ein (beide sind Beklagt). Das Ziel der Klage war es den Fall an den EuGH zurückzuverweisen – diesmal wegen der angeblichen Ungültigkeit der SCCs. Der High Court ist der Klage der DPC nachgekommen und hat elf Fragen an den EuGH vorgelegt. Facebook und Schrems waren gegen diese neuerliche Vorlage. Schrems: „Der ganze Fall ist ein Versucht der irischen Behörde nicht zu entscheiden und die heiße Kartoffel ein zweites Mal nach Luxemburg zu schicken. Nach über 6 Jahren hat die Behörde noch immer nichts gemacht.“  

 

noyb.eu & Juristisches Team Max Schrems führt diesen Fall unentgeltlich und wird von einem Team von Juristen aus Irland, den USA und Luxemburg unterstützt. Unterstützt wird der Fall auch durch den spendenfinanzierten Verein noyb.eu, deren ehrenamtlicher Vorsitzender er ist. Herr Schrems wird in Irland durch Eoin McCullhan und Ahern Rudden Quigley Solicitors vertreten. Prof. Herwig Hofmann unterstützte den Fall in europarechtlichen Angelegenheiten. Ashley Gorski von der American Civil Liberties Union (ACLU.org) hat den Fall mit Expertise im US-Überwachungsrecht unterstützt.

 

II. Mögliche Ergebnisse

Gutachten des Generalanwalts und endgültiges Urteil vermutlich nicht deckungsgleich. Irland hat dem EuGH elf teilweise miteinander verwobene Fragen vorgelegt. Im Gegensatz zu vielen anderen Fällen vorm EuGH ist daher keine binäre „Ja/Nein“-Antwort zu erwarten. Schrems: „Dieser Fall hat elf miteinander verbundene Fragen. Es ist sehr unwahrscheinlich, dass wir vom Generalanwalt eine einzige klare „Ja oder Nein“-Antwort erhalten werden. Angesichts der vielen Optionen ist es noch unwahrscheinlicher, dass die Richter diese elf Fragen auf die gleiche Weise beantworten werden.“

Auch die mündliche Verhandlung ließ auf mitunter andere Ansichten des Generalanwalts gegenüber den Richtern schließen. Schrems: „Während der Verhandlung waren die Fragen der Richter zum US-Recht deutlich kritischer als jene des Generalanwalts. Ich tippe daher darauf, dass das endgültige Urteil durchaus günstiger für den Datenschutz sein könnte als das Gutachten. ”

 

Langfristige Lösung erforderlich. Langfristig wird der grundlegende Konflikt zwischen den EU‑Datenschutzgesetzen und den US-Überwachungsgesetzen durch diesen Fall nicht gelöst werden. Schrems: „Wenn die USA die Daten von Europäern verarbeiten wollen, sollte man zumindest grundsätzlichen Datenschutz haben. Im Moment verhalten sich die USA ein wenig so, als ob die Schweiz sagen würde: ‚Lagere dein ganzes Gold bei uns, aber du hast keine Rechte, wenn es einmal hier ist“. Wenn das die Situation ist, wer in der Welt wird den USA seine Daten anvertrauen?

 

III. Position der Parteien zum „Kernpunkt“ des Falls

Ist eine Datenschutzbehörde der Ansicht, dass ein Empfänger von Daten in einem Drittland empfangene Daten nicht korrekt schützt, stellt sich die Frage, wie dieses Problem gelöst werden kann. Die drei Parteien des Verfahrens schlugen drei verschiedene Antworten vor:

 

Irische DPC

Max Schrems

Facebook

US-Überwachung ist okay unter EU-Recht.

(„Es gibt kein Problem zu lösen“)

Nein

Nein

Ja

Artikel 4 SCCs erlaubt die Aussetzung („zielgerichtete Lösung“ für FISA-Unternehmen).

Nein

Ja

Ja, wenn es ein Problem gäbe…

SCCs sind global nichtig.

(„radikale Lösung“)

Ja

Nein

Nein

  • Facebook ist der Ansicht, dass die Prämisse der Frage falsch ist, weil die US-Überwachung (aus verschiedenen Gründen) mit dem EU-Recht vereinbar ist und der Fall nicht EU-Recht unterliegt.
  • Max Schrems ist der Ansicht, dass Artikel 4 der SCCs es der DPC erlaubt, den Datenfluss im Einzelfall auszusetzen, aber die DPC nutzt diese „gezielte Lösung“ nach dem Gesetz nicht.

Hinweis: Die meisten EU-Mitgliedstaaten, die Europäische Kommission und sogar Facebook und einige Lobbygruppen sind sich einig, dass dies die Lösung ist, wenn ausländisches Recht gegen die SCCs verstoßen.

  • Die DPC sieht ein „systematisches“ Problem, das zur globalen Ungültigkeit der SCCs führen sollte, und es sollte nicht Aufgabe des DPC sein, in jedem Fall individuell zu handeln.

Hinweis: Diese Auffassung wurde von keiner anderen Partei, keinem anderen Mitgliedstaat oder einer anderen EU-Institution während der Anhörung vor dem EuGH unterstützt. Der DPC ist die einzige Partei, die diese Ansicht vertreten hat.

 

IV. FAQs & Häufige Missverständnisse

  • Wer will die SCCs für ungültig erklären?

Von allen Parteien beim CJEU war nur die DPC der Ansicht, dass die SCCs für ungültig erklärt werden sollten. Alle (EU-Institutionen, Mitgliedstaaten, Lobbygruppen, Facebook und Max Schrems) sind der Ansicht, dass die SCCs gültig sind.

  • Bedeutet dieser Fall nicht, dass man keine E-Mails mehr in die USA senden können?

Vereinfacht ausgedrückt kennt die DSGVO zwei „Typen“ von Datenflüssen: (1) Erforderliche Datenflüsse (wie E-Mails oder Buchungen im Ausland), für die es Ausnahmen in Artikel 49 DSGVO gibt, und (2) Fälle von „Outsourcing“ in ein Drittland, die nicht unbedingt notwendig sind.

Für E-Mails würde dies bedeuten, dass ein E-Mail-Postfach als Ganzes vielleicht nicht mehr in die USA ausgelagert werden kann, aber einzelne E-Mails, die an einen US-Freund oder -Kollegen gehen, sind möglich (genau wie E-Mails heute nach China, Russland oder sogar Nordkorea gesendet werden).

  • Betrifft dieser Fall alle Datenflüsse in die USA?

Nach den Argumenten von Max Schrems beschränkt sich das Kernproblem auf Unternehmen, die unter ein spezifisches Überwachungsgesetz namens „FISA 702“ fallen. Dieses Gesetz gilt nur für „elektronische Kommunikationsdienste“ (wie Facebook, Google oder Microsoft), nicht aber für „traditionelle Unternehmen“ wie Fluggesellschaften, Hotels, Handel, Finanzen und dergleichen.

Es gibt noch aber noch eine zweite Rechtsgrundlage („EO 12.333“), die es den USA erlaubt, die Überwachung in allen Industriesektoren durchzuführen, einschließlich der transatlantischen Kabel. Dies ist vor allem für die Bewertung „Privacy Shield“ relevant.

Insgesamt ist eine Aussetzung der Datenübermittlung im Rahmen der SCCs nur für Unternehmen erforderlich, die unter die 2007 eingeführte FISA 702 fallen. Das Problem kann durch die Behebung dieses Gesetzes in den USA gelöst werden.

  • Hat Herr Schrems Facebook nun zweimal verklagt?

Während Herr Schrems die ursprüngliche Beschwerde 2013 beim DPC eingereicht hat, hat der DPC dieses Verfahren ausgesetzt und eine Klage gegen Facebook und Herrn Schrems eingereicht. Sie sind Beklagte und haben diese (zweite) Vorlage an den EuGH probiert zu verhindern.

  • Was hat dieser Fall mit dem „Privacy Shield“ zu tun?

Facebook hat in diesem Fall „Privacy Shield“ vorgebracht, da sie argumentieren, dass die Europäische Kommission US-Überwachungsgesetze im „Privacy Shield“ genehmigt hat, und diese Bewertung sollte auch im Rahmen der SCCs gelten. Herr Schrems hat argumentiert, dass diese Bewertung sachlich falsch ist und der Privacy Shield daher ungültig ist.

Es ist unklar, ob der Generalanwalt dieses Thema behandeln wird. Die Richter haben die Europäische Kommission während der mündlichen Verhandlung aber intensiv zu „Privacy Shield“ befragt.

  • Warum argumentiert ihr, dass die SCCs in Ordnung sind, aber das Privacy Shield nicht?

Das SCC ist ein neutrales Tool für etwa 200 Länder der Welt. Sie befasst sich nicht mit den US‑Überwachungsgesetzen. Im Falle eines Gesetzeskonflikts erlaubt Artikel 4 der SCCs der DPC, die Datenübertragung zu stoppen. Die SCCs haben daher eine Antwort auf das Problem vor dem EuGH.

Im „Privacy Shiled“ hat die Europäische Kommission jedoch ausdrücklich festgestellt, dass US-Massenüberwachung mit dem EU-Recht vereinbar ist, was unserer Ansicht nach falsch ist.

  • Wie hätte die DPC eurer Meinung nach richtig gehandelt?

Nach Artikel 4 der SCC kann jede Datenschutzbehörde (wie die DPC) die Datenübertragung untersagen, wenn die SCCs faktisch nicht eingehalten werden. Facebook Irland ist sich der Überwachung durch die NSA seit mindestens 2013 bewusst, hat aber keine Maßnahmen ergriffen, um die Datenübertragung zu stoppen. In solchen Fällen muss die Behörde eingreifen und die Übermittlung untersagen.  

  • Wie können Unternehmen einer positiven Entscheidung nachkommen?

Zunächst müssten sie feststellen, ob ihre Daten an einen US-amerikanischen „Electronic Communication Service Provider“ gehen, der unter FISA 702 fällt. Die meisten traditionellen Branchen fallen nicht unter diese Überwachungsgesetze, aber große Technologieunternehmen, die viele von uns nutzen (wie Facebook, Google, Amazon oder Microsoft).

Auch wenn Daten an einen dieser Anbieter gehen, können die meisten wesentlichen Datenübertragungen (z.B. das Versenden von E-Mails, Direktnachrichten oder Buchungsdaten) weiterhin insogenannten „Ausnahmefällen“ in GDPR übertragen werden. In Fällen von reinem „Outsourcing“ müssen europäische Unternehmen jedoch möglicherweise Alternativen außerhalb der USA finden.

 

[1] Feststellung des irischen High Court (vorlegendes Gericht)