Fragen und Antworten zum EuGH-Verfahren Facebook und der "sichere Hafen"
Firmen in Europa wie Facebook dürfen nicht mehr pauschal Daten in die USA transferieren. Denn laut EuGH sind die keineswegs ein "sicherer Hafen". Das heißt aber nicht, dass nun jeglicher Datentransfer in die USA rechtswidrig ist. Frank Bräutigam erklärt die Hintergründe.
Wie läuft die Datenspeicherung bei Facebook ab?
Wer als EU-Bürger das soziale Netzwerk Facebook nutzen möchte, schließt einen Vertrag mit einer europäischen Tochter des US-Konzerns, mit der "Facebook Ireland Ltd.". Die Wahl des europäischen Sitzes in Irland dürfte für Facebook vor allem steuerliche Gründe haben. Die persönlichen Daten der Nutzer werden dann zunächst bei Facebook in Irland gespeichert. Von dort werden die Daten in die USA exportiert und auf US-Servern gespeichert. Dieser Datentransfer aus der EU in die USA ist Kern und wichtigster Streitpunkt des aktuellen Gerichtsverfahrens.
Was ist die rechtliche Grundlage für einen Transfer persönlicher Daten von der EU in die USA?
Die EU-Datenschutzrichtlinie fordert, dass die Mitgliedsstaaten einen Transfer persönlicher Daten außerhalb der EU nur dann erlauben, wenn dort ein vergleichbares rechtliches Niveau in Sachen Datenschutz herrscht ("angemessenes Schutzniveau", Artikel 25 Absatz 1 der Richtlinie). Gleichzeitig bietet die EU-Richtlinie die Möglichkeit, dass die EU-Kommission pauschal und EU-weit gültig feststellt, dass in einem bestimmten Staat ein "angemessenes Schutzniveau" für dorthin übermittelte Daten herrscht (Artikel 25 Absatz 6 der Richtlinie).
Um einen Datentransfer in die USA zu ermöglichen, hat die EU-Kommission im Jahr 2000 die sogenannte Entscheidung "Safe Harbor" (sicherer Hafen) getroffen, die in diesem Gerichtsverfahren eine zentrale Rolle spielt. US-Unternehmen können sich den sogenannten "Safe Harbor Principles" unterwerfen und auf einer Liste des US-Handelsministeriums eintragen lassen. 2000 hat die EU anerkannt, dass alle Teilnehmer von "Safe Harbor" das erforderliche Niveau an Datenschutz garantieren und daher ein Datentransfer möglich ist. Zahlreiche große US-Unternehmen haben diesen Weg gewählt, zum Beispiel Microsoft, IBM, Google, Dropbox, und eben Facebook. Mehr als 4000 US-Unternehmen haben von "Safe Harbor" profitiert.
Warum stand die "Safe Harbor"-Entscheidung der EU-Kommission in der Kritik?
Kritiker wie der Kläger im konkreten Verfahren argumentierten: Die Situation beim Datentransfer in die USA habe sich seit den Enthüllungen von Edward Snowden über den Geheimdienst NSA und dessen Programme wie PRISM fundamental geändert. Von einem "sicheren Hafen" für europäische Daten in den USA könne keine Rede mehr sein. Zahlreiche Datenschützer in Deutschland hatten sich kritisch geäußert. EU-Kommissarin Viviane Reding hatte im Sommer 2013 eine Überprüfung der "Safe Harbor"-Entscheidung angekündigt. Diese Fragen sind auch ein Thema bei den Verhandlungen zur neuen EU-Datenschutzverordnung.
Wer hat das Gerichtsverfahren ins Rollen gebracht?
Initiator des Verfahrens ist der österreichische Jurist Max Schrems. Er hatte schon vor einigen Jahren Schlagzeilen damit gemacht, dass er bei Facebook die von ihm gesammelten Daten anforderte. Ausgedruckt waren das am Ende rund 1200 Seiten, ein immenser Stapel Papier. Darüber hinaus stört ihn seit langem der Datentransfer in die USA.
Wie ist das Verfahren an den EuGH gekommen?
Max Schrems versuchte sein Glück am Europa-Sitz von Facebook und wandte sich an den irischen Beauftragten für Datenschutz. Schrems machte u.a. geltend, seine persönlichen Daten seien in den USA nicht vor Überwachung geschützt. Der Datenschutzbeauftragte solle das doch prüfen und einschreiten.
Doch dieser lehnte die Beschwerde von Schrems ab. Als Datenschutzbeauftragter könne er in diesem Fall gar nicht in eine inhaltliche Prüfung einsteigen. Er sei an die "Safe Harbor"-Entscheidung der EU-Kommission aus dem Jahr 2000 gebunden. Die Snowden-Enthüllungen hätten an der Sachlage nichts geändert. Gegen diesen ablehnenden Bescheid erhob Schrems Klage beim irischen High Court.
Der Vorwurf an den Datenschutzbeauftragen lautete also, vereinfacht gesagt: Der tut nichts und kommt seiner Aufgabe nicht nach. Weil es um europäisches Datenschutzrecht geht, legte das irische Gericht den Fall dem Europäischen Gerichtshof in Luxemburg vor. Das irische Gericht wollte wissen: Ist ein unabhängiger Datenschutzbeauftragter so streng an die "Safe Harbor"-Entscheidung von 2000 gebunden, dass er gar keine eigene Prüfung vornehmen und neuere Entwicklungen berücksichtigen kann?
Was ist der rechtliche Kern des Verfahrens?
Der Weg bis nach Luxemburg klingt durchaus kompliziert und ein wenig nach "Klein-Klein". Hinter dem Rechtsstreit stehen aber wichtige Grundsatzfragen zum europäischen Datenschutz. Wie stark schauen die EU-Staaten bzw. die EU selbst global agierenden Konzernen in Sachen Datenschutz auf die Finger? Kann man das Grundrecht auf Datenschutz aus der EU-Grundrechtecharta in der Praxis wirklich durchsetzen?
Kläger Schrems hat im Übrigen eine ganze Reihe von Beschwerden beim Datenschutzbeauftragten eingereicht, die komplett abgelehnt wurden.
Facebook forderte nach dem Urteil verlässliche und rechtssichere Regeln für die Übermittlung von Daten in die USA. Dies sei auch für tausende europäische Firmen "zwingend erforderlich", erklärte eine Sprecherin.
Was hat der EuGH genau entschieden?
Der EuGH hat die "Safe Harbor"-Entscheidung der EU-Kommission für ungültig erklärt. Diese - vereinfacht gesagt - pauschale Genehmigung für den Datentransfer in die USA gibt es also nicht mehr.
Wie begründet er, dass die "Safe Harbor"-Entscheidung ungültig ist?
So eine pauschale Genehmigung der Kommission für den Datentransfer hat eine zentrale Voraussetzung: Im Drittstaat muss ein "angemessenes Schutzniveau" in Sachen Datenschutz herrschen. Der Gerichtshof stellt nun nicht selbst fest, dass die USA beim Datenschutz kein sicherer Hafen sind - ein kleine, aber feine Nuance. Der zentrale Vorwurf des Gerichts lautet vielmehr: Ob so ein Schutzniveau in den USA vorhanden ist, habe die Kommission gar nicht richtig geprüft und festgestellt. Sie hat es sich aus Sicht des Gerichts also zu einfach gemacht. Der EuGH zitiert sogar Berichte der Kommission an das Europäische Parlament, in denen sie einen aus ihrer Sicht unverhältnismäßigen Zugriff amerikanischer Behörden sogar einräumt.
Heißt das, jeder Datentransfer in die USA ist ab sofort illegal?
Aus dem Urteil geht nicht unmittelbar hervor, dass sofort jeglicher Datentransfer in die USA rechtswidrig ist. Es unterbindet den Datentransfer auch nicht selbst. Als zentrale Folge spielt das Gericht den Ball zurück zu den nationalen Datenschutzbeauftragten. Zum Beispiel muss die irische Datenschutzbehörde jetzt "mit aller gebotenen Sorgfalt" prüfen, ob die USA ein angemessenes Schutzniveau bieten, also ein sicherer Hafen sind. Wichtig: Das ist kein Prüfauftrag "einfach mal so". Der EuGH stellt genaue Kriterien auf, welches Schutzniveau aus seiner Sicht angemessen ist.
Was heißt denn für das Gericht "angemessenes Schutzniveau"?
Das Gericht fordert nicht einen absolut identischen Standard, aber der Datenschutz in den USA muss in der Sache "gleichwertig" mit dem in der EU sein. Das heißt:
- Die Speicherung der Daten muss auf das Notwendigste beschränkt sein, also keine flächendeckende Speicherung von persönlichen Daten ohne irgendeine Differenzierung oder Ausnahme
- Kein genereller Zugriff auf den Inhalt elektronischer Kommunikation
- Ausreichender Rechtsschutz, mit dem der betroffene Bürger Zugang zu den gespeicherten Daten bekommen kann.
Das ist also die Messlatte der Prüfung. Sie hängt ganz schön hoch. Dahinter steckt der Gedanke, dass die Garantien des europäischen Datenschutzes für die Bürgerinnen und Bürger nicht einfach umgangen werden dürfen, indem die Daten in einen anderen Staat transferiert werden.
Wird das nicht ein bisschen "nutzloses Klein-Klein", wenn jetzt alle nationalen Datenschutzbeauftragten vor sich hin prüfen?
Das mag man auf den ersten Blick denken, gerade weil die irische Datenschutzbehörde im Fall Schrems nicht das allergrößte Engagement an den Tag legte. Entscheidend ist aber, dass die nationalen Behörden nicht im luftleeren Raum prüfen, sondern klare Kriterien aus Luxemburg mitbekommen haben. Wenn sie sich nicht daran halten und zu lasch prüfen, können erneut die Gerichte einschreiten. Das Urteil des EuGH baut dafür eine Art Drohkulisse auf. Außerdem ist davon auszugehen, dass die Datenschutzbehörden der EU-Länder versuchen werden, sich bei ihren regelmäßigen Treffen abzustimmen und nach einheitlichen Lösungen zu suchen.
Können EU und USA "Safe Harbour" neu verhandeln?
Die EU-Kommission will bereits laufende Gespräche zu "Safe Harbor" nun rasch abschließen, wie EU-Justizkommissarin Vera Jourova mitteilte. Von dem Urteil erhoffe sie sich Rückenwind für die Verhandlungen mit den USA.
EU-Kommissionsvizepräsident Frans Timmermans sagte, bis zum Abschluss der Gespräche mit den USA könnten Unternehmen über eine Neuregelung weiter europäische Nutzerdaten in den USA speichern. Die Transfers müssten auf Grundlage "anderer Mechanismen" im europäischen Datenschutzrecht erfolgen.
Die vom Gericht aufgestellten Kriterien zum "angemessenen Schutzniveau" stellen die entscheidende Messlatte dar. Das Urteil dürfte also bei möglichen neuen Verhandlungen als eine Art "Beipackzettel" mit auf dem Tisch liegen. Vorsorglich betont das Gericht schon mal: Weil das Grundrecht auf Datenschutz eine besondere Bedeutung habe, sei der Ermessenspielraum der Kommission eingeschränkt, was die Beurteilung des "angemessenen Schutzniveaus" angeht. Heißt: Verhandelt sie zu großzügig, würde der EuGH erneut eingreifen. Ob die USA sich überhaupt auf ein gleichwertiges Niveau beim Datenschutz einlassen wollen, ist eine ganz andere Frage. Eine "einfache" Alternative für Unternehmen wie Facebook wäre es im Übrigen, die Userdaten auf Servern in Europa zu speichern.
Welche Alternativen gibt es, trotzdem Daten zu transferieren?
Die Spezialisten unter den Anwälten haben schon vor dem Urteil intensiv darüber gebrütet, ob sich andere Rechtsgrundlagen für einen Datentransfer finden lassen. In der Datenschutzrichtline und den nationalen Gesetzen ist die Möglichkeit einer "Einwilligung" durch die betroffenen Personen geregelt. Abschließende Aussagen lassen sich dazu aber noch nicht treffen.
Wie hat der EuGH bislang in Sachen Datenschutz geurteilt?
In den vergangenen Jahren hat der EuGH immer wieder wichtige Urteile zum Datenschutz gefällt. Zum Beispiel hat er in Sachen Google ein "Recht auf Vergessenwerden" etabliert, mit einem Löschanspruch für bestimmte Suchergebnisse. In diesem Urteil weist der Gerichtshof auch darauf hin, dass für eine Tochterfirma eines Konzerns in Europa (dort Google Spain) die Datenschutzrichtlinie der EU anwendbar ist.
Denkwürdig war auch das Urteil zur Vorratsdatenspeicherung, in dem der Gerichtshof die EU-Richtlinie in dieser Form als Verstoß gegen das Recht auf Datenschutz ansah. Im Bereich Datenschutz entwickelt sich das Gericht immer mehr zum europäischen "Grundrechtegericht".
Was sagen die USA zum Gerichtsverfahren?
Die US-Botschaft bei der EU hatte in einem Statement vor dem Urteil geäußert, dass der Generalanwalt die Rechtslage zum Datenschutz in den USA völlig falsch einschätzt. Die Bedeutung des Verfahrens gehe zudem weit über diesen Fall hinaus. Wenn sich die Meinung des Generalanwaltes durchsetze, könnten sich andere Staaten und Firmen nicht mehr auf Entscheidungen verlassen, die mit der EU-Kommission verhandelt worden seien.