Max Schrems vs. Facebook: Gene­ral­an­walt sieht jetzt iri­sche Daten­schutz­be­hörde am Zug

Der österreichische Datenschutzaktivist Max Schrems will, dass die irische Datenschutzbehörde gegen Facebook vorgeht und die Datenübermittlung in die USA untersagt. Die irische Behörde zog daraufhin erstmal vor den irischen High Court, der wiederum den Europäischen Gerichtshof (EuGH) anrief, um grundsätzliche Fragen klären zu lassen – und das gleich zweimal hintereinander. Die Auseinandersetzung dauerte entsprechend Jahre –  nun schlägt der Generalanwalt am EuGH den Luxemburger Richtern vor, den Ball einfach wieder an die irische Datenschutzbehörde zurückzuspielen (Schlussanträge vom 19.12.2019, Az.: C-311/18). 

Die sei nämlich verpflichtet, Schrems' Beschwerde sorgfältig zu prüfen. Wenn Facebook Irland und das US-amerikanische Mutterunternehmen Facebook Inc kein ausreichendes Datenschutzniveau sicherstellen können, müsse die Behörde eben entsprechende Maßnahmen ergreifen und die Datenübermittlung in die USA notfalls untersagen, so der Generalanwalt in seinen Schlussanträgen.

Der Fall hat eine lange Vorgeschichte: Schon 2013 hatte Schrems, damals österreichischer Jurastudent, heute bekannter Datenschutzaktivist, bei der irischen Datenschutzbehörde eine Beschwerde gegen Facebook eingereicht. Kurz zuvor hatte Whistleblower Edward Snowden erste Informationen zur Überwachungspraxis der US-Nachrichtendienste an die Öffentlichkeit gebracht. Schrems argumentierte angesichts der massiven globalen Überwachung in seiner Beschwerde, dass die Übermittlung seiner Daten in die USA seine unionsrechtlichen Grundrechte verletze.

Die Datenschutzbehörde wies die Beschwerde jedoch zurück. Schrems klagte, sein Fall landete vor dem irischen High Court, dann vor dem EuGH und der brachte 2015 schließlich das umstrittene "Safe Harbor"-Abkommen zu Fall, das die Datenübermittlung zwischen Unternehmen in der EU und in den USA ermöglichen sollte. "Safe Harbor" wurde kurz darauf durch den sogenannten EU-US Privacy Shield ersetzt, der Rahmenbedingungen für den Umgang mit Daten von EU-Bürgern in den USA festlegt. Doch damit war der Streit noch lange nicht beendet.

Aus Schrems wurde Schrems II

Denn nun erklärte Facebook, sich stattdessen auf eine andere Rechtsgrundlage zu stützen, nämlich auf sogenannte Standard Contractual Clauses (SCC). Das sind Standardvertragsklauseln, die ein hinreichendes Datenschutzniveau gewährleisten sollen. Die EU-Kommission hat solche SCC beschlossen (Beschl. 2010/87), sie können von den betroffenen Unternehmen übernommen werden. Im Endeffekt geht es damit um einen Vertrag zwischen Facebook Irland und dem US-amerikanischen Facebook Inc, der die SCC enthält.

Schrems wehrte sich nun gegen die Übertragung seiner Daten auf Grundlage dieser SCC, wollte aber eigentlich gar keinen Fall Schrems II vor den EuGH bringen. Seiner Ansicht nach hätte die irische Datenschutzbehörde bereits die Möglichkeit gehabt, Facebook die Datenübermittlung schlicht zu untersagen. Angesichts der Rechtslage in den USA und der Überwachungspraxis der US-Sicherheitsbehörden sei klar, dass Facebook gar nicht gewährleisten könne, dass das in den SCC vorgesehene Datenschutzniveau eingehalten werde, so Schrems.

Die irische Datenschutzbehörde blieb jedoch hartnäckig und startete eine zweite Runde: Sie erklärte, es sei zweifelhaft, ob die SCC überhaupt gültig seien – und rief diesmal selbst den High Court an, den Schrems in erster Auflage eingeschaltet hatte. Damit stehen Schrems und Facebook beide auch auf der Beklagtenseite. Der High Court legte den Fall daraufhin - wie von der irischen Behörde beabsichtigt - erneut dem EuGH vor. 

An den SCC hat der Generalanwalt keine Zweifel

Es ist unwahrscheinlich, dass die Luxemburger Richter – so wie im Fall "Safe Harbor" - erneut die gesamte Grundlage der Datenübermittlung in die USA kippen. Auch Generalanwalt Henrik Saugmandsgaard Øe hat an den SCC als solchen überhaupt keine Zweifel, wie er in seinen Schlussanträgen vom Donnerstag klarmachte. Es sei ja gerade Sinn der Sache, dass die SCC ein bestimmtes Datenschutzniveau gewährleisten, auch wenn die Rechtslage in dem Drittland, in das die Daten übermittelt werden, eben nicht EU-Standards entspreche. 

Es komme, so Saugmandsgaard Øe, vielmehr darauf an, dass die SCC auch tatsächlich eingehalten werden. Entscheidend sei deshalb, dass es wirksame Regelungen gebe, die sicherstellen, dass die Datenübermittlung auf Grundlage der SCC ausgesetzt wird, wenn die Klauseln verletzt werden oder wenn es unmöglich wird, sie einzuhalten. 

Dabei sei es einerseits die Aufgabe der Vertragsparteien, darauf zu achten, dass die SCC eingehalten werden. Vor allem sieht der Generalanwalt aber die Datenschutzbehörden in der Pflicht: Sie müssten die Datenübermittlung prüfen und entsprechende Maßnahmen ergreifen, notfalls eben auch die Datenübermittlung untersagen. Die Befugnisse der Datenschutzbehörden ergeben sich aus der Datenschutzgrundverordnung (DSGVO), die im Lichte der EU-Grundrechte-Charta ausgelegt werden müsse, so der Generalanwalt. 

Saugmandsgaard Øe stärkt Schrems damit in der Auseinandersetzung mit der irischen Datenschutzbehörde den Rücken. Schrems reagierte entsprechend erfreut. Die Schlussanträge machten deutlich, dass die Behörde "die Lösung für diesen Fall in ihren eigenen Händen hat: Sie kann Facebook anweisen, die Übertragungen morgen zu stoppen," so Schrems.

Er kritisierte weiter, dass die Behörde es überhaupt so weit kommen ließ und den Fall erneut bis vor den EuGH brachte. Das sei " wie ein Ruf nach der europäischen Feuerwehr, weil man nicht in der Lage ist, eine Kerze auszublasen."

Und was ist mit dem EU-US-Privacy Shield?

Ein wenig grundsätzlich wurde der Generalanwalt in seinen Schlussanträgen dann aber doch noch: Nämlich bei der Frage nach dem Privacy Shield, der 2016 an die Stelle des "Safe Harbor"-Abkommens getreten ist. Der sollte neue Rahmenbedingungen für Datentransfers von der EU in die USA festlegen, gilt aber vielen Datenschützern als nur wenig aufgehübschte Version von Safe Harbor. Schrems hält den Privacy Shield ebenso für nichtig wie seinen Vorgänger. 

Der High Court hat in seinen Vorlagefragen indirekt einen Beschluss der EU-Kommission infrage gestellt, der das Datenschutzniveau in den USA bei Übermittlungen auf Grundlage des Privacy Shields für ausreichend erachtet. 

Saugmandsgaard Øe betonte zwar, dass es auf diese Frage überhaupt nicht ankomme, lässt aber dennoch Zweifel an dem Beschluss der Kommission zum Privacy Shield durchblicken im Hinblick auf die Rechte auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf.

Nun bleibt abzuwarten, ob sich der EuGH den Ansichten des Generalanwalts anschließen wird – und ob er ebenfalls die Gelegenheit nutzt, doch noch grundsätzliche Ausführungen zu machen.