EuGH verhandelt zu Datenübermittlung in USA: Sch­rems und Face­book streiten über Daten­transfer

Sechs Jahre nachdem Maximilian Schrems seine Beschwerde gegen Facebook eingereicht hat, ist nun wieder Bewegung in Rechtssache C-311/18 gekommen: Am Dienstag findet die mündliche Verhandlung beim Europäischen Gerichtshof (EuGH) statt. Hinter dem Aktenzeichen verbirgt sich ein Verfahren, das einen Großteil des Datentransfers in Drittstaaten wie in die USA zum Erliegen bringen könnte.

Wie alles begann: In seiner Beschwerde aus dem Jahr 2013 prangerte der damalige Jurastudent Schrems bei der irischen Datenschutzaufsichtsbehörde die Übermittlung seiner personenbezogenen in die USA durch Facebook an. Nach der durch die Snowden-Enthüllungen ans Tageslicht gelangten Überwachungspraktiken der NSA argumentierte er, dass die Übermittlung seiner Daten in die USA seine Grundrechte verletze.

Der Fall wurde von der irischen Behörde abgewiesen, dann einer gerichtlichen Überprüfung in Irland und anschließend durch den EuGH unterzogen. Im Jahr 2015 entschied der EuGH im Rahmen eines ersten Vorabentscheidungsersuchens des irischen Gerichts, dass das sog. Safe-Harbor-Abkommen keinen hinreichenden Schutz für eine Datenverarbeitung biete. Das Nachfolgemodell ist das EU-U.S. Privacy Shield. Seit 2016 bildet es die Grundlage für einen Großteil der Datenübermittlungen in die USA.

Privacy Shield und Model Clauses – genug Schutz für europäische Daten?

Beim EU-U.S. Privacy Shield handelt es sich um eine Art Selbstzertifizierungsmechanismus, dem sich US-Unternehmen unterwerfen können und das einen ausreichenden Schutz für EU-Daten bieten soll. Ein Großteil der Datentransfers von der EU in Drittstaaten einschließlich den USA, soweit sich das empfangende Unternehmen nicht dem Privacy Shield-Mechanismus unterworfen hat, wird daneben heutzutage auf sog. Model Clauses gestützt. Darunter sind Standardvertragsklauseln zu verstehen, die wenn sie unverändert zur Grundlage des Übermittlungsvertrages gemacht werden, ein hinreichendes Datenschutzniveau bescheinigen sollen. Solche Model Clauses gibt es in unterschiedlicher Ausformung für den Transfer zwischen zwei Verantwortlichen, aber auch für denjenigen zwischen einem Verantwortlichen und einem Auftragsverarbeiter. In der nun vor dem EuGH zu verhandelnden Rechtssache tritt Facebook in beiden Rollen auf - die irische Gesellschaft in der Rolle des Verantwortlichen, die US-amerikanische Konzernmutter als Auftragsverarbeiter.

Nach der genannten EuGH-Entscheidung zu Safe Harbor teilte die irische Datenschutzaufsichtsbehörde Schrems Ende 2015 überraschenderweise mit, dass Facebook seinen Datentransfer tatsächlich nie auf Safe Harbor gestützt habe. Die für den transatlantischen Datenverkehr so folgenschwere EuGH-Entscheidung hatte also keine Auswirkung auf den Fall. Vielmehr, so die Aufsichtsbehörde weiter, übermittle Facebook personenbezogene Nutzerdaten seit 2013 auf Basis der Model Clauses. Der Datenschutz-Anwalt Schrems passte also seine Beschwerde an diese neuen Tatsachen an und forderte weiterhin, Facebook am Datentransfer in die USA zu hindern. Anstatt in der Sache zu entscheiden, verklagte die irische Aufsichtsbehörde Schrems und Facebook (die nunmehr also beide auf Beklagtenseite auftreten) nach einer kurzen Ermittlungszeit von wenigen Monaten, um eine Interpretation wesentlicher Fragen des EuGH zu erlangen.

Daraufhin hat der irische High Court im Jahr 2018 eine gezielte und massenhafte Überwachung durch die Regierungsbehörden der Vereinigten Staaten festgestellt und dem EuGH mit einem zweiten Vorabentscheidungsverfahren eine Reihe von Fragen vorgelegt, deren Beantwortung weitreichende Konsequenzen nicht nur für in Drittstaaten ansässige Unternehmen, sondern für jedes Unternehmen haben dürfte, das mit personenbezogenen Daten aus der EU umgeht und das nicht ausschließlich auf eigene Infrastruktur zurückgreift. Sollte der EuGH zu dem Schluss kommen, dass eines der beiden oder gar die beiden Institute - Privacy Shield und Model Clauses - personenbezogene Daten aus der EU nicht ausreichend schützen, muss etwas Neues her. Dann muss die Übermittlung in Drittstaaten, insbesondere in die USA grundsätzlich neu gedacht werden.

Neues Datenschutzrisiko nach dem CLOUD Act?

Tatsächlich stößt die Datenübertragung in Länder wie die USA auf datenschutzrechtliche Bedenken. Dies hat sich durch jüngste Gesetzesänderungen wie dem sog. "Clarifying Lawful Overseas Use of Data Act" (CLOUD Act) noch verstärkt. Durch den CLOUD Act muss ein dem US-Recht unterstehender Anbieter elektronischer Kommunikationsdienste Daten unter seiner Kontrolle offenlegen, wenn beispielsweise eine US-Behörde wie das FBI deren Herausgabe verlangt. Die "europäischen" Daten werden also so behandelt, als seien sie innerhalb der USA gespeichert, US-Behörden haben also auch auf solche Daten Zugriff, die außerhalb der USA liegen. Anders als nach altem Recht, ist gerade kein Rechtshilfeabkommen mehr erforderlich. Aus Sicht des EU-Rechts, das durch Regelungen wie Art. 3 Datenschutz-Grundverordnung (DSGVO) extraterritoriale Geltung für sich beansprucht, ist dies problematisch.

Im Unterschied zu der Rechtssache C-311/18, bei der es um die Übermittlung personenbezogener Daten in die USA geht, betrifft der Cloud Act also Daten, die zwar die EU nicht verlassen, die aber von dem US-amerikanischen Recht unterliegenden Anbietern verarbeitet werden. Im Kern geht es in beiden Fällen um die Frage, wie weit eine Rechtsordnung in das Hoheitsgebiet eines anderen Staates anderen hineinragen darf.

Europäisches Datenschutzrecht mit Durchsetzungsdefizit

Manche Datenschützer betrachten die Entwicklungen in den USA gar als "Provokation". Mit Hochdruck arbeitet die EU deshalb an einem sogenannten Exekutivabkommen, das zum CLOUD Act passen soll. Unter Datenschützern ist allerdings umschritten, ob ein solches Abkommen den Anforderungen der DSGVO an ein Rechtshilfeabkommen überhaupt genügen würde. Wichtig wäre in diesem Zusammenhang in jedem Fall, dass die hohen Standards der DSGVO auch auf die US-Behörde übertragen würden. Die US-Behörde müsste die übermittelten Daten genauso schützen, als verblieben sie in der EU. Zum Beispiel müsste die US-Behörde verpflichtet sein, die Daten zu löschen, wenn der Zweck ihrer Verarbeitung entfallen ist.

Diese Entwicklungen wie auch die aktuelle Rechtssache vor dem EuGH zeigen, dass das europäische Datenschutzrecht unter einem Durchsetzungsdefizit leidet. Aufsichtsbehörden sollten schneller zu Entscheidungen gelangen, wenn sie Verstöße gegen Datenschutzrecht feststellen. Es geht aber auch um die Abgrenzung zweier Rechtsordnungen zueinander und damit um Souveränität. Beansprucht die DSGVO auch von Datenverarbeitern in Drittstaaten eingehalten zu werden, stellt sich die Frage, wie eine effektive Durchsetzung einer solchen Regelung aussehen soll.

Es bleibt mit Spannung zu erwarten, wie sich die Rechtssache C-311/18 weiterentwickelt. Unternehmen sollten diese Entwicklungen wachen Auges verfolgen und gegebenenfalls die eigenen Datenverarbeitungsvorgänge überprüfen. Auf Datentransfers ohne Rechtfertigung aus den Art. 44 ff. DSGVO jedenfalls drohen erhebliche Bußgelder. Eine aktuelle Übersicht über die bereits ergangenen und veröffentlichten Bußgelder in EU und EWR ist mittlerweile online abrufbar.

Dr. Johanna M. Hofmann, LL.M. ist Rechtsanwältin für IT- und Datenschutzrecht in der Wirtschaftskanzlei CMS Hasche Sigle in Deutschland. Sie hat zu Fragen der dynamischen datenschutz- und datensicherheitsrechtlichen Zertifizierung von Cloud-Computing unter der DSGVO promoviert.