Max Schrems vs. Facebook:Was die Entscheidung des EuGH bedeutet

Max Schrems Facebook

Der Österreicher Max Schrems brachte das Verfahren gegen Facebook ins Rollen.

(Foto: AFP)
  • Der Europäische Gerichtshof hat das sogenannte Safe-Harbor-Abkommen zwischen EU-Kommission und den USA gekippt.
  • Die Vereinbarung regelt die Übermittlung personenbezogener Daten - diese seien in den USA aber unzureichend vor dem Zugriff der Geheimdienste geschützt.
  • Mehr als 4 400 Unternehmen, darunter Facebook, Google, Amazon und Microsoft, dürfen europäische Nutzerdaten nun nicht mehr grundsätzlich in den USA speichern.

Von Simon Hurtz

Worüber hat der Europäische Gerichtshof (EuGH) heute entschieden?

Es ging um eine Klage des österreichischen Juristen Max Schrems. Er wollte nicht hinnehmen, dass Facebook persönliche Daten auf Servern in den USA speichert, wo sie nach Schrems' Meinung nur unzureichend vor dem Zugriff durch die NSA geschützt sind. Deshalb sollten die Richter in Luxemburg klären, ob sich der europäische Facebook-Ableger mit Sitz in Dublin an die EU-Grundrechtecharta zum Schutz personenbezogener Daten halten muss und womöglich europäisches Datenschutzrecht verletzt.

Wie haben die Richter geurteilt?

Der EuGH hat Irland die Übermittlung europäischer Nutzerdaten auf Server in den USA verboten. Die irischen Datenschutzbehörden müssen die Beschwerde von Max Schrems prüfen und dürfen sich nicht auf bestehende Verträge berufen, die den Datenaustausch angeblich erlauben.

Facebook selbst sieht sich unmittelbar nicht von dem EuGH-Urteil betroffen. Die Richter hätten nicht den Datenschutz von Facebook bemängelt, sondern eine grundlegende Entscheidung darüber gefällt, ob personenbezogene Daten in den USA ausreichend geschützt sind. "In diesem Verfahren ging es nicht um Facebook", betont ein Sprecher. "Der Generalanwalt selbst hat gesagt, dass Facebook nichts Falsches getan hat."

Warum ist das wichtig?

Das Urteil des EuGH könnte Auswirkungen haben, die deutlich über Facebook hinausgehen. Rund 4 400 US-Unternehmen speichern europäische Kundendaten in den Vereinigten Staaten. In seinem Schlussantrag hatte Generalanwalt Yves Bot die Meinung vertreten, dass US-amerikanische Geheimdienste wie die NSA nahezu uneingeschränkt auf Nutzerdaten zugreifen können, die Unternehmen auf dortigen Servern speichern.

Dieser Einschätzung hat sich der EuGH nun angeschlossen. Den Richtern zufolge bieten die USA kein ausreichendes Schutzniveau für die Daten europäischer Nutzer. Dementsprechend verliert das Safe-Harbor-Abkommen seine Gültigkeit. Für den Rechtsanwalt Marco Maurer hat die Entscheidung "zweifellos große Auswirkungen auf die Datenübermittlungspraxis international tätiger Unternehmen in die USA." Diese seien nun gezwungen, auf anderem Wege ein angemessenes Datenschutzniveau zu gewährleisten, sagt Maurer. Ähnlich sieht das sein Kollege Matthias Bergt. Unternehmen, die sich bisher auf Safe Harbor verlassen haben, müssten nun sofort alle Daten aus den USA zurückholen.

Was ist das Safe-Harbor-Abkommen?

Das Safe-Harbor-Abkommen zwischen der EU und den USA erlaubt es europäischen Unternehmen und den europäischen Tochtergesellschaften amerikanischer Firmen, personenbezogene Daten in die Vereinigten Staaten zu übermitteln. Der EU-Datenschutzrichtlinie von 1995 zufolge dürfen personenbezogene Daten nur dann in andere Länder übermittelt werden, wenn die Informationen dort ausreichend geschützt werden. Es ist Aufgabe der EU-Kommission, darüber zu entscheiden, ob andere Länder dieses Schutzniveau garantieren können.

Im Jahre 2000 hat die EU im Zuge des Safe-Harbor-Abkommens die USA zu einem solchen "sicheren Hafen" erklärt. US-Unternehmen können sich demnach selbst bescheinigen, dass sie europäische Datenschutzbestimmungen erfüllen. Sie müssen dafür gegenüber der US-Handelskommission (FTC) einige Selbstverpflichtungen zum Datenschutz eingehen. Darunter fällt die Pflicht, Nutzer zu informieren, welche Daten sie zu welchem Zweck weitergeben, sie bei Weitergabe an Dritte zu informieren und ihnen das Recht einzuräumen, die gespeicherten Daten einzusehen und sie ergänzen oder löschen zu können.

Allerdings bestehen Zweifel, ob und inwieweit sich Konzerne wie Google, Microsoft, Facebook und Apple daran halten. Die Konzerne müssen keine Nachweise für diese Verpflichtungen erbringen, die EU selbst kontrolliert gar nicht, die FTC nur lax.

Welche wirtschaftlichen Konsequenzen hätte das Ende von Safe Harbor?

Unternehmen, die Nutzerdaten bislang auf Grundlage von Safe Harbor in die USA übermittelt haben, müssen nun auf andere Wege ausweichen. Als Alternative bringt Rechtsanwalt Marco Maurer einen Rückgriff auf die EU-Standardvertragsklauseln oder für internationale Großkonzerne die Einführung konzernweiter "Binding Corporate Rules" ins Spiel. Durch diese würden allerdings nur die Unternehmen in den USA, nicht aber die US-Überwachungsbehörden verpflichtet. Daher sei es zweifelhaft, ob das vom EuGH geforderte Schutzniveau allein durch solche Mittel erreicht werden könne.

Nach Einschätzung des Juristen Matthias Bergt könnten nun auch die EU-Standardvertragsklauseln grundrechtswidrig geworden sein. Der EuGH habe schließlich festgestellt, dass der faktisch unbeschränkten Zugriff US-amerikanischer Geheimdienste auf elektronische Kommunikation mit den europäischen Grundrechten nicht vereinbar ist. Weder Safe Harbor noch die Standardvertragsklauseln würden die Befugnisse der US-Behörden einschränken, dementsprechend seien beide ungültig.

Allerdings bestehe eine faktische Übergangsregelung, sagt Bergt: "Der EuGH hat auch entschieden, dass nur er selbst eine Entscheidung der EU-Kommission für ungültig erklären kann. Bis also ein entsprechendes Verfahren zum EuGH kommt, bleiben die Standardvertragsklauseln weiter gültig." Dessen ungeachtet sei es den nationalen Datenschutzbehörden möglich, die Standardvertragsklauseln als unwirksam anzusehen - auch hier erachte der EuGH die Kommissionsentscheidung nicht als bindend.

Andere Juristen vertreten die Einschätzung, dass Unternehmen die Nutzer ab sofort vorab in die Datenübermittlung einwilligen lassen und über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung in Kenntnis setzen müssen. Sie seien nun verpflichtet, in ihren Geschäftsbedingungen darauf hinzuweisen, dass US-Geheimdienste auf gespeicherten Daten zugreifen können. Das ist aber heikel, da ihnen das US-amerikanische Recht verbietet, ihre Zusammenarbeit mit eben jenen Diensten offen zu legen. Möglicherweise könnte das bedeuten, dass Firmen wie Facebook, Google, Microsoft oder Amazon neue Rechenzentren in der EU aufbauen müssen, da sie die Daten nicht mehr in den USA speichern dürfen.

Was das Urteil politisch bedeutet

Was bedeutet das Urteil politisch?

Die EU und die USA verhandeln bereits seit zwei Jahren über eine Neuregelung des Safe-Harbor-Abkommens. Der Nachrichtenagentur Reuters zufolge sollen die Gespräche bereits kurz vor dem Abschluss gestanden haben. Nachdem der EuGH Safe Harbor nun für ungültig erklärt hat, wird das mit Sicherheit Einfluss auf die laufenden Verhandlungen haben.

Warum halten die USA den Schutz der Nutzerdaten für ausreichend?

Nachdem Yves Bot seine Einschätzungen veröffentlicht hatte, versuchte das US-Außenministerium, den Schlussantrag des Generalanwalts zu entkräften. Bot habe seinem Plädoyer falsche Annahmen zugrunde gelegt. Zwar respektiere man den juristischen Prozess der Europäischen Union, dennoch wolle man Bots Schlussantrag kommentieren.

Die USA kritisieren, dass sich der Generalanwalt lediglich auf die Einschätzung des irischen High Court bezogen habe. Dieser wiederum habe die Auffassung von Schrems ohne Prüfung übernommen. Entgegen dessen Behauptung würden die Vereinigten Staaten gar keine Massenüberwachung praktizieren. Das Überwachungsprogramm Prism richte sich gegen "konkrete, zulässige Ziele", sei gesetzlich genehmigt und unterliege der öffentlichen Kontrolle.

Das US-Außenministerium hoffe, dass die Richter am EuGH bei ihrem Urteil die Ungenauigkeiten und weitreichenden Folgen des Gutachtens von Yves Bot berücksichtigen. Sollten sie den Einschätzungen des Generalanwalts folgen, würde das dem Schutz der Bürgerrechte "erheblichen Schaden" zufügen und den "freien Fluss von Informationen" behindern.

Wie ist das Verfahren überhaupt vor dem EuGH gelandet?

Max Schrems hatte 2011 gefordert, dass Facebook alle Informationen herausgeben solle, die das Unternehmen über ihn gespeichert hat. Die Europa-Zentrale von Facebook im irischen Dublin schickte ihm eine 496 MB große PDF-Datei: 1222 Seiten persönliche Daten, darunter auch Informationen, die er bereits gelöscht hatte.

Daraufhin schaltete Schrems den irischen Datenschutzbeauftragten ein und forderte ihn auf, die Sicherheit der Daten aller europäischen Nutzer zu überprüfen. Dieser wies die Beschwerde mit Verweis auf das Safe-Harbor-Abkommen zurück: Die EU-Kommission habe dem Datenaustausch mit den USA selbst zugestimmt.

In der Folge wandte sich Schrems an den irischen High Court, der den Fall dem EuGH vorlegte. Die Luxemburger Richter sollten entscheiden, ob die irischen Datenschutzbehörden tatsächlich an das Safe-Harbor-Abkommen gebunden sind oder eigene Ermittlungen zum Datenschutz bei Facebook anstellen müssen. Der High Court verwies dabei auf die Enthüllungen des früheren NSA-Mitarbeiters Edward Snowden, die es fraglich erscheinen lassen, inwieweit US-Konzerne ausreichenden Datenschutz gewährleisten können.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: