Datenschutzniveau in den USA entspricht europäischen Anforderungen nicht
Die Feststellung traf EU-Generalanwalt Yves Bot im Zuge eines von Max Schrems gegen Facebook angestrengten Verfahrens. Seiner Ansicht nach ist daher auch die sogenannte Safe-Harbor-Entscheidung, die seit 2000 Speicherung und Übermittlung der Daten von EU-Bürgern erlaubt, ungültig.
EU-Generalanwalt Yves Bot hat in seinen Schlussanträgen in der Verhandlung des Rechtsstreits zwischen dem Österreicher Max Schrems und Facebook heute grundlegende Feststellungen zum Datenschutzniveau in den USA gemacht. Folgt der EuGH der Auffassung des Generalanwalts – was er aber in der Vergangenheit regelmäßig getan hat – wird das nicht nur erhebliche Auswirkungen auf Facebook und andere US-Dienste für private Anwender haben, sondern auch auf zahlreiche Cloud-Angebote, sofern dabei personenbezogene Daten verarbeitet werden.
Laut Bot erhalten US-Geheimdienste bei amerikanischen Social-Media-Plattformen unbeschränkt und völlig ohne unabhängige Aufsicht Zugriff auf personenbezogene Daten europäischer Bürger. Daher verstoße die Übermittlung und Speicherung dieser Daten in den USA gegen die EU-Grundrechte auf Privatsphäre, Schutz personenbezogener Daten sowie das Recht auf effektiven Rechtsschutz. Die als “Safe Harbor” bezeichnete Entscheidung der EU-Kommission aus dem Jahre 2000, mit der die Übermittlung erlaubt wurde, beruht laut dem EU-Generalanwalt auf der falschen Annahme, dass das Datenschutzniveau in den USA dem in der EU entspricht. Sie sei daher ungültig.
Außerdem hindere die Entscheidung der Kommission nationale Behörden nicht daran, die Übermittlung der Daten europäischer Nutzer von Facebook an Server, die sich in den Vereinigten Staaten befinden, zu untersagen. Genau auf diese Entscheidung hatte sich aber nicht nur Facebook in dem Verfahren berufen, sondern verweisen auch andere Cloud-Dienste, etwa Salesforce.com, immer wieder. Folgt der EuGH nun der Auffassung von Bot, wird es für sie erneut schwieriger.
“Der Generalanwalt tut einen überfälligen Schritt, um dem politische Rumgeeiere bei der geheimdienstlichen Massenüberwachung ein Ende zu setzen. In seinem Votum stellt er nicht nur klar, dass die Kommission den Schutz personenbezogener Daten seit Jahren schleifen lässt. Er plädiert auch dafür, die von Edward Snowden enthüllte Totalüberwachung der elektronischen Kommunikation durch US-Dienste erstmals höchstrichterlich zu bestätigen. Folgt das Gericht dem Votum, so können politische Entscheidungsträger in Deutschland und Europa die Massenüberwachung künftig nicht mehr als unbewiesene Behauptung abtun“, kommentiert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft, den Schlussantrag Bots in einer Stellungnahme.
Bisher wurde argumentiert, dass nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 bei der Verarbeitung personenbezogener Daten deren Übermittlung in ein Drittland zulässig ist, wenn dieses ein “angemessenes Schutzniveau” gewährleistet. Ob das der Fall ist, kann die EU-Kommission feststellen.
Von der für das Europageschäft zuständigen irischen Tochtergesellschaft von Facebook werden Daten europäischer Nutzer ganz oder teilweise an Server im Hoheitsgebiet der Vereinigten Staaten übermittelt und dort gespeichert. Dagegen legte Max Schrems, der seit 2008 Facebook nutzt, legte 2014 Beschwerde bei der irischen Datenschutzbehörde ein. Die begründete er damit, dass aufgrund der von Edward Snowden seit 2013 enthüllten Tätigkeiten der US-Nachrichtendienste weder Recht noch Praxis in den Vereinigten Staaten angemessenen Schutz dagegen bieten, dass Behörden die in die USA übermittelten Daten überwachen.
Die irische Behörde wies die Beschwerde unter anderem mit dem Verweis auf die Safe-Harbor-Entscheidung zurück. Das oberste irische Gericht fragte daraufhin im weiteren Verlauf des Verfahrens beim EuGH an, ob nationale Kontrollstellen trotz dieser Entscheidung eine Beschwerde untersuchen dürfen, mit der geltend gemacht wird, dass ein Drittland kein angemessenes Schutzniveau gewährleistet, und die beanstandete Übermittlung von Daten gegebenenfalls auszusetzen.
In seinen Schlussanträgen hat Generalanwalt Bot dies bejaht. Überdies ist er der Ansicht, “dass die Mitgliedstaaten, falls in dem Drittland, in das personenbezogene Daten übermittelt werden, systemische Mängel festgestellt werden, die erforderlichen Maßnahmen ergreifen können müssen, um die Grundrechte, die von der Charta der Grundrechte der Europäischen Union geschützt werden, zu wahren, wie das Recht auf Achtung des Privat- und Familienlebens und das Recht auf den Schutz personenbezogener Daten.”
Laut Bot ergibt sich sowohl aus den vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen zudem, “dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen. Diese Tatsachenfeststellungen belegen, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält.”
Der Generalanwalt ist ferner der Ansicht, dass der Umstand, dass “Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf” darstellt. In diesem Eingriff in die Grundrechte sieht er einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, “insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet ist.”
Die Schlussanträge des Generalanwalts sind für den Europäischen Gerichtshof nicht bindend, sondern stellen einen Entscheidungsvorschlag dar. Über den beraten die Richter des Gerichtshofs nun. Wann das Urteil verkündet wird, ist bislang nicht bekannt.
In einer ersten Stellungnahme (PDF) hat Kläger Max Schrems unter anderem erklärt: “Wenn das Safe-Harbor-System wegfällt, ist es sehr wahrscheinlich, dass die Datenschutzbehörden in den 28 EU-Mitgliedsstaaten den Datentransfer zu US-Firmen, die den Gesetzen zur Massenüberwachung unterliegen, nicht mehr erlauben werden. Das könnte erhebliche negative wirtschaftliche Auswirkungen auf die US-Technologiebranche haben.”
Tipp der Redaktion: Max Schrems war vor drei Jahren Jurastudent in Wien – einer von vielen. Das änderte sich, nachdem er durch seine Klage gegen Facebook bekannt geworden war. Er warf dem Konzern vor, zu emsig Daten zu sammeln. Mit “ Kämpf um deine Daten” hat er sein erstes Buch vorgelegt – ein Weckruf für alle Internet-Nutzer.