Max Schrems vs. Facebook II: Das neue transatlantische Datenschutz-Drama

• Der Europäische Gerichtshof (EuGH) prüft derzeit, ob die Datenschutzgarantien der USA den Ansprüchen der Europäischen Union genügen.
• Jetzt hat der Generalanwalt des EuGH sein Gutachten veröffentlicht.
• Seiner Ansicht nach bieten "Standardvertragsklauseln" ausreichenden Schutz, weil Datenschutzbehörden ja die Übermittlung unterbinden könnten, wenn es Mängel beim Datenschutz gibt.

Es ist eine Entscheidung, die für den transatlantischen Datenstrom von großer Bedeutung sein wird - und damit für den Blutkreislauf der globalen Wirtschaft. Der Europäische Gerichtshof (EuGH) prüft derzeit, ob die Datenschutzgarantien der USA den Ansprüchen der Europäischen Union genügen. Nun hat der Generalanwalt des EuGHs sein Gutachten veröffentlicht. Es ist unerwartet moderat ausgefallen: Sollte der Gerichtshof in einigen Monaten seinem Votum folgen, dann bliebe der Datentransfer weiterhin möglich.

Zwar enthält der Schlussantrag des EU-Juristen eine durchaus kritische Einschätzung des sogenannten "Privacy Shield", jenes Datenschutzschildes, auf das sich Europäische Union und USA im Jahr 2016 geeinigt hatten. Es fehle an einer gesetzlichen Regelung der US-Garantien, zudem sei die Rolle des Ombudsmanns, bei dem sich Europäer über Datenmissbrauch beschweren könnten, nicht als unabhängige Beschwerdeinstanz angelegt.

Wie gut schützen sie Klauseln die Daten der Bürger?

Allerdings ist der Generalanwalt der Meinung, dass der EuGH über diesen Teil des Datenschutzes gar nicht zu entscheiden habe, sondern allein über die sogenannten "Standardvertragsklauseln". Das ist sozusagen der zweite Kanal für die Datenübertragung, der in der Praxis eine weitaus größere Bedeutung hat als der Schutzschild. Facebook zum Beispiel, um deren Datentransfers in die USA es im konkreten Fall vor dem EuGH geht, stützt sich im Wesentlichen auf solche Klauseln - ein System vertraglicher Garantien, das auf einem Beschluss der EU-Kommission von 2010 beruht. Diese "Standardvertragsklauseln" böten ausreichenden Schutz, meint der Generalanwalt. Und zwar deshalb, weil es Datenschutzbehörden möglich sei, die Übermittlung bei Datenschutzmängeln zu unterbinden. Das schütze die Rechte der Bürger ausreichend.

Wer die Verhandlung im Juli verfolgt hat, wird diese Einschätzung einigermaßen überraschend finden. Denn nach den Worten von Generalanwalt Henrik Saugmandsgaard Øe haben die Garantien der Standardvertragsklauseln auch dann Bestand, wenn man den "Privacy Shield" für unzulänglich hält. Anders ausgedrückt: Selbst wenn der erste Kanal des Datentransfers aus der EU in die USA so löchrig ist, dass dort die National Security Agency (NSA) fröhlich Daten von Europäern mitlesen kann, bleibt der zweite Kanal - die Klauseln - aus Sicht des dänischen Juristen sicher.

In der Anhörung im Juli hatten die kritischen Nachfragen aus den Reihen des Gerichtshofs sich auf genau diesen Punkt konzentriert. Mit der Vereinbarung über einen "Privacy Shield" sei doch eine generelle Aussage darüber getroffen worden, dass das Datenschutzniveau in den USA angemessen sei, merkte damals der zuständige Berichterstatter Thomas von Danwitz an. Wenn nun aber diese grundlegende Entscheidung über das Datenschutzniveau in den USA in Zweifel gerate: Könne der Datentransfer der Unternehmen mithilfe der Standardvertragsklauseln wirklich davon unbeeinflusst bleiben?

Zwar wird gern die Formel gebraucht, der Gerichtshof folge "meistens" den Vorschlägen des Generalanwalts. Nicht ausgeschlossen, dass dies in diesem Fall anders ist. Wie übrigens der Gerichtshof gerade bei Materien, die ihm wichtig sind - wie dem Datenschutz - durchaus häufig vom Votum des Generalanwalts abweicht.

Ein österreichischer Jurist ließ das vorige Abkommen kippen

Geklagt hatte der österreichische Jurist Max Schrems, der bereits mit seiner ersten Klage vor dem EuGH vor vier Jahren einen spektakulären Erfolg erzielt hatte. Damals ging es um das sogenannte Safe-Harbor-Abkommen, mit dem die EU den Amerikanern bescheinigt hatte, ein "sicherer Hafen" für europäische Daten zu sein. Daran herrschten nach den Enthüllungen von Edward Snowden allerdings erhebliche Zweifel. Der EuGH kippte das Abkommen auf Schrems' Klage hin im Jahr 2015. Der "Privacy Shield", vereinbart ein Jahr darauf, war das Nachfolgeabkommen.

Schrems' Anwalt zweifelte in der Verhandlung im Juli nachdrücklich daran, dass "Privacy Shield" seinen Namen wirklich verdiene. Denn nach den US-Gesetzen sei Facebook verpflichtet, die US-Behörden bei der Überwachung von EU-Bürgern zu unterstützen. Er erinnerte an Überwachungsprogramme wie "Prism" und "Upstream", durch welche die NSA Zugriff auf Metadaten und Inhalte hätte - mutmaßlich über ein angezapftes Kabel im Atlantik.