Max Schrems gegen Facebook: Privacy Shield ist ungültig
veröffentlicht am 16.07.2020
Am 16.7.2020 erklärte der Europäische Gerichtshof in einer bahnbrechenden Entscheidung zentrale Absprachen über den Datenaustausch zwischen Europa und den USA für grundrechtswidrig. Die Anfänge dieser Entscheidung liegen aber weit zurück: Max Schrems legte im Juni 2013 eine Beschwerde gegen Facebook bei der irischen Datenschutzbehörde DPC ein.
Schrems I – das Ende von Safe Harbor
In dieser Beschwerde beanstandete er die Übertragung seiner Daten in die USA. Facebook mit Hauptsitz in den USA sei auf Grundlage des Überwachungsgesetzes FISA (Foreign Intelligence Surveillance Act), dazu verpflichtet, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen, ohne dass Betroffene rechtlich dagegen vorgehen könnten. Schrems forderte deshalb den Stopp der Datenübertragung zwischen Facebook Irland und Facebook Inc. in den USA. Seiner Ansicht nach durften seine Daten nicht in die USA übertragen werden, weil es dort kein "ebenbürtiges Datenschutzniveau" gibt, wie es nach EU-Recht erforderlich ist. Die Behörde lehnte die Beschwerde ab und berief sich auf das Safe-Harbor-Abkommen zwischen der EU und US-Firmen aus dem Jahr 2000. Dieses Abkommen erlaubte die Übermittlung personenbezogener Daten an US-Unternehmen, sofern diese sich verpflichteten, bestimmte Vorgaben einzuhalten.Der Fall landete schließlich 2015 vor dem Europäischen Gerichtshof und endete damit, dass das Safe-Harbor-Abkommen für ungültig erklärt wurde. Nicht einmal ein Jahr später gab es mit dem Privacy Shield ein Nachfolgeabkommen, das den Datenaustausch zwischen der EU und den USA rechtlich regeln sollte. Die irische Aufsichtsbehörde forderte Max Schrems auf, seine Beschwerde unter Berücksichtigung der Ungültigerklärung der Safe-Harbour-Entscheidung durch den Gerichtshof umzuformulieren.
Schrems II – das Ende von Privacy Shield
Mit seiner umformulierten Beschwerde macht Max Schrems geltend, dass die Vereinigten Staaten keinen ausreichenden Schutz der dorthin übermittelten Daten gewährleisteten. Facebook berief sich diesmal nicht auf das "Privacy Shield", sondern auf sogenannte Standardvertragsklauseln, die Garantien dafür bieten sollen, dass die Daten von EU-Bürger/innen auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Der EuGH hatte daher zu entscheiden, ob die Übermittlung personenbezogener Daten von EU-Bürgerinnen und -Bürgern in die USA sowohl auf Basis der Standardvertragsklauseln als auch des Privacy Shield rechtmäßig ist.
Standardvertragsklauseln grundsätzlich gesetzeskonform, Privacy Shield grundrechtswidrig
Das Urteil beinhaltet zwei Entscheidungen:
Nach Ansicht des EuGH verstoßen die Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der Grundrechte der Europäischen Union. Hier bestünden genügend Schutzmechanismen. Der Gerichtshof hebt aber hervor, dass der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.
Das Datenabkommen "Privacy Shield" zwischen den USA und der EU erklärt der EuGH hingegen für ungültig.