Druckversion
Sonntag, 3.12.2023, 07:44 Uhr


Legal Tribune Online
Schriftgröße: abc | abc | abc
https://www.lto.de//recht/hintergruende/h/eugh-c-311-18-facebook-schrems-daten-schutz-transfer-eu-usa-privacy/
Fenster schließen
Artikel drucken
36373

EuGH verhandelt zu Datenübermittlung in USA: Sch­rems und Face­book streiten über Daten­transfer

Gastbeitrag von Dr. Johanna M. Hofmann, LL.M.

09.07.2019

Daten-Transfer (Symbol)

(c) hanohiki - stock.adobe.com

Vor dem EuGH heißt es wieder: Max Schrems vs. Facebook. Der Datenschutzaktivist will überprüfen lassen, wie sicher EU-Daten in die USA übermittelt werden. Auf dem Spiel steht ein Großteil des gesamten Datenverkehrs, erläutert Johanna M. Hofmann.

Anzeige

Sechs Jahre nachdem Maximilian Schrems seine Beschwerde gegen Facebook eingereicht hat, ist nun wieder Bewegung in Rechtssache C-311/18 gekommen: Am Dienstag findet die mündliche Verhandlung beim Europäischen Gerichtshof (EuGH) statt. Hinter dem Aktenzeichen verbirgt sich ein Verfahren, das einen Großteil des Datentransfers in Drittstaaten wie in die USA zum Erliegen bringen könnte.

Wie alles begann: In seiner Beschwerde aus dem Jahr 2013 prangerte der damalige Jurastudent Schrems bei der irischen Datenschutzaufsichtsbehörde die Übermittlung seiner personenbezogenen in die USA durch Facebook an. Nach der durch die Snowden-Enthüllungen ans Tageslicht gelangten Überwachungspraktiken der NSA argumentierte er, dass die Übermittlung seiner Daten in die USA seine Grundrechte verletze.

Der Fall wurde von der irischen Behörde abgewiesen, dann einer gerichtlichen Überprüfung in Irland und anschließend durch den EuGH unterzogen. Im Jahr 2015 entschied der EuGH im Rahmen eines ersten Vorabentscheidungsersuchens des irischen Gerichts, dass das sog. Safe-Harbor-Abkommen keinen hinreichenden Schutz für eine Datenverarbeitung biete. Das Nachfolgemodell ist das EU-U.S. Privacy Shield. Seit 2016 bildet es die Grundlage für einen Großteil der Datenübermittlungen in die USA.

Privacy Shield und Model Clauses – genug Schutz für europäische Daten?

Beim EU-U.S. Privacy Shield handelt es sich um eine Art Selbstzertifizierungsmechanismus, dem sich US-Unternehmen unterwerfen können und das einen ausreichenden Schutz für EU-Daten bieten soll. Ein Großteil der Datentransfers von der EU in Drittstaaten einschließlich den USA, soweit sich das empfangende Unternehmen nicht dem Privacy Shield-Mechanismus unterworfen hat, wird daneben heutzutage auf sog. Model Clauses gestützt. Darunter sind Standardvertragsklauseln zu verstehen, die wenn sie unverändert zur Grundlage des Übermittlungsvertrages gemacht werden, ein hinreichendes Datenschutzniveau bescheinigen sollen. Solche Model Clauses gibt es in unterschiedlicher Ausformung für den Transfer zwischen zwei Verantwortlichen, aber auch für denjenigen zwischen einem Verantwortlichen und einem Auftragsverarbeiter. In der nun vor dem EuGH zu verhandelnden Rechtssache tritt Facebook in beiden Rollen auf - die irische Gesellschaft in der Rolle des Verantwortlichen, die US-amerikanische Konzernmutter als Auftragsverarbeiter.

Nach der genannten EuGH-Entscheidung zu Safe Harbor teilte die irische Datenschutzaufsichtsbehörde Schrems Ende 2015 überraschenderweise mit, dass Facebook seinen Datentransfer tatsächlich nie auf Safe Harbor gestützt habe. Die für den transatlantischen Datenverkehr so folgenschwere EuGH-Entscheidung hatte also keine Auswirkung auf den Fall. Vielmehr, so die Aufsichtsbehörde weiter, übermittle Facebook personenbezogene Nutzerdaten seit 2013 auf Basis der Model Clauses. Der Datenschutz-Anwalt Schrems passte also seine Beschwerde an diese neuen Tatsachen an und forderte weiterhin, Facebook am Datentransfer in die USA zu hindern. Anstatt in der Sache zu entscheiden, verklagte die irische Aufsichtsbehörde Schrems und Facebook (die nunmehr also beide auf Beklagtenseite auftreten) nach einer kurzen Ermittlungszeit von wenigen Monaten, um eine Interpretation wesentlicher Fragen des EuGH zu erlangen.

Daraufhin hat der irische High Court im Jahr 2018 eine gezielte und massenhafte Überwachung durch die Regierungsbehörden der Vereinigten Staaten festgestellt und dem EuGH mit einem zweiten Vorabentscheidungsverfahren eine Reihe von Fragen vorgelegt, deren Beantwortung weitreichende Konsequenzen nicht nur für in Drittstaaten ansässige Unternehmen, sondern für jedes Unternehmen haben dürfte, das mit personenbezogenen Daten aus der EU umgeht und das nicht ausschließlich auf eigene Infrastruktur zurückgreift. Sollte der EuGH zu dem Schluss kommen, dass eines der beiden oder gar die beiden Institute - Privacy Shield und Model Clauses - personenbezogene Daten aus der EU nicht ausreichend schützen, muss etwas Neues her. Dann muss die Übermittlung in Drittstaaten, insbesondere in die USA grundsätzlich neu gedacht werden.

Neues Datenschutzrisiko nach dem CLOUD Act?

Tatsächlich stößt die Datenübertragung in Länder wie die USA auf datenschutzrechtliche Bedenken. Dies hat sich durch jüngste Gesetzesänderungen wie dem sog. "Clarifying Lawful Overseas Use of Data Act" (CLOUD Act) noch verstärkt. Durch den CLOUD Act muss ein dem US-Recht unterstehender Anbieter elektronischer Kommunikationsdienste Daten unter seiner Kontrolle offenlegen, wenn beispielsweise eine US-Behörde wie das FBI deren Herausgabe verlangt. Die "europäischen" Daten werden also so behandelt, als seien sie innerhalb der USA gespeichert, US-Behörden haben also auch auf solche Daten Zugriff, die außerhalb der USA liegen. Anders als nach altem Recht, ist gerade kein Rechtshilfeabkommen mehr erforderlich. Aus Sicht des EU-Rechts, das durch Regelungen wie Art. 3 Datenschutz-Grundverordnung (DSGVO) extraterritoriale Geltung für sich beansprucht, ist dies problematisch.

Im Unterschied zu der Rechtssache C-311/18, bei der es um die Übermittlung personenbezogener Daten in die USA geht, betrifft der Cloud Act also Daten, die zwar die EU nicht verlassen, die aber von dem US-amerikanischen Recht unterliegenden Anbietern verarbeitet werden. Im Kern geht es in beiden Fällen um die Frage, wie weit eine Rechtsordnung in das Hoheitsgebiet eines anderen Staates anderen hineinragen darf.

Europäisches Datenschutzrecht mit Durchsetzungsdefizit

Manche Datenschützer betrachten die Entwicklungen in den USA gar als "Provokation". Mit Hochdruck arbeitet die EU deshalb an einem sogenannten Exekutivabkommen, das zum CLOUD Act passen soll. Unter Datenschützern ist allerdings umschritten, ob ein solches Abkommen den Anforderungen der DSGVO an ein Rechtshilfeabkommen überhaupt genügen würde. Wichtig wäre in diesem Zusammenhang in jedem Fall, dass die hohen Standards der DSGVO auch auf die US-Behörde übertragen würden. Die US-Behörde müsste die übermittelten Daten genauso schützen, als verblieben sie in der EU. Zum Beispiel müsste die US-Behörde verpflichtet sein, die Daten zu löschen, wenn der Zweck ihrer Verarbeitung entfallen ist.

Diese Entwicklungen wie auch die aktuelle Rechtssache vor dem EuGH zeigen, dass das europäische Datenschutzrecht unter einem Durchsetzungsdefizit leidet. Aufsichtsbehörden sollten schneller zu Entscheidungen gelangen, wenn sie Verstöße gegen Datenschutzrecht feststellen. Es geht aber auch um die Abgrenzung zweier Rechtsordnungen zueinander und damit um Souveränität. Beansprucht die DSGVO auch von Datenverarbeitern in Drittstaaten eingehalten zu werden, stellt sich die Frage, wie eine effektive Durchsetzung einer solchen Regelung aussehen soll.

Es bleibt mit Spannung zu erwarten, wie sich die Rechtssache C-311/18 weiterentwickelt. Unternehmen sollten diese Entwicklungen wachen Auges verfolgen und gegebenenfalls die eigenen Datenverarbeitungsvorgänge überprüfen. Auf Datentransfers ohne Rechtfertigung aus den Art. 44 ff. DSGVO jedenfalls drohen erhebliche Bußgelder. Eine aktuelle Übersicht über die bereits ergangenen und veröffentlichten Bußgelder in EU und EWR ist mittlerweile online abrufbar.

Dr. Johanna M. Hofmann, LL.M. ist Rechtsanwältin für IT- und Datenschutzrecht in der Wirtschaftskanzlei CMS Hasche Sigle in Deutschland. Sie hat zu Fragen der dynamischen datenschutz- und datensicherheitsrechtlichen Zertifizierung von Cloud-Computing unter der DSGVO promoviert.

  • Drucken
  • Senden
  • Zitieren
Zitiervorschlag

EuGH verhandelt zu Datenübermittlung in USA: Schrems und Facebook streiten über Datentransfer . In: Legal Tribune Online, 09.07.2019 , https://www.lto.de/persistent/a_id/36373/ (abgerufen am: 03.12.2023 )

Infos zum Zitiervorschlag
  • Mehr zum Thema
    • Datenschutz
    • Datenschutz
    • Facebook
    • Internet
    • Social Media
    • Soziale Medien
    • Überwachung
  • Gerichte
    • Europäischer Gerichtshof (EuGH)
01.12.2023
Hintergründe

Nachahmung und Täuschung:

Ist Blu­esky der Platt­form X zum Ver­wech­seln ähn­lich?

Statt blauem Vogel nun blauer Himmel? Bluesky gilt als neuer aussichtsreicher Nachfolger von Twitter bzw. Elon Musks "X". Nicht zufällig fallen Ähnlichkeiten auf. Wieviel Altbekanntes darf in einer neuen Social-Media-Plattform stecken?

Artikel lesen
30.11.2023
Persönlichkeiten

Zweite Amtszeit des BfDI weiterhin unklar:

"Wir benö­t­igen keine Ja-Sager, son­dern kri­ti­sche Köpfe"

Obwohl die Amtszeit des Bundesdatenschutzbeauftragten Ulrich Kelber in vier Wochen endet, ist noch immer unklar, ob er oder jemand anders ab 2024 weitermachen darf. Die Kritik an dieser Verzögerung wird immer lauter.

Artikel lesen
02.12.2023
Notare

Berufsziel Notar:

Wie Jura­stu­die­rende die Wei­chen stellen können

Wer mit dem Gedanken spielt, später im Notarberuf zu arbeiten, kann schon im Studium darauf hinarbeiten. Neben den klassischen Rechtsgebieten wie Erbrecht und Gesellschaftsrecht sollte man sich auch für wirtschaftliche Fragen interessieren.

Artikel lesen
01.12.2023
Staatsexamen

Für die zweite juristische Staatsprüfung:

Berlin und Bran­den­burg ziehen mit E-Examen nach

Immer mehr Länder kommen Examenskandidaten entgegen und führen das digitale Examen ein. Insbesondere Referendare können ihre Prüfungen dadurch vielerorts am Computer schreiben. Ab sofort wird das auch in Berlin und Brandenburg möglich sein.

Artikel lesen
01.12.2023
Gil Ofarim

Resümee zum Prozess gegen Gil Ofarim:

Zer­ris­senes Bild und neue Fragen

Ofarim hat mit seinem Geständnis den Prozess beendet. Er hinterlässt ein zerrissenes Bild, tiefes Bestürzen und unbeantwortete Fragen, die neue Spekulationen ankurbeln. Linda Pfleger hat den gesamten Prozess beobachtet und zieht ein Resümee.

Artikel lesen
30.11.2023
Schulen

Verhüllungsverbot in Baden-Württemberg:

Masken an Schulen ver­boten

Nach dem Schulgesetz dürfen Schüler und Lehrer in Baden-Württemberg keine Masken tragen. Das Schulministerium rät zu einem pragmatischen Umgang, Juristen zu einer Aufhebung oder Änderung der Norm.

Artikel lesen
TopJOBS
An­walts- oder Wahl­sta­ti­on im Da­ten­schutz (m/w/d)

Latham & Watkins LLP , Frank­furt am Main

Wis­sen­schaft­li­che Mit­ar­bei­ter (m/w/d) al­le Fach­be­rei­che

Oppenhoff , Frank­furt am Main

Re­fe­ren­dar*in­nen (m/w/d)

Deminor Litigation Funding , Ham­burg

Geld ver­die­nen als Te­le­fon­an­walt / Te­le­fon­an­wäl­tin

DAHAG Rechtsservices AG , 100% Re­mo­te

Rechts­an­wäl­te (m/w/d) als An­ge­s­tell­te oder in frei­er Mit­ar­beit

RechtDialog Rechtsanwaltsgesellschaft mbH , 100% Re­mo­te

Wis­sen­schaft­li­che Mit­ar­beit im Da­ten­schutz (m/w/d)

Latham & Watkins LLP , Frank­furt am Main

Re­fe­ren­da­re | Mün­chen

Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern , Mün­chen

Rechts­an­walt (m/w/d) IT-, Ur­he­ber- und Da­ten­schutz­recht

Bird & Bird LLP , Ham­burg

Alle Stellenanzeigen
Veranstaltungen
Fachanwaltslehrgang Versicherungsrecht im Fernstudium/online

11.12.2023

Essentials – Die moderne Anwaltskanzlei

11.12.2023

Der Einstieg in die Gebührenabrechnung nach RVG

11.12.2023

beA-Nutzung in RA-MICRO im Posteingang und Postausgang

11.12.2023

GmbH-Steuer-Highlights 2023/2024

12.12.2023

Alle Veranstaltungen
Copyright © Wolters Kluwer Deutschland GmbH