Die Social Media Plattform Facebook steht wegen ihrer Datenschutzpolitik und dem Umgang mit den persönlichen User Daten immer wieder in Kritik. Fast schon regelmäßig ist das Unternehmen Teil von Bußgeld- sowie Gerichtsverfahren und es wurden bereits mehrere Strafen gegen den Internetriesen verhängt. Mehr als einmal endeten Rechtsstreitigkeiten mit Facebook vor dem Europäischen Gerichtshof (EuGH).

Gegenstand des neuesten Gerichtsverfahrens gegen Facebook – genauer gesagt gegen die europäische Tochtergesellschaft Facebook Ireland Limited – war die Übermittlung personenbezogener Daten von Nutzern der Plattform auf Server in den Vereinigten Staaten von Amerika (USA) und die dortige Verarbeitung durch die Konzernmutter Facebook Inc. Die Entscheidung des EuGH hat erhebliche Auswirkung für die Datenübermittlung in die USA, denn der Gerichtshof erklärte das sog. US-Privacy-Shield für ungültig.

Hintergrund

Die irische Tochtergesellschaft Facebook Ireland Limited übermittelt personenbezogene Daten ihrer Plattform-Nutzer an ihre Muttergesellschaft, die Facebook Inc., in die USA. Die USA sind allerdings Drittland im Sinne der DS-GVO, weshalb für die Datenübermittlung die besonderen Vorschriften der Art. 44 ff. DS-GVO beachtet werden müssen. Über diese Regelungen soll sichergesellt werden, dass für personenbezogene Daten aus der EU bzw. dem EWR auch außerhalb des unmittelbaren Geltungsbereichs der DS-GVO ein Schutzniveau gewährleistet ist, das dem durch die Verordnung gewährten gleichwertig ist. Ob in den USA ein solches angemessenes Datenschutzniveau herrscht, ist seit Jahren umstritten. Allerdings konnten (bis zum 16.07.2020) auf Basis des EU-US-Datenschutzabkommens (EU-US-Privacy-Shield, Beschluss 2016/1250) Daten aus der EU ohne weitere Genehmigung der Aufsichtsbehörden in die USA transferiert werden. Das Abkommen bescheinigte den USA ein ausreichendes Datenschutzniveau.

Der Ausgangsfall und seine Vorgeschichte

Der Rechtsstreit zwischen dem aus Österreich stammenden Juristen Maximilian Schrems und der Facebook Ireland Limited begann bereits im Juni 2013, als dieser bei der irländischen Datenschutz-Aufsichtsbehörde bzw. dessen Leiter, dem Data Protection Commissioner (DPC), Beschwerde gegen das Unternehmen einreichte. Der DPC sollte Facebook die Übermittlung personenbezogener Daten von Herrn Schrems (im Rahmen seiner Befugnisse) untersagen, mit der Begründung, dass das dort herrschende Datenschutzniveau nicht angemessen sei. Seine Aussage begründete er mit den von Edward Snowden enthüllten Tätigkeiten der US-amerikanischen Nachrichtendienste.

Die Beschwerde wurde vom DPC mit Berufung auf die „Safe Harbour“-Entscheidung abgewiesen, bei der die EU-Kommission festgestellt hat, dass in den USA als Drittland ein angemessenes Datenschutzniveau herrscht. Daraufhin reichte Herr Schrems beim High Court, dem obersten Zivil- und Strafgericht Irlands, gegen die Facebook-Tochter ein. Das Gericht wendete sich ebenfalls an den EuGH, der unter anderem die „Safe Harbour“-Entscheidung für ungültig erklärte (Urteil „Schrems I“). Nach diesem Urteil des EuGH hob das High Court die Entscheidung des DPC auf, mit der dieser die Beschwerde zurückgewiesen hatte und forderte die Aufsichtsbehörde zu einer erneuten Prüfung auf.

Die Aufsichtsbehörde forderte Herrn Schrems dann nach Eröffnung der Untersuchung auf, seine Beschwerde umzuformulieren und dabei die Ungültigkeit der „Safe-Harbour“-Entscheidung zu berücksichtigen. Als der Beschwerdeführer daraufhin bei der Facebook Ireland Limited Auskunft über die Rechtsgrundlage der Datenübermittlung in die USA verlangte, verwies das Unternehmen auf eine zwischen den Konzernunternehmen geschlossene Vereinbarung zur Datenübermittlung und verarbeitung („data transfer processing agreement“) ohne die Anfrage genau zu beantworten.

In seiner umformulierten Beschwerde machte Herr Schrems anschließemd geltend, dass diese Vereinbarung unzureichend ist, da die Klauseln nicht den Standardvertragsklauseln (SVK) der EU-Kommission (Beschlusses 2010/87) entsprechen. Zudem liefern die Standardvertragsklauseln keine geeignete Rechtsgrundlage für die Datenübermittlung, da durch die Weitergabe der Daten an amerikanische Behörden die Rechte der Betroffenen eingeschränkt werden. Der DPC stellte im Rahmen seiner Untersuchungen fest, dass das amerikanische Recht den Betroffenen keine ausreichenden Rechtsbehelfe liefert und dass dieser Mangel durch die Verwendung der Standardvertragsklauseln nicht behoben wird, da die rein vertragliche Verpflichtung Behörden nicht bindet.

Da die Aufsichtsbehörde keine Entscheidung treffen konnte, ohne zu wissen, ob die SVK-Beschlüsse der EU-Kommission überhaupt gültig sind, wendete sich der DPC erneut an das High Court. Da das Gericht die Zweifel der Aufsichtsbehörde teilte, übergab es die Fragestellung an den EuGH.

Die Entscheidung des EuGH

Der EuGH stimmt mit der Einschätzung von Herrn Schrems, dem DPC sowie dem High Court überein und die Luxemburger Richter erklärten in ihrem Urteil vom 16.07.2020 (Az.: C‑311/18) das EU-US-Privacy-Shield für ungültig. Der Gerichtshof begründete seine Entscheidung damit, dass aufgrund der Zugriffsmöglichkeiten der US-Behörden die Anforderungen an den Datenschutz nicht gewährleistet sind. Zudem stehen Betroffenen keine ausreichenden Rechtsmittel zur Verfügung, um ihre Rechte in den USA gegenüber den Behörden durchsetzen zu können.

Auf Basis der Standardvertragsklauseln können allerdings weiterhin personenbezogene Daten aus der EU in die USA übermittelt werden. Dass die Standardvertragsklauseln nur die Vertragsparteien nicht aber Behörden binden, steht ihrer Zulässigkeit nicht grundsätzlich entgegen. Verantwortliche Stellen müssen allerdings dafür Sorge tragen, dass für die von ihnen übermittelten Daten und die Betroffenen auch bei dem Empfänger ein angemessenes Schutzniveau geboten ist. Das heißt, die Vertragsparteien müssen die Umsetzung der Klauseln in der Praxis prüfen sowie sie ggf. erweitern und geeignete Garantien ergänzen, sodass ein angemessenes Datenschutzniveau sichergestellt ist. Der EuGH erklärt zudem eindeutig, dass Aufsichtsbehörden den Datentransfer in ein Drittland aussetzen oder verbieten müssen, wenn sich herausstellt, dass die Standardvertragsklauseln in dem betreffenden Land nicht eingehalten werden (können).

Offengelassen hat der EuGH allerdings die Frage, ob die von Facebook verwendete Vereinbarung ein ausreichendes Schutzniveau garantiert. Es bleibt abzuwarten, welche Entscheidung das High Court nun basierend auf dem Urteil des EuGH trifft.

Folgen der Entscheidung des EuGH

Das Urteil des EuGH stellt einen Großteil der Europäischen Unternehmen vor eine Herausforderungen, denn sämtliche Datentransfers in die USA auf Basis des Privacy Shields sind nun zunächst einmal unzulässig. Die betroffenen Unternehmen müssen mit allen Partnern in den USA eine neue Vereinbarung auf Basis der Standardvertragsklauseln schließen. Aber auch in Bezug auf die Standardvertragsklauseln herrscht nun große Rechtsunsicherheit, ob der Abschluss einer solcher Vereinbarung ausreichend ist, um ein angemessenes Schutzniveau zu gewährleisten. Der EuGH konnte lediglich feststellen, dass anhand der Grundrechte Charta der EU nichts dagegenspricht. Es bleibt abzuwarten, wie die EU-Kommission auf das Urteil des EuGH reagiert.