EuGH verhandelt Datenschutz bei Facebook gegen Überwachung durch NSA

[image]

Schützt Facebook seine Nutzerdaten ausreichend vor der Überwachung durch den US-Geheimdienst NSA? Damit beschäftigt sich nun erstmals der Europäische Gerichtshof (EuGH) im Rahmen einer Anhörung. Angestrengt hat das Verfahren der österreichische Jurist Maximilian Schrems.

Nutzerdaten sind oft auf US-Servern gespeichert

Wie viele US-Konzerne hat Facebook seinen europäischen Sitz in Irland. Mit niedrigen Steuern und vorteilhaften Vorschriften hat die grüne Insel ausländische Unternehmen angelockt. Die Daten seiner europäischen Nutzer speichert Facebook wie auch Google, Microsoft, Apple und viele weitere amerikanische IT-Unternehmen jedoch auch auf Servern in den USA. Artikel 25 der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) erlaubt die Übermittlung personenbezogener Daten in Länder außerhalb der EU allerdings nur, wenn dort zumindest ein dem EU-Datenschutz vergleichbarer Schutz gewährleistet ist. Bekanntermaßen liegt der Datenschutz in den USA darunter.

PRISM soll direkten Serverzugriff ermöglichen

Damit eine Datenübermittlung rechtlich möglich ist, haben die EU und die USA im Jahr 2000 das Safe-Harbor-Abkommen geschlossen. Aufgrund von Safe Harbor können sich US-Unternehmen zur Einhaltung europäischer Datenschutzstandards verpflichten. Alle großen US-Unternehmen wie Microsoft, Google, Amazon und Facebook sind dabei. Die Verpflichtung erfolgt seitens der Unternehmen jedoch vollkommen freiwillig. Sie können bestehende, aber auch eigene Maßnahmen zum Schutz personenbezogener Daten entwickeln und sich somit selbst zertifizieren. Ob sie Safe Harbor dabei einhalten, wird von keiner unabhängigen Stelle kontrolliert.

Schon vor Bekanntwerden des massenhaften Datenabgriffs mittels PRISM durch die NSA gab es daher Kritik an Safe Harbor. Laut der durch den Whistleblower Edward Snowden zu PRISM enthüllten Unterlagen beteiligen sich neun der größten Internetkonzerne und Dienste der USA an dem Programm, darunter Facebook. Mit PRISM sollen US-Behörden demnach direkt auf deren Server zugreifen können. Mit Safe Harbor stünde eine solche Praxis nicht mehr im Einklang. Das hätte weitreichende Folgen für die Datenübermittlung in die USA, insb. auch für Nutzer von Cloud-Diensten.

Irischer Datenschutzbeauftragter verweigert Untersuchung

Zur jetzigen Verhandlung vor dem EuGH (Az.: C-362/14) kam es, nachdem der irische Datenschutzbeauftragte (Data Protection Commissioner (DPC)) sich geweigert hat, eine von Schrems eingereichte Beschwerde zu bearbeiten. Die Einhaltung des Datenschutzes lokaler Unternehmen kontrollieren die Behörden des jeweiligen Landes. Zuständig ist im Falle der irischen Facebook-Tochter „Facebook Ireland Ltd.“ also der irische Datenschutzbeauftragte. Schrems forderte diesen auf, die Praxis zu untersuchen.

Der Fall kam daraufhin vor den Höchsten Gerichtshof Irlands (High Court of Ireland). Der legte, da es um das Datenschutzrecht der EU geht, dem Europäischen Gerichtshof (EuGH) folgende Fragen vor: Kann ein Datenschutzbeauftragter sich noch auf die im Jahr 2000 getroffenen Safe-Harbor-Prinzipien (2000/520/EG) berufen und Nachforschungen verweigern? Oder muss ein Datenschutzbeauftragter aufgrund neuer Erkenntnisse – konkret des PRISM-Programms – nun eigene Ermittlungen anstellen?

Sieben EU-Mitgliedstaaten, das EU-Parlament, die EU-Kommission und weitere Stellen haben zur Anhörung vor dem EuGH Stellungnahmen abgegeben. Jeder kann sich 10 Minuten dazu äußern. Tweets von Max Schrems aus dem Gerichtssaal zufolge kritisierte das Europäische Parlament die EU-Kommission scharf. Nach Kenntnis der Massenüberwachung ließe sich Safe Harbor nicht mehr aufrechterhalten. Die Kommission selbst sagte, dass sie derzeit einen ausreichenden Schutz nicht bestätigen kann. Andererseits müsse sie neben Grundrechten auch diplomatische und wirtschaftliche Beziehungen bei ihren Verhandlungen berücksichtigen. Zuvor zeigten sich bereits Belgien, Österreich, Polen und Slowenien kritisch, was Safe Harbor angeht. Großbritannien sah keinen Grund zum Handeln und warnte vor Nachteilen für die Handelsbeziehungen mit den USA.

Keine Datenübermittlung mehr in die USA?

Artikel 3 des Safe-Harbor-Abkommens sieht jedenfalls ein Vorgehen bei seiner Verletzung vor. Demnach können die zuständigen Behörden in den Mitgliedstaaten ihre bestehenden Befugnisse zum Schutz von Privatpersonen bereits dann ausüben, wenn eine hohe Wahrscheinlichkeit besteht, dass die Safe-Harbor-Grundsätze verletzt werden. Als konkrete Maßnahme nennt die Vorschrift auch das Aussetzen der Datenübermittlung an eine Organisation. In diese Richtung äußerte sich auch der Europäische Datenschutzbeauftragte. Zuvor sollte eine Lösung mit den USA gesucht werden. Ist das das Ende für die Datenübermittlung in die USA? Eine Entscheidung des EuGH zu der Frage, ob nationale Datenschutzbehörden Maßnahmen künftig mit Verweis auf Safe Harbor verweigern können, wird erst in einigen Monaten ergehen.

Auch ohne Safe Harbor sieht Art. 26 der EU-Datenschutzrichtlinie Ausnahmen für die Übermittlung personenbezogener Daten in ein Drittland mit einem niedrigen Datenschutz vor. Sie ist etwa möglich, sofern die betroffene Person ohne jeden Zweifel ihre Einwilligung dazu gegeben hat und keine nationalen Vorschriften für bestimmte Fälle entgegenstehen. Verglichen mit dem bisherigen Safe Harbor würde das die Datenübermittlung in Länder außerhalb der EU jedoch wesentlich erschweren. Die EU-Kommission plant als Antwort auf eine entsprechende Frage des EuGH-Präsidenten an Safe Harbor festzuhalten und die USA in puncto Überwachung zu überzeugen. Wer nicht wolle, dass seine Daten in die USA gelangen, sollte sich laut EU-Kommission bis dahin von Facebook abmelden. Der Generalanwalt beim EuGH, der die Richter bei ihrer Entscheidung unterstützt, hat die Mitteilung seines Gutachtens für den 24. Juni angekündigt. In den meisten Fällen orientiert sich der EuGH maßgeblich daran.

(GUE)