Schrems vs. Facebook – EuGH prüft Datentransfer in USA
Was bisher geschah…
In einer Beschwerde aus dem Jahr 2013 prangerte Max Schrems bei der irischen Datenschutzaufsichtsbehörde die Übermittlung seiner personenbezogenen Daten in die USA durch Facebook an. Durch die Übermittlung seiner Daten in die USA sieht er sich in seinen Grundrechten verletzt.
Im Rahmen eines Vorabentscheidungsverfahrens entscheid der EuGH im Jahr 2015, dass das sog. Safe-Harbor-Abkommen keinen hinreichenden Schutz für die Datenverarbeitung biete. Daraufhin folgte das EU-U.S. Privacy Shield. Dies bildet seit 2016 die Grundlage für einen Großteil der Datenübermittlung in die USA.
Bieten Privacy Shield und Model Clauses genug Schutz für europäische Daten?
Das EU-U.S. Privacy Shield ist eine Art Selbstzertifizierungsmechanismus, dem sich US-Unternehmen unterwerfen können und das einen ausreichenden Schutz für EU-Daten bieten soll. Soweit sich empfangende Unternehmen nicht dem Private Shield-Mechanismus unterworfen haben, wird die Sicherheit der europäischen Daten auf sog. Model Clauses gestützt. Darunter sind Standardvertragsklauseln zu verstehen, die wenn sie unverändert zur Grundlage des Übermittlungsvertrages gemacht werden, ein hinreichendes Datenschutzniveau bescheinigen sollen.
Nach der wegweisenden Entscheidung zu Safe Harbor wurden Schrems mitgeteilt, dass Facebook seinen Datentransfer nie auf Safe Harbor gestützt hatte. Vielmehr übermittle Facebook personenbezogene Daten auf Basis von Model Clauses. Daraufhin passte Schrems seine Beschwerde an diese neuen Tatsachen an und forderte weiterhin, Facebook an Datentransfers in die USA zu hindern.
Sollte der EuGH zu dem Schluss kommen, dass auch die Institute – Privacy Shield und/oder Model Clauses – personenbezogene Daten aus der EU nicht ausreichend schützen, muss die Übermittlung in Drittstaaten, insbesondere in die USA grundsätzlich neu überdacht werden.
Grundsätzlich datenschutzrechtliche Bedenken bei Datentransfers in die USA
Jüngste Gesetzesänderungen in den USA wie dem sog. „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act) werden datenschutzrechtliche Bedenken hinsichtlich Datentransfers verstärkt. Die „europäischen“ Daten werden demnach so behandelt, als seien sie innerhalb der USA gespeichert, US-Behörden haben also auch auf solche Daten Zugriff, die außerhalb der USA liegen. Anders als nach altem Recht, ist gerade kein Rechtshilfeabkommen mehr erforderlich. Aus Sicht des EU-Rechts ist dies problematisch.
Entwicklungen im europäischen Datenschutzrecht
Mit Hochdruck arbeitet die EU an einem sogenannten Exekutivabkommen, das zum CLOUD Act passen soll. Unter Datenschützern ist allerdings umschritten, ob ein solches Abkommen den Anforderungen der DSGVO an ein Rechtshilfeabkommen überhaupt genügen würde. Wichtig wäre in diesem Zusammenhang in jedem Fall, dass die hohen Standards der DSGVO auch auf die US-Behörde übertragen würden. Demzufolge müssten US-Behörden die übermittelten Daten genauso schützen, als verblieben sie in der EU.
Die Entwicklungen als auch die derzeitige Rechtslage vor dem EuGH zeugen, dass das europäische Datenschutzrecht unter einem Durchsetzungsdefizit leidet. Um die Umstände zu verbessern müssen Aufsichtsbehörden Verstöße schneller ahnden.
Es bleibt mit Spannung zu erwarten, wie sich die Rechtssache weiterentwickelt. Unternehmen sollten diese Entwicklungen verfolgen und gegebenenfalls die eigenen Datenverarbeitungsvorgänge überprüfen.