Darf Facebook Daten aus Europa in die USA senden? Seit nunmehr sechs Jahren kämpft der Österreicher Max Schrems gegen Facebook und um Beantwortung dieser enorm wichtigen Frage. Bereits 2015 schon wurde „Safe Harbor“ für Datenübermittlungen in die USA auf Schrems Initiative hin vom EuGH für ungültig erklärt. Nachdem im Dezember 2019 die Schlussanträge des Generalanwalts veröffentlicht wurden, fiel letzte Woche, am 16. Juli 2020, das Urteil des EuGH in der Rechtssache C-311/18. Das Ergebnis: Das Nachfolgeabkommen „EU-US-Privacy-Shield“ ist ebenfalls ungültig, nicht hingegen die Standardvertragsklauseln, auf die sich Facebook bei der Datenübermittlung beruft.
Breitseite für Facebook
Das aktuelle EuGH-Urteil ist eine volle Breitseite für Facebook und die irische Datenschutzbehörde (DPC). Die EU-Standardvertragsklauseln, auf die sich Facebook beruft, sind zwar per se gültig. Allerdings ist die irische Datenschutzbehörde in der Pflicht, die Übermittlung personenbezogener Daten in ein Drittland wie die USA auszusetzen oder zu verbieten, wenn die Standardvertragsklauseln nicht eingehalten werden. Vor einem harten Durchgreifen gegenüber Facebook hat sich die irische Datenschutzbehörde allerdings bisher gedrückt. Nun bleibt abzuwarten, wie sie auf die EuGH-Entscheidung reagiert.
Weitreichende Folgen hat das Urteil auch für Unternehmen, die sich bei der Übermittlung personenbezogener Daten bisher auf den Beschluss der EU-Kommission zum EU-US-Privacy-Shield verlassen haben. Nachdem der Gerichtshof der Europäischen Union im Oktober 2015 bereits Safe Harbor gekippt hatte, kippte er jetzt auch den Nachfolger, den EU-US-Privacy Shield. Die Unternehmen müssen nun schnellstmöglich die EU-Standardvertragsklauseln in ihre Verträge übernehmen und sie dann auch einhalten.
Vereinbarkeit des Privacy-Shield-Beschlusses mit der DSGVO
Die Begründung des EuGH: Bei der Übermittlung von personenbezogenen Daten in die USA könne diese nach EU-Recht kein angemessenes Datenschutzniveau gewährleisten. Die amerikanischen Behörden hätten zu weitreichende Befugnisse, um auf die übermittelten personenbezogenen Daten zuzugreifen.
Konkret prüfte der EuGH die Vereinbarkeit des Privacy-Shield-Beschlusses mit der DSGVO, die im Lichte der EU-Grundrechtecharta auszulegen ist. Im Besonderen ging es um die Unionsgrundrechte auf Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Schutz. In dem Privacy-Shield-Beschluss wird den Erfordernissen der nationalen Sicherheit in den USA Vorrang gegenüber diesen Grundrechten eingeräumt. So dürfen zum Beispiel Überwachungsprogramme der amerikanischen Behörden auf die von EU-Bürgern übermittelten personenbezogenen Daten zugreifen. Die Regelungen im Privacy-Shield-Beschluss zu den Befugnissen der amerikanischen Behörden sind nach Meinung des EuGH jedoch unzureichend und entsprechen nicht den Anforderungen des Unionsrechts. Die Eingriffe der Behörden in die Grundrechte der betroffenen Unionsbürger seien unverhältnismäßig, denn die Überwachungsprogramme der US-Behörden seien nicht „auf das zwingend erforderliche Maß beschränkt“. Außerdem treffe der Beschluss auch keine Vorkehrungen, damit die betroffenen EU-Bürger ihre Recht gegenüber den amerikanischen Behörden effektiv gerichtlich durchsetzen können.
Standardvertragsklauseln sind rechtmäßig
Den Beschluss 2010/87 über die EU-Standardvertragsklauseln, auf die Facebook sich bei der Datenübermittlung beruft, hielt der Gerichtshof dagegen für gültig. Facebook USA hat Facebook Irland bezüglich der Datenübermittlung vertraglich bescheinigt, dass in den USA ein Datenschutzniveau nach EU-Maßstäben eingehalten wird. Dabei wurden die EU-Standardvertragsklauseln in den Vertrag einbezogen. Laut EuGH sind die Datenschutzbehörden der Mitgliedstaaten in der Pflicht, „eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn die Standardvertragsklauseln in dem Drittland nicht eingehalten werden.“ Ausschlaggebend für die Gültigkeit des Beschlusses 2010/87 sei nämlich, dass dieser wirksame Mechanismen vorsehe, durch die das im Unionsrecht verlangte Datenschutzniveau eingehalten werde. Im Einzelfall müssten die Vertragsparteien bei einer Datenübermittlung sowie auch die Datenschutzbehörden also prüfen, ob das betreffende Schutzniveau im Drittland eingehalten werde. Im Falle von Facebook ist die irische Datenschutzbehörde in der Pflicht, den Datenfluss von Facebook-Nutzerdaten in die USA auszusetzen oder zu verbieten, wenn die Klauseln nicht eingehalten werden.