Gut für Facebook: EU-Standardvertragsklauseln wohl gültig

Der Österreicher Max Schrems (r.) und Rechtsanwalt Herwig Hofmann (l.) nach dem Urteil des Europäischen Gerichtshofs vom 6. Oktober 2015. Schrems hatte damals wegen Datenschutzverletzungen gegen Facebook geklagt. [EPA/JULIEN WARNAND]

Die Standardvertragsklauseln der Europäischen Kommission, die für Datenübermittlungen zwischen EU- und Nicht-EU-Ländern verwendet werden, sind nach einer unverbindlichen Stellungnahme eines Generalanwalts am Gerichtshof der Europäischen Union „gültig“.

Die Stellungnahme ist ein indirekter, symbolischer Sieg für den Social Media-Riesen Facebook, der solche Klauseln einsetzt, um die Datenschutzstandards für die EU-User der Plattform zu gewährleisten.

Generalanwalt Henrik Saugmandsgaard Øe vom EuGH betonte jedoch am Donnerstag, dass Datenschutzbehörden die Datenübermittlung aussetzen können, wenn Verpflichtungen aus Standardvertragsklauseln nicht eingehalten werden.

Datenschutz: Von "konkreten Maßnahmen" und einem "großen Fehler"

Die EU-Kommission fordert „konkrete Schritten“, um den sogenannten Privacy Shield (Datenschutzschild) zu verbessern. Datenschützer glauben hingegen, dass das Abkommen mit den USA an sich bereits ein Fehler ist.

Die Stellungnahme folgt in Reaktion auf eine rechtliche Anfechtung des österreichischen Datenschutzaktivisten Max Schrems, der die Meinung vertritt, dass die Standardvertragsklauseln der Kommission die Privatsphäre der Bürgerinnen und Bürger nicht angemessen schützen.

Die Verträge werden in Ermangelung einer entsprechenden Grundvereinbarung über die Datenübermittlung zwischen der Kommission und Parteien außerhalb der Europäischen Union geschlossen, um einen angemessenen Datenschutz zu gewährleisten. Sie werden von Tausenden von Unternehmen weltweit genutzt, darunter auch Technologieriesen wie Facebook.

Was bedeutet die Stellungnahme aus rechtlicher Sicht?

Die Stellungnahme ist rechtlich nicht bindend, sondern stellt lediglich eine Einschätzung des Generalanwalts dar. In der überwiegenden Mehrheit der Fälle werden die Rechtsgutachten eines Generalanwalts aber vom Gericht bei der Urteilsfindung befolgt.

Eine endgültige Entscheidung des EuGH wird in den kommenden Monaten erwartet.

Für den somit nun unwahrscheinlichen Fall, dass Schrems‘ Klage vom Gericht doch mitgetragen wird, könnte dies weitreichende Folgen für die Funktionsweise der Datenflüsse zwischen EU- und Nicht-EU-Unternehmen haben und Firmen verpflichten, solche Datenübermittlungen einzustellen. Andernfalls könnten möglicherweise erhebliche Geldbußen verhängt werden.

US-amerikanische Massenüberwachung

Schrems ist kein Unbekannter beim Thema Klagen gegen die Datenschutzpraktiken von Facebook: Im Jahr 2013 reichte er eine Beschwerde beim irischen Datenschutzbeauftragten ein, um die Datenübertragung durch Facebook von Irland in die Vereinigten Staaten zu unterbinden. Grund dafür waren Befürchtungen, dass Facebook USA die Daten im Rahmen des PRISM-Massenüberwachungsprogramms – der Erfassung von Internet-Kommunikationsdaten durch die National Security Agency – an US-Behörden weitergegeben hatte.

America First – No Privacy for Europeans?

Kaum im Amt, hat Donald Trump sich zum Datenschutz geäußert und damit für Aufruhr gesorgt. Sind personenbezogene Daten von EU-Bürgern in den USA noch sicher? Und dürfen sie weiter übermittelt werden? Fragen, die vor allem für international agierende Unternehmen von Bedeutung sind.

Dies führte schlussendlich zu einer Klage, mit der Schrems 2015 erfolgreich eine rechtliche Anfechtung der Datenschutzgrundsätze der EU („Safe Harbour“) einreichte. Die Safe-Harbour-Prinzipien waren entwickelt worden, um zu verhindern, dass private Unternehmen in der EU oder den USA personenbezogene Daten von Bürgerinnen und Bürgern verlieren oder versehentlich preisgeben.

Damals gab der Generalanwalt Yves Bot ein Gutachten ab, in dem er feststellte, dass das Safe Harbour Abkommen ungültig gemacht werden sollte. Er fügte hinzu, dass einzelne Datenschutzbehörden die Datenübermittlung in andere Länder aussetzen könnten, wenn es Anzeichen für eine Verletzung von Datenschutzrechten gibt. Der EuGH bestätigte schließlich diese Einschätzung von Bot.

Privacy Shield

Interessant in der Stellungnahme von Saugmandsgaard Øe am heutigen Donnerstag war auch seine Einschätzung zum Datenübertragungsabkommen der EU mit den USA, des sogenannten Privacy Shield-Abkommens. Der Vertrag von 2016 verpflichtet amerikanische Unternehmen, personenbezogene Daten von EU-Bürgerinnen und -Bürgern gemäß der EU-Standards und Verbraucherrechte zu schützen.

In der Stellungnahme von Saugmandsgaard Øe heißt es dabei deutlich, der EuGH sei nicht unbedingt verpflichtet, über die Gültigkeit dieses Abkommens zu entscheiden, da der von Schrems eingebrachte fragliche Streitfall lediglich die Festlegung von Standardvertragsklauseln durch die Kommission betrifft.

Der Generalanwalt selbst stellte jedoch die Rechtmäßigkeit der Privacy-Shield-Vereinbarung in Frage und merkte an, dass es „gute Gründe“ gebe, die ihn veranlassen würden, „die Gültigkeit der Privacy-Shield-Einigung angesichts der rechtlichen Gegebenheiten zur Wahrung der Privatsphäre und des Rechts auf einen wirksamen Rechtsbehelf in Frage zu stellen“.

Apple-CEO: USA sollten beim Datenschutz "dem Beispiel der EU" folgen

Die Menschheit lebe inmitten eines „Datenindustriekomplexes, in dem unsere eigenen Informationen mit militärischer Effizienz gegen uns gerichtet sind“, so Tim Cook.

Caitlin Fennessy, ehemals bei der US-amerikanischen Behörde für internationalen Handel für Privacy Shield zuständig und heute Forschungsdirektorin bei der International Association of Privacy Professionals (IAPP), sagte heute Morgen noch vor der Bekanntgabe von Saugmandsgaard Øes Stellungnahme gegenüber EURACTIV ebenfalls, dass die Einschätzung – falls sie Standardvertragsklauseln für ungültig befinden sollte – tatsächlich „richtig viel Angst in der gesamten Geschäftswelt hervorrufen könnte. Damit würde der Status quo aufgehoben.“

Sie fügte allerdings auch hinzu, dass der Rechtsstreit zwischen Facebook und Schrems letztendlich „keine Frage ist, die Verträge lösen können“, sondern „eine Frage der nationalen Sicherheit“.

In dieser Hinsicht müsse anerkannt werden, so Fennessy, dass Abkommen wie die Privacy Shield-Vereinbarung in der Praxis als „wirtschaftliche Instrumente“ fungieren, die nicht unbedingt den Herausforderungen bei Fragen der nationalen Sicherheit gerecht werden können.

(Bearbeitet von Benjamin Fox und Tim Steins)

Facebook wünscht sich von der EU einen "Kampf um die Seele des Internets"

Facebook hofft, dass die EU Standards bei Themen wie Datenschutz und Meinungsfreiheit im Internet setzt. Andererseits drohten langfristig "eingeschränkte Internet-Modelle" wie in China, die Hoheit im WWW zu übernehmen.

Digitales Europa: Führend bei der Regulierung, Nachzügler bei der Innovation

Facebook hat mehr Nutzer in der EU als in den USA. Auch deshalb ist es der EU relativ gut gelungen, ihre Regelungen Facebook und ähnliche Unternehmen "aufzudrücken".

Datenschutz ist und bleibt eine Priorität

Das nächste EU-Parlament wird seinen Bürgern einen noch besseren Schutz ihrer Daten bieten, so die Studie eines Think-Tanks.

Subscribe to our newsletters

Subscribe

Wissen was in Europas Hauptstädten passiert - abonnieren Sie jetzt unseren neuen 10 Uhr Newsletter.