Schrems vs. Facebook: Uncle Sam am Boden?

Vorgeschichte

Der Österreicher Maximilian Schrems nutzt den Social-Media-Dienst Facebook. Der dazugehörige Vertrag besteht zwischen ihm und der EU-Tochter von Facebook. Die in der EU verarbeiteten personenbezogenen Daten werden dabei auf Basis von Standarddatenschutzklauseln (SDK) an den Mutterkonzern in den USA übermittelt.

Diese Übermittlung sollte durch die zuständige nationale Aufsichtsbehörde untersagt werden. Dies deshalb, weil „das Recht und die Praxis der Vereinigten Staaten [...] keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden“ garantiere. Die US- Mutter sei sogar gesetzlich verpflichtet, diese Daten Behörden wie NSA und FBI zur Verfügung zu stellen. Die Aufsichtsbehörde äußerte Zweifel zur Eignung von SDK für Übermittlungen in die USA. Im Instanzenzug führte dies zum Vorabentscheidungsverfahren beim EuGH. Dieser sollte beantworten, ob der Angemessenheitsbeschluss Privacy Shield und SDK mit den Art 7, 8 und 47 GRC vereinbar sind.

Beurteilung des EuGH

Entgegen der Empfehlung des Generalanwalts hat sich der Gerichtshof mit dem Privacy Shield befasst und diesen für ungültig erklärt. Der EuGH interpretiert die DSGVO in diesem Zusammenhang grundrechtskonform und hält fest, dass die Kommission in ihren Feststellungen zum angemessenen Datenschutz-Niveau in den USA die Anforderungen verkannt hat, die sich zum Schutz der Privatsphäre sowie zum Rechts- und Datenschutz ergeben.

Ausschlaggebend für die Beurteilung waren die umfangreichen sicherheitsbehördlichen und geheimdienstlichen Befugnisse in den USA und der für diese Vorgänge mangelhafte Rechtsschutz für Unionsbürger. Es könne nicht angenommen werden, dass die Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt seien.

Nicht aufgehoben wurden hingegen SDK, deren grundsätzliche Zulässigkeit als Instrument zur Gewährleistung eines angemessenen Schutzniveaus bei der Übermittlung von personenbezogenen Daten in Drittländer vom EuGH bestätigt wird. Betont werden die hohen Anforderungen an ihre Nutzung: Der Datenexporteur hat in jedem Einzelfall zu prüfen, „ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet“. Ist dieser Schutz nicht gegeben, hat der Datenexporteur durch zusätzliche Maßnahmen dessen Einhaltung zu gewährleisten. Ist auch das nicht möglich, so ist die Übermittlung bis zur Sicherstellung des angemessenen Schutzniveaus auszusetzen oder zu beenden.

Der EuGH hält fest, dass SDK naturgemäß keine Garantien bieten können, die über die vertragliche Verpflichtung hinausgehen. Es kann daher erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um ein angemessenes Schutzniveau zu gewährleisten. Womit sich die Frage stellt, wann das Recht des Bestimmungsdrittlands dem Unionsrecht adäquat ist. Der EuGH verlangt einen Art 47 GRC nachgebildeten Rechtsschutz. Darüber hinaus müssen Eingriffe in Privatsphäre und Datenschutz für die Zweckerreichung notwendig und auf ein verhältnismäßiges Maß beschränkt sein.

Was ist nun zu tun?

Um SDK für eine Übermittlung in die USA verwenden zu können, muss der Datenexporteur prüfen, ob der US-Empfänger in den Anwendungsbereich der Überwachungsprogramme fällt. Das trifft im Wesentlichen auf alle Anbieter elektronischer Kommunikationsdienste zu. Relevant sind aber auch andere Empfänger, die ihrerseits einen solchen Anbieter – beispielsweise für Hosting – nutzen. Zusätzlich ist zu überprüfen, ob die Übermittlung der personenbezogenen Daten an den Empfänger ausreichend vor Zugriff im Transit geschützt ist.

Letztlich muss der Datenexporteur die Beeinträchtigungen durch die US-amerikanischen Überwachungsprogramme und die damit verbundenen Rechtsschutzdefizite ausgleichen. Praktisch ist das nur schwer möglich, da rein vertragliche Zusatzvereinbarungen es nicht vermögen, gesetzliche Vorschriften des Empfängerlandes außer Kraft zu setzen. Die Übermittlung personenbezogener Daten in die USA auf reiner Basis der SDK wird daher mit heutigem Stand in aller Regel nicht zulässig sein.