Dem Europäischen Gerichtshof (EuGH) liegt aktuell eine Rechtsfrage mit besonderer Bedeutung für den transatlantischen Datenverkehr vor: Der österreichische Datenschutzaktivist Max Schrems legte beim irischen Datenschutzbeauftragten Beschwerde gegen die Übermittlung personenbezogener Daten von der europäischen Facebook Tochterfirma, Facebook Ireland Ltd., zur US-Mutterfirma, Facebook Inc, ein.
Schrems kritisiert den umfangreichen Zugriff, den US-Behörden auf die Datenbänke von US-Unternehmen haben. Dadurch seien personenbezogene Daten von Facebook-Nutzern nicht ausreichend geschützt und eine Übermittlung nicht mit der DS-GVO vereinbar. Der High Court Irlands legte den Fall dem EuGH vor, der sich nun mit der Frage auseinandersetzen muss, ob eine angemessene Rechtsgrundlage für die Übermittlung in die USA vorliegt.
Diese Frage ist für die Richter in Luxemburg keine Neuigkeit: 2015 zog Schrems bereits vor den EuGH, weil er das 2000 beschlossene „Safe Harbor- Abkommen“ zwischen der EU und den USA als Grundlage der Datenübermittlung für ungenügend hielt. Er bekam Recht und der EuGH kassierte das Abkommen mit der Begründung, es schütze personenbezogene Daten von EU-Bürgern nicht ausreichend vor Zugriffen durch US-Behörden. In den USA gibt es kein Grundrecht auf Datenschutz, keine Regeln zur Begrenzung der Eingriffe oder Möglichkeiten, gegen staatliche Datenerhebungen gerichtlichen Rechtsschutz einzuholen. Damit priorisierte der EuGH den Grundrechtsschutz und den gerichtlichen Rechtsschutz der EU-Bürger.
Mit dieser Entscheidung sprach sich der EuGH nicht generell gegen einen Datentransfer in die USA aus, vielmehr sollte künftig genauer auf den Erhalt des europäischen Datenschutzniveaus geachtet werden. Zu diesem Zwecke trat als Rechtsgrundlage für die Übermittlung im Juli 2016 der EU-US-Datenschutzschild („Privacy Shield“) in Kraft. In dessen Rahmen verpflichten sich auf beiden Seiten des Atlantiks aktive Unternehmen freiwillig zur Wahrung des EU-Datenschutzes, wofür ihnen die EU-Kommissionen die kommerzielle Verarbeitung personenbezogener Daten von EU-Bürgern genehmigt.
Eine weitere Rechtsgrundlage für den Datentransfer stellen die sogenannten EU-Standardvertragsklauseln dar. Diese dienen als von der Kommission zur allgemeinen Nutzung freigegebene Musterverträge als Garantien für den Schutz der Privatsphäre, Grundrechte und Grundfreiheiten der EU-Bürger. Beide Rechtsgrundlagen leiden jedoch an der Pflicht von US-Unternehmen, mit US-Behörden zu kooperieren.
Beide Rechtsgrundlagen bieten den sogenannten „Ombudsperson-Rechtsbehelf“. In dessen Rahmen kann bei einer sogenannten „Ombudsperson“, einer unparteiischen Schiedsperson, Beschwerden gegen den Datenzugriff durch US-Behörden einzulegen. Ob dieser Rechtsbehelf allerdings die Anforderungen des EuGH an einen gerichtlichen Rechtsschutz im Sinne der EU-Grundrechtecharta erfüllt, bleibt abzuwarten.
Damals wie heute liegt das Problem der Übermittlung von Daten in die USA vorwiegend bei dem umfassenden, intransparenten Datenzugriff durch US-Behörden, dem EU-Bürger mehr oder weniger schutzlos ausgeliefert sein könnten. Am 9. Juli wurde stundenlang in der Sache verhandelt und am 12. Dezember soll der zuständige Generalanwalt seine Schlussanträge verkünden. Schrems zeigte sich zuversichtlich und geht davon aus, der EuGH werde den Privacy Shield für unwirksam erklären. In jedem Fall steht uns eine wegweisende Entscheidung für den europäischen Datenschutz bevor.