Spektakuläres EuGH-Urteil im Fall „Max Schrems vs. Facebook“

Datenschutz: EuGH erklärt „Safe-Harbor“-Abkommen mit den USA für unzulässig

Spektakuläres EuGH-Urteil im Fall „Max Schrems vs. Facebook“

Das mit Spannung erwartete EuGH-Urteil im Datenschutzrecht sorgte für Aufsehen und übertraf sogar die Erwartungen vieler Kritiker von Facebook. Wird Facebook, Google und Co. nun der Stecker gezogen? Die Juristen und Datenschützer diskutieren bereits erste Lösungsmöglichkeiten und prüfen rechtliche Folgen. Bis zu ersten Ergebnissen werden wohl noch einige Tage vergehen. Das Internet läuft bis dahin weiter wie bisher.

Die Meldungen überschlugen sich am gestrigen Tag. Die Sueddeutsche spricht von einem „sensationellem Urteil“, SPON betitelt in einem Artikel die Sache als „Triumph für Snowden, Blamage für Merkel“ und stern.de feiert einen „Etappensieg gegen die Internet-Spione“.

Was war passiert?

Der Wiener Jurist Max Schrems befindet sich seit Jahren mit Facebook im Rechtstreit. Nun erreichte er einen „großen Sieg“, wenngleich die Entscheidung des Europäischen Gerichtshofs sogar über sein vermeintliches Ziel hinausgehen könnte. Ich sage bewusst „könnte“, denn so ganz sind sich die Datenschützer, Juristen und Politiker noch nicht im Klaren über die Auswirkungen dieser Entscheidung.

Im vorliegenden Fall zog Schrems vor den irischen High Court wegen etwaiger Datenschutzverstöße von Facebook. Unter anderem sollte geklärt werden, ob das Recht in den Vereinigten Staaten ein ausreichendes Datenschutzniveau angesichts der durch die Edward Snowden bekannt gewordenen NSA Überwachungsmethoden garantiere und somit ein angemessenes Schutzniveau der in die USA übermittelten personenbezogenen Daten gewährleiste. Nach den Vorgaben des Datenschutzes dürfen personenbezogene Daten erstmal nicht in ein Land übermittelt werden, was dem deutschen (europäischen) Schutzstandard nicht gerecht wird.

Nach vielem hin und her und Schrems Beschwerde gegen eine vorherige Entscheidung legte das irische Gericht schließlich die Klärung dieser Frage dem EuGH vor, die sich nun weitreichend damit auseinandergesetzt und festgestellt haben, dass das so genannte „Safe Habor“-Abkommen, welches auf Druck der Regierungen zwischen den USA und der europäischen Kommission im Jahre 2000 geschlossen wurde, unwirksam sei. Als Grund wird unter anderem angegeben, dass die US-Amerikanischen Geheimdienste wie die NSA nachweislich Zugriff auf die Server der Unternehmen haben und auch Nutzerdaten abfragen.

Die USA ist kein sicherer Hafen mehr

Nun stützen sich zu einem Großteil der Unternehmen in Deutschland auf Grundlage dieses „Safe Habor“ Abkommens die Übertragung der Daten in den USA.

Fällt diese nun weg und fehlt es an einer anderen Rechtsgrundlage, gelten – simpel gesagt – sämtliche datenschutzrechtliche Vorgänge im Zusammenhang mit der Übermittlung von personenbezogenen Daten in die USA als rechtswidrig. Und das gilt nicht nur für Facebook.

Wäre dem so – zumindest ist dies eine Deutungsmöglichkeit des heutigen Urteils – dürften grundsätzlich sämtliche Unternehmen hierzulande, die personenbezogene Daten beispielsweise via Cloud-Computing, E-Mail oder auf Server in den USA übermitteln, gegen den deutschen Datenschutz und das Bundesdatenschutzgesetz (BDSG) verstoßen. Theoretisch könnten die einzelnen Datenschutz-Behörden aus Deutschland diese Unternehmen nun auf die datenschutzrelevanten Vorgänge prüfen und bei einem etwaigen Verstoß Maßnahmen bis hin zum Bußgeld androhen, respektive verhängen.

Es gibt zwar Lösungswege im Datenschutzrecht, aber….?

Allerdings könnten den betroffenen Unternehmen die so genannten „EU-Standard-Vertragsklauseln“ oder die „Binding Coperate Rules“ helfen, also anerkannte Verträge und Selbsteinstufungen, wie auch die (wohl) umstrittene Möglichkeit, die Übermittlung der personenbezogenen Daten in die USA im Rahmen der „Einwilligung“ des Nutzers vorzunehmen. Wer ausdrücklich im Rahmen der AGB / Nutzungsbedingungen in diesen technischen Vorgang in voller Kenntnis oder beispielsweise zum Zwecke der Vertragsdurchführung, könnte den in der Internet-Praxis so wertvollen Daten-Transfer zu Gunsten der Unternehmen erlauben (Zu denken ist z.B. an die im BDSG eher verstecke Ausnahmevorschrift nach §4c Abs. 1 Nr. 3 BDSG, auf die eventuell zurückgegriffen werden könnte). Aber Facebook war diesbezüglich ja bislang immer sehr hartnäckig, oder sagen wir: kreativ.

Allen drei „Rettungsringen“ ist gemein, dass sie nach dem Empfinden manch Datenschützers allerdings voraussetzen, dass in den USA ein angemessenes Datenschutzniveau bestehe, woran es aber unter Umständen fehle, wie die Richter am EuGH gestern haben durchblicken lassen.

Die juristischen Feinheiten und etwaigen Konstruktionen aus dem BDSG oder Telemediengesetz (TMG) möchte ich an dieser Stelle bewusst ausklammern, da sich die Juristen wohl noch einige Zeit mit der EuGH-Entscheidung und dessen Tragweite beschäftigen müssen, bis ein wenig Licht ins Dunkle kommt. Wichtig: Es ist damit nicht garantiert, ob Irland überhaupt den Datenschutz bei Facebook prüft und/oder die Datenschutzbehörden als Aufsichtsbehörden gegen betroffene Unternehmen einschreiten. Man kann es zwar vermuten, es kann aber auch erstmal eine Weile nichts passieren.

Ein weiterer Aspekt: Ob es zu einer finalen juristischen oder letztlich politischen transatlantischen Entscheidung führt, ist zurzeit nicht geklärt. Die Kommission arbeitet bereits an einem neuen transatlantischem Abkommen und auch die europäische Datenschutzgrundverordnung befindet sich in den letzten Zügen vor der Verabschiedung.

Ich werde gegebenenfalls demnächst einen tiefergehenden, juristischen Artikel zu diesem Thema nachreichen. In jedem Fall werde ich euch auf dem Laufenden halten!

Bis es so weit ist, verweise ich gerne auf guten Lesestoff: