Der Datenschutzaktivist und Jurist Max Schrems erzielt einen großen Erfolg gegen Facebook vor dem EuGH. Das Zuckerberg-Unternehmen darf Daten europäischer Nutzer nicht in die USA übermitteln.
Der Europäische Gerichtshof hat entschieden und folgt damit einer Beschwerde des Datenschützers Max Schrems, der 2016 die Gültigkeit der Standardvertragsklauseln (SCC) in Frage stellte. Facebook darf Daten europäischer Bürger nicht in die USA übermitteln. Damit folgt der EuGh nicht der Empfehlung der Generalanwälte. Ein Gutachter kam 2019 zu dem Schluss, dass die Standardvertragsklauseln grundsätzlich gültig seien.
Schrems beanstandete, dass Facebook in den USA, seinem Hauptsitz, dazu verpflichtet ist, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - Betroffene können dagegen rechtlich nicht vorgehen und wissen zumeist auch nicht darüber Bescheid. Schrems fordert den Stopp der Datenübertragung zwischen Facebook Irland und Facebook Inc. in den USA.
In einer ersten Reaktion meldet sich Schrems nach der Urteilsverkündung zu Wort: "Ich bin sehr glücklich über das Urteil. Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Das ist ein totaler Schlag für die irische DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen."
Auf Basis sogenannter Standardvertragsklauseln (SCC) können Nutzerdaten von EU-Bürgern aber weiterhin in die USA und andere Staaten übertragen werden, urteilten die Luxemburger Richter. "Das bedeutet, dass der transatlantische Datenfluss weitergehen kann", sagte Jourova. Allerdings urteilte der Gerichtshof auch, dass die Datenübertragung von Facebook und anderen Unternehmen, die unter das strenge US-Überwachungsgesetz FISA fallen, auch über die SCC nicht möglich seien.
Was für Abkommen bisher galten
Dabei wurde das Abkommen bereits mehrfach geflickt und repariert: Am Rande der Plenarsitzung des Europaparlaments in Straßburg verkündeten 2016 der EU-Kommissionsvizepräsident Andrus Ansip sowie die für Justizfragen zuständige Kommissarin, Vera Jourová , einen Kompromiss in der Frage des Umgangs mit europäischen Daten, die von US-Unternehmen außerhalb Europas bearbeitet werden. Geregelt wurde das Prozedere durch einen sogenannten Safe-Harbor-Vertrag.
Dieser besagt vereinfacht ausgedrückt, dass europäische Daten in US-amerikanischen Serverfarmen den gleichen Schutz genießen wie innerhalb der EU – was den US-Unternehmen ermöglicht, personenbezogene Daten aus Europa in die USA zu transferieren. Doch seit vergangenem Herbst dürfen Unternehmen wie Google und Facebook diesen sicheren Hafen nur mehr eingeschränkt anlaufen. Grund dafür war eine Klage, die der österreichische Student Max Schrems beim Europäischen Gerichtshof (EuGH) eingebracht hatte. Schrems' Vorwurf: US-Firmen schützen europäische Daten nicht, sondern liefern sie an den US-Geheimdienst NSA aus, der in der Folge Europäer flächendeckend ausspioniert. Im Herbst 2015 schlossen sich die europäischen Höchstrichter dieser Sichtweise an und annullierten das bisherige Safe-Harbor-Abkommen.
Aus dem sicheren Hafen wurde ein (vermeintlich undurchdringlicher) Schild: der „EU-US-Privacy-Shield“, wie Jourová erläuterte. Der Pakt sieht demnach vor, dass europäische Daten in den USA von einer zusätzlichen Instanz bewacht werden: dem US-Handelsministerium. Das Department of Commerce soll Unternehmen regelmäßig in die Server schauen und jene Firmen, die vereinbarte Sicherheitsauflagen nicht hinreichend erfüllen, sanktionieren – bis hin zum Entzug der Lizenz.
Mögliche Folgen
Klar ist, dass mit diesem Urteil transatlantische Transfers personenbezogener Daten unzulässig sind. Eine gleichwertige Alternative für den Datenverkehr gibt es aber bislang nicht. Der Verband der Internetwirtschaft Eco warnte bereits vor dem Urteil vor „fatalen Folgen“.
Die Entscheidung kommt nicht gänzlich unerwartet. EU-Kommissionspräsidentin Vera Jourová hatte sich bereits im Vorfeld darauf vorbereitet: "Ich habe am Dienstag bereits mit US-Wirtschaftsminister Wilbur Ross darüber gesprochen: Wir müssen uns auf alle Eventualitäten einstellen und eine Antwort bereithalten", sagte sie.
USA-Europa-Gespräche sollen am Freitag starten
"Wir werden auf Grundlage des heutigen Urteils eng mit unseren amerikanischen Kollegen zusammenarbeiten", sagte die Vizepräsidentin der EU-Kommission, Vera Jourová, am Donnerstag.
Man müsse das Urteil in Ruhe analysieren. Eine Priorität der Brüsseler Behörde sei, den Schutz personenbezogener Daten beim transatlantischen Datenverkehr zu garantieren. Nach Angaben der EU-Kommission sind bereits für Freitag Kontakte zu US-Handelsminister Wilbur Ross geplant.