Seit Jahren versucht der Datenschützer Max Schrems die irische Datenschutzbehörde dazu zu bringen, gegen die Datenübermittlung Facebooks in die USA vorzugehen. Nun muss der EuGH entscheiden: Darf Facebook aus Europa Daten in die USA schicken? Die Schlussanträge des EuGH-Generalanwalts liegen inzwischen vor. Droht ein zweites Safe Harbor? Von Rechtsanwalt Christian Solmecke, LL.M, Gesellschafter der Kanzlei Wilde Beuger Solmecke
Seit nunmehr sechs Jahren kämpft der Österreicher Max Schrems gegen Facebook und um Beantwortung der enorm wichtigen Frage, ob Facebook Daten aus Europa in die USA versenden darf. Schon 2013 hatte Schrems, damals österreichischer Jurastudent, heute bekannter Datenschutzaktivist, bei der irischen Datenschutzbehörde eine Beschwerde gegen Facebook eingereicht.
Schrems brachte schließlich 2015 das umstrittene „Safe Harbor“-Abkommen zu Fall, das die Datenübermittlung zwischen Unternehmen in der EU und den USA ermöglichen sollte. „Safe Harbor“ wurde kurz darauf durch den sogenannten EU-US Privacy Shield ersetzt. Beim Privacy Shield handelt es sich um eine Art freiwilliges Gütesiegel für Unternehmen, welche sowohl in Europa als auch zum Beispiel in den USA tätig sind. Schrems EuGH-Erfolg führte jedoch nicht zur Erledigung der Streitigkeit, denn Facebook erklärte, sich stattdessen auf eine andere Rechtsgrundlage zu stützen, nämlich auf sogenannte Standardvertragsklauseln. Diese Standardvertragsklauseln, die von der EU herausgegeben wurden, nutzen Unternehmen, die sich nicht dem Privacy Shield unterworfen haben, um Daten in die USA vermeintlich rechtswirksam zu übertragen.
Angesichts der Rechtslage in den USA und der Überwachungspraxis der US-Sicherheitsbehörden sei klar, dass Facebook gar nicht gewährleisten könne, dass das in den Standardvertragsklauseln vorgesehene Datenschutzniveau eingehalten werden könne.
Schrems befürchtet jedoch auch hierbei, dass seine Daten in den USA nicht sicher sind. Angesichts der Rechtslage in den USA und der Überwachungspraxis der US-Sicherheitsbehörden sei klar, dass Facebook gar nicht gewährleisten könne, dass das in den Standardvertragsklauseln vorgesehene Datenschutzniveau eingehalten werden könne. Daher wehrte er sich auch gegen die Übertragung seiner Daten auf Grundlage der verwendeten Standardvertragsklauseln.
Der Fall landete erneut vor dem EuGH. Im Dezember 2019 veröffentlichte der EuGH nun die Schlussanträge des Generalanwalts in der Sache. Seiner Auffassung nach sind die von Facebook verwendeten Standardvertragsklauseln rechtlich nicht zu beanstanden. Auf Grundlage der verwendeten Standardvertragsklauseln jedenfalls könne Facebook ein Datentransfer aus der EU in die USA nicht untersagt werden. Über das Privacy Shield müsse hingegen gar nicht erst geurteilt werden. Dennoch ließ er Zweifel an dem Beschluss der Kommission zum Privacy Shield durchblicken im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf. Doch es ist unwahrscheinlich, dass die Luxemburger Richter – so wie im Fall „Safe Harbor“ – erneut die gesamte Grundlage der Datenübermittlung in die USA kippen werden. Ein Urteil wird in einigen Monaten erwartet. Dann zeigt sich, ob der EuGH sich dem Generalanwalt anschließen wird.