Was die EuGH-Entscheidung im Fall «Facebook vs. Schrems» bedeutet Von Michel Winde und Christoph Dernbach, dpa

David gegen Goliath, 2.0: Der EuGH könnte heute die Regeln für den Datenverkehr in die USA kippen. Max Schrems hat in seinem Streit mit Facebook bereits für das Ende des Abkommens «Safe Harbor» gesorgt. Auch der jetzige Fall könnte weitreichende Folgen haben.

Luxemburg (dpa) - Die aktuellen Regeln für Datentransfers aus Europa vor allem in die USA stehen erneut auf dem Prüfstand. Ins Rollen gebracht wurde der Fall durch den österreichischen Datenschutzaktivisten Max Schrems, nach dessen Klage der Europäische Gerichtshof 2015 bereits das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA kassiert hatte. Heute steht erneut eine weitreichende EuGH-Entscheidung an.

Was steht auf dem Spiel?

«Letzten Endes geht es um die Zulässigkeit von Datentransfers von europäischen Unternehmen in die USA, aber sogar darüber hinaus weltweit», sagt Vera Jungkind, Datenschutzexpertin der Anwaltskanzlei Hengeler Mueller. Das Urteil könnte also gravierende Folgen für die globale Wirtschaft haben. Dürfen Unternehmen weiterhin personenbezogene Daten von Nutzern, Verbrauchern oder Arbeitnehmern in die USA senden? E-Mails oder Hotel-Buchungen von Privatpersonen dürften von dem Urteil nicht betroffen sein. Im Fokus stehen «Electronic Communication Service Provider», also Serviceanbieter wie Facebook, Google, Microsoft, Apple und Yahoo.

Worum geht es konkret?

Derzeit geschieht der Datenaustausch meist auf Grundlage sogenannter Standardvertragsklauseln, die im Kern Garantien dafür bieten, dass es bei der Übermittlung ins Ausland angemessenen Schutz für die Daten von EU-Bürgern gibt. In einigen Fällen legt auch der EU-US- Datenschutz-Schild («Privacy Shield») Standards für den Umgang mit europäischen Informationen in den USA fest. Die Standardvertragsklauseln sind aber gebräuchlicher. Datenschützer Schrems hat es vor allem auf Facebook abgesehen.

Wer ist Max Schrems?

Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa - und gegen Facebook. Nach den ersten Anfragen bei Facebook und der irischen Datenschutzbehörde seien die Antworten so surreal gewesen, dass er immer habe weitermachen müssen, sagt er. Auf sein Betreiben kippte der EuGH 2015 bereits die Safe-Harbor-Regelung. Als Nachfolgeregelung hatte die EU-Kommission mit den US-Behörden schließlich den Datenschutz-Schild ausgehandelt, der nun erneut infrage steht. Er gründete auch den Datenschutz-Verein Noyb, der auf Grundlage der seit 2018 gültigen EU-Datenschutzgrundverordnung bereits Anzeigen gegen Google und Facebook auf den Weg brachte.

Was bemängelt Schrems genau?

Schrems hat bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese dort nicht angemessen gegen Ausspähaktionen gesichert seien. Er begründet das damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI Zugang zu den Daten zu gewähren - ohne dass Betroffene dagegen vorgehen können. Der irische High Court rief schließlich den EuGH an und wollte wissen, ob Standardvertragsklauseln und Datenschutz-Schild mit dem europäischen Datenschutzniveau vereinbar sind.

Wieso prangert Schrems Firmen wie Facebook, Microsoft, Google, Apple und Yahoo an, und warum hat er andere Firmen wie Amazon nicht im Visier?

Schrems orientiert sich an den Enthüllungen von Edward Snowden. Der US-Whistleblower hatte 2013 dokumentiert, dass US-Geheimdienste wie die NSA und andere Behörden auf Server von US-Konzernen wie Facebook und Google zugreifen können. Auf den von Snowden enthüllten Folien werden namentlich Microsoft (auch mit Skype), Google (auch mit Youtube), Facebook, Yahoo, Apple, AOL und Paltalk erwähnt. Amazon steht nicht auf den Folien zum Überwachungsprogramm Prism.

Wie könnte das Urteil der Luxemburger Richter ausfallen?

Einen Hinweis darauf hat im Dezember ein EuGH-Generalanwalt mit seinem Gutachten geliefert. Henrik Saugmandsgaard Øe befand damals, dass die Standardvertragsklauseln grundsätzlich gültig seien. Die Verantwortlichen für die Datenverarbeitung und die Kontrollbehörden seien jedoch dazu verpflichtet, die Übermittlung zu stoppen, wenn die Datenschutz-Vorgaben nicht eingehalten werden. Die Gültigkeit des Datenschutzschild-Beschlusses müsse für das aktuelle Verfahren nicht geklärt werden. Die EuGH-Richter folgen ihren Gutachtern häufig - aber nicht immer.

Kann der EuGH den Datenverkehr zwischen Europa und den USA komplett lahmlegen?

Die größten Auswirkungen hätte das Urteil wohl, wenn der EuGH befindet, dass der Datenverkehr auf Grundlage von Standardvertragsklauseln grundsätzlich unzulässig ist. Dann wäre nicht nur der Austausch personenbezogener Daten mit den USA, sondern auch mit allen anderen Ländern in der Welt betroffen. «Dies hätte erhebliche Auswirkungen», sagt Datenschutzexpertin Jungkind. Welche Alternativlösungen es dann für internationale Datentransfers gebe, sei noch völlig unklar. Die EU-Kommission müsste möglichst schnell Alternativen ausarbeiten. Wie es aus der Brüsseler Behörde heißt, ist man dort auf verschiedene Szenarien vorbereitet.

Jungkind geht eher davon aus, dass die Richter dem Generalanwalt folgen und die Standardvertragsklauseln für grundsätzlich zulässig erklären. «Vielleicht fordern sie, dass Unternehmen künftig verpflichtet sein sollen, Betroffene und europäische Datenschutzbehörden darüber zu informieren, wenn US-Geheimdienste auf ihre Daten zugreifen», sagt Jungkind. Was das dann für Facebook, Microsoft, Google & Co bedeutet, wird man nach dem Urteil sehen.