Schrems vs. Facebook: EuGH soll über Standardvertragsklauseln entscheiden

Der Datentransfer in die USA könnte eine weitere rechtliche Grundlage verlieren. Nach einem Urteil des irischen Obersten Gerichtshofs soll der Europäische Gerichtshof (EuGH) darüber entscheiden, ob Facebook auf der Basis sogenannter Standardvertragsklauseln personenbezogene Nutzerdaten in die USA übertragen darf. Das Vorgehen hatte sich bereits im Mai 2016 angedeutet.

Nachdem der EuGH im Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärt hatte, übermittelten Firmen die Daten in die USA vielfach auf der Basis entsprechender Klauseln. Der österreichische Datenschutzaktivist Max Schrems, der bereits das erste Verfahren vor dem EuGH ausgelöst hatte, hält jedoch auch diese Klauseln nicht für ausreichend, um den Datentransfer wegen der Zugriffsmöglichkeiten der Geheimdienste zu legitimieren.

DPC schreckt vor Facebook-Blockade zurück

Die für Facebooks Europazentrale zuständige irische Datenschutzbehörde (DPC) teilte im Grunde Schrems' Bedenken, dass auch die Standardvertragsklauseln nicht ausreichen, um die Daten europäischer Bürger in den USA ausreichend vor dem Zugriff staatlicher Behörden zu schützen. Schrems forderte daher die Behörde auf, Facebook auf Basis von Artikel 4 des Kommissionsbeschlusses zu Standardvertragsklauseln (2010/87/EU) den Datentransfer in die USA zu untersagen.

Doch davor schreckte die DPC zurück. Statt dessen legte sie den Fall dem irischen High Court vor. Dieser schloss sich in einer 153-seitigen Entscheidung (Kurzfassung) der Datenschutzbehörde an, die gefordert hatte, den EuGH generell über die angezweifelte Gültigkeit von Standardvertragsklauseln entscheiden zu lassen.

Einheitliche Regelung in Europa gefordert

Der High Court begründete die Entscheidung unter anderem damit, dass die Datenschutzvorgaben in der EU einheitlich angewandt werden müssten. Nur damit könne verhindert werden, dass die Erlaubnis für Datentransfers von individuellen Entscheidungen nationaler Datenschutzbehörden auf Basis individueller Fälle abhänge.

Schrems hält es im Prinzip für überflüssig, den EuGH in dieser Frage anzurufen. Allerdings begrüßte er in einer ersten Stellungnahme, dass der Oberste Gerichtshof die Fakten zu den US-Überwachungsprogrammen wie Prism zusammengefasst habe. "Facebook scheint in jeder seiner Argumentationen verloren zu haben", sagte Schrems.

Datenschutzverordnung ändert nichts

In der kommenden Woche will der Oberste Gerichtshof zusammen mit den Verfahrensbeteiligten über den konkreten Wortlaut der Fragen entscheiden, die dem EuGH vorgelegt werden. Mit einem Urteil dürfte in etwa anderthalb Jahren zu rechnen sein.

Das Inkrafttreten der Datenschutzgrundverordnung im Mai 2018 macht die Frage nach den rechtlichen Grundlagen für die Datentransfers nicht obsolet. Die Verordnung erlaubt ebenfalls die Datenübertragung in Länder mit einem "angemessenen Schutzniveau" (Artikel 45) oder auf Basis von Standarddatenschutzklauseln (Artikel 46). Hinzu kommen noch "genehmigte Verhaltensregeln" und ein "genehmigter Zertifizierungsmechanismus". Sollte der EuGH aber ein weiteres Mal zu dem Schluss kommen, dass aufgrund der Zugriffsmöglichkeiten der US-Geheimdienste sowie unzureichender Rechtsbehelfe für EU-Bürger die Daten dort nicht ausreichend geschützt sind, dürfte es echte Probleme geben.

Dann würde den US-Firmen nur noch helfen, die Daten in Europa zu speichern. Doch selbst für diesen Fall gibt es Pläne, US-Behörden den Zugriff auf Rechenzentren zu erlauben, die nicht in den USA liegen. Dann müssten die Unternehmen die Rechenzentren auf EU-Firmentöchter auslagern, die nicht dem US-Recht unterliegen.