Ausgangspunkt: Schrems gegen Facebook
Der österreichische Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen könnten. Ein irisches Gericht möchte vom EuGH wissen, ob die sogenannten Standardvertragsklauseln und das EU-US-Datenschutzabkommen "Privacy Shield" mit dem europäischen Datenschutzniveau vereinbar sind.
EuGH untersagt "Privacy Shield", nicht aber Standardvertragsklauseln
Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Das "Privacy Shield" ist ein weiterer Kanal, der ausschließlich für den Datentransfer in die USA zur Verfügung steht. Die Luxemburger Richter erklärten das "Privacy Shield" nun für ungültig, gegen die Standardvertragsklauseln haben sie dagegen keine Einwände.
Beschluss über Standardvertragsklauseln enthält ausreichende Mechanismen
Im ersten Teil der Entscheidung prüfte der Gerichtshof die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln. Er sieht sie nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden. Vielmehr hänge die Gültigkeit davon ab, ob der Beschluss wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Der Gerichtshof ist der Ansicht, dass der Beschluss 2010/87 derartige Mechanismen vorsieht. Insoweit hebt er insbesondere hervor, dass gemäß diesem Beschluss der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.
"Privacy-Shield" gewährt US-Recht Vorrang vor DS-GVO
Dann überprüft der Gerichtshof die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DS-GVO. Er stellt fest, dass in diesem Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 sich daraus ergebenden Einschränkungen des Schutzes personenbezogener Daten nicht ausreichend geregelt sind. Die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme würden nicht auf das nach dem Grundsatz der Verhältnismäßigkeit zwingend erforderliche Maß beschränkt sind.
Umgang der US-Behörden mit Daten nicht begrenzbar
Gestützt auf die Feststellungen in diesem Beschluss weist der Gerichtshof darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen. Genauso wenig sei ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen, die keine amerikanischen Staatsbürger sind, Garantien existieren. Der Gerichtshof fügt hinzu, dass diese Vorschriften zwar Anforderungen vorsehen, die von den amerikanischen Behörden bei der Durchführung der betreffenden Überwachungsprogramme einzuhalten sind, aber den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. Der im Beschluss 2016/1250 angeführte Ombudsmechanismus könne dem nicht abhelfen. Aus all diesen Gründen erklärte der EuGH den Beschluss 2016/1250 für ungültig.
Schrems zufrieden, Auswirkungen auf Facebook unklar
Schrems erklärte in einer ersten Reaktion, er sei sehr glücklich über das Urteil. "Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen." Facebook beruft sich allerdings bei der Übertragung der Daten von Europa in die USA nicht auf das "Privacy Shield", sondern auf die Standardvertragsklauseln.
Schrems hatte auch "Safe-Harbour"-Regelung zu Fall gebracht
Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des «Privacy Shield», die Safe-Harbor-Regelung beanstandet, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle.