Datenschutzaktivist Max Schrems ist mit dem Urteil zufrieden.

Foto: HEINZ-PETER BADER / REUTERS

Die gesetzliche Grundlage, auf derer Facebook Daten europäischer Nutzer an die USA übermittelt, entspricht nach Ansicht des Generalanwalts des Europäischen Gerichtshofs (EuGH) generell der EU-Gesetzeslage. Soweit der für Facebook erfreuliche Teil jenes Gutachtens, das am Donnerstag veröffentlicht wurde. Was der Generalanwalt dann im weiteren schreibt, dürfte das Unternehmen aber deutlich weniger freuen.

So ist in dem Gutachten die Rede davon, dass der Datenfluss sehr wohl gestoppt werden muss, wenn die USA Grundrechte nicht einhält. Zudem werden auch generelle Bedenken in Hinblick auf die Legalität des Privacy-Shield-Abkommens zwischen USA und EU geäußert.

Schrems hatte Facebook Irland, wo das Unternehmen seinen europäischen Sitz hat, geklagt und gefordert, in diesem Fall die automatische personenbezogene Datenübermittlung in die USA zu untersagen. Denn Facebook fällt laut Schrems in den USA unter ein spezifisches Überwachungsgesetz (Fisa) und ist somit verpflichtet, die auf Grundlage der sogenannten Standardvertragsklauseln (SCC) übermittelten Daten US-Behörden wie der NSA und dem FBI zugänglich zu machen. Die Betroffenen in Europa haben dabei aber keine Möglichkeit, dagegen gerichtlich vorzugehen – weshalb Schrems klagte. Die Beschwerde brachte der Datenschutzaktivist bereits 2013 ein.

Rechtsweg

Die irische Datenschutzbehörde (DPC) wandte sich ihrerseits an den irischen High Court. Da der High Court die Gültigkeit der gesamten Standardvertragsklauseln – ein EU-Rechtsakt – anzweifelte, ist nun der EuGH zuständig. Schrems sieht in diesem Schritt Irlands eine Art Verzögerungstaktik. Die irische Behörde wollte mit ihrer "Extremvariante" alle Abkommen für illegal erklären lassen, er jedoch trete für eine "gezielte Lösung" ein. Das heißt, dass der Datenfluss von den Behörden nur im Einzelfall – eben für Unternehmen, die in den USA unter FISA (Foreign Intelligence Surveillance Act) fallen – zu stoppen wäre.

Der Generalanwalt des in Luxemburg ansässigen EuGH erklärte in dem Fall (C-311/18) am Donnerstag, dass die Standardvertragsklauseln gültig seien – auch wenn die übermittelten Daten durch Behörden eines Drittlandes für Zwecke der nationalen Sicherheit verarbeitet werden können.

Privacy Shield

Gleichzeitig meldete der Generalanwalt aber auch Bedenken bezüglich des 2016 beschlossenen Datenaustauschabkommen "Privacy Shield" zwischen der EU und den USA an, räumte jedoch ein, dass diese Frage nur indirekt Thema des gegenständlichen Rechtsstreits sei.

"Privacy Shield" (Datenschutzschild) wurde ausverhandelt, nachdem sein Vorgängerabkommen "Safe Harbor" 2015 – ebenfalls nach einer erfolgreichen Klage von Schrems – gekippt worden war. Der EuGH bestätigte damals die Ansicht von Schrems und entschied, dass die Massenüberwachung die europäischen Grundrechte verletzt. Das "Safe Harbor"-System, das den Datentransfer zwischen der EU und den USA ermöglichte, wurde für ungültig erklärt.

Eine Ohrfeige?

Max Schrems zeigt sich über die Stellungnahme des Generalanwalts jedenfalls erfreut. Sie entspreche großteils auch seiner Rechtsansicht und sei eine "schallende Ohrfeige für die irische Datenschutzbehörde und für Facebook – und ein wichtiges Zeichen für den Schutz der Privatsphäre von Nutzern", erklärte der Datenschutzaktivist in einer ersten Stellungnahme am Donnerstag.

Dass die sogenannten Standardvertragsklauseln, auf deren Basis der Datenaustausch erfolgt, gültig sind – wie der Generalanwalt in seinem Schlussantrag bestätigte –, zweifelt Schrems nicht an. Er fordert das Aussetzen der Datenübertragung in gewissen Fällen.

Positiv sieht Schrems deshalb Folgendes: Der Generalanwalt habe die irische Datenschutzbehörde auf eine Art "Notfallventil" aufmerksam gemacht, die es ihr erlaube, einen "Datenfluss auszusetzen, wenn ein Problem mit US-Recht vorliegt". Die Behörde könne Facebook also anweisen, "die Übertragungen morgen zu stoppen", schlussfolgert Schrems. "Stattdessen wandte sie sich an den EuGH, um das gesamte System für nichtig zu erklären. Es ist wie ein Ruf nach der europäischen Feuerwehr, weil man nicht in der Lage ist, eine Kerze auszublasen."

Kritik

Der Datenschützer kritisiert, dass es seit mehr als sechs Jahren keine Entscheidung in dem Fall gibt, obwohl er bereits zweimal vor dem irischen High Court und nun zweimal vor dem EuGH war.

Erfreut zeigt sich Schrems darüber, dass auch der Generalanwalt des EuGH Bedenken bezüglich des Datentransfersystems "Privacy Shield" zwischen der EU und den USA anmeldete: "Es wird nun sehr interessant, ob der EuGH den Gedanken des Generalanwalts im finalen Urteil aufgreift und auch gleich 'Privacy Shield' überprüft."

Nur eine Empfehlung

Die Schlussanträge des Generalanwalts sind für den Gerichtshof nicht bindend. In der Vergangenheit folgten ihm die EU-Richter mehrheitlich – allerdings nicht immer, wie etwa bei der deutschen Pkw-Maut. (APA/red, 19.12.2019)