Facebook-Prozess: Legen europäische Richter das Internet lahm?

Am Donnerstag urteilt der EuGH, ob Facebook persönliche Daten seiner Nutzer weiter in den USA speichern darf. Was hinter dem Streit steckt und was die Folgen eines Urteils sein könnten.

Sind die derzeitigen Datenschutz-Regelungen zwischen den USA und der EU ausreichend, um den transatlantischen Export persönlicher Daten zu erlauben? Oder muss dies untersagt werden?

Auf den ersten Blick klingt die Frage vielleicht eher nach Paragrafenreiterei, sie ist aber enorm wichtig – denn ohne eine grundsätzliche Erlaubnis zur Übertragung solcher Daten, dürfte die Mehrheit der amerikanischen Online-Dienste so in Europa nicht mehr genutzt werden – ganz gleich ob Facebook, iCloud, Amazon oder Netflix.

Allerdings gibt es aktuell mehrere Mechanismen, die einen Austausch sicherstellen. Könnte nun ein hartes Urteil der europäischen Richter weite Teile des Internets zum Erliegen bringen? Antworten auf die wichtigsten Fragen.

Worum geht es in dem Verfahren?

In erster Linie geht es um die Frage, ob Unternehmen wie Facebook tatsächlich personenbezogene Daten von EU-Bürgern in die USA exportieren und dort speichern dürfen. Denn ein Deutscher Facebook-Nutzer schließt seinen Nutzungsvertrag mit Facebook Ireland Ltd ab, dem europäischen Tochterunternehmen von Facebook. Da die Nutzerdaten letztlich aber ganz oder teilweise auf Facebooks Servern in den USA gespeichert werden, exportiert Facebook also personenbezogene Daten von EU-Bürgern in ein Drittland – und das ist laut Datenschutz-Grundverordnung (DSGVO) nur unter Einhaltung sehr strenger Regeln erlaubt.

Vereinfacht fordert die DSGVO, dass solche Daten nur dann exportiert werden dürfen, wenn das Zielland einen den europäischen Regeln gleichwertigen Schutz für personenbezogene Daten bietet. Ob die USA dies tatsächlich tun, hält zumindest der österreichische Jurist und Datenschutzaktivist Max Schrems für zweifelhaft. Er hat in dieser Sache bereits mehrere Gerichtsverfahren geführt und erzielte etwa 2015, dass das bis dahin gültige EU-US-Datenabkommen "Safe Harbor" gekippt wurde.

Was wird Facebook vorgeworfen?

Im Kern geht es bei diesem Streit weniger um Facebook, als um dessen Heimatland USA. Aktuell gelten die USA aus EU-Sicht als ein sicheres Land für persönliche Daten seiner Bürger – Unternehmen dürfen diese also zwischen EU und USA austauschen. Das ist etwa im EU-US Privacy Shield festgehalten. Im Rahmen dieser Absprache sichern die USA im Wesentlichen zu, dass sie mit persönlichen Daten von EU-Bürgern angemessen umgehen. Auf dieser Grundlage dürfen Unternehmen also auch persönliche Nutzerdaten in die USA schicken. Max Schrems klagt allerdings seit Jahren dagegen. Er hält die USA für unsicher.

Grund sind die Edward-Snowden-Enthüllungen aus dem Jahr 2013: Seitdem weiß man, dass US-Unternehmen dazu verpflichtet werden können, bei ihnen gespeicherte Nutzerdaten US-Geheimdiensten offenzulegen – und zwar im großen Stil als massenhafte Überwachung. US-Bürger genießen in diesem Rahmen einen gewissen Schutz, Bürger anderer Nationen nicht. Deshalb seien die Zusicherungen der USA zur sicheren Datenbehandlung einerseits nicht mit dem US-Überwachungsgesetz andererseits vereinbar, denn die massenhafte Überwachung durch Geheimdienste stelle eben keinen sicheren Umgang mit den Daten der EU-Bürger da.

Der EuGH hat in dieser Sache aber nicht in erster Linie darüber zu entscheiden, ob die USA als sicher anzusehen sind oder nicht. Im Detail geht es um die Gültigkeit von Standardvertragsklauseln der EU, mit deren Hilfe Unternehmen bilateral eine Datenübertragung vereinbaren können – unabhängig davon, wie die Datenschutzsituation in ihrem Herkunftsland ist. Mit der Übernahme dieser Standardvertragsklauseln verpflichten sich die Unternehmen dafür Sorge zu tragen, dass die EU-Nutzerdaten angemessen geschützt sind. Sollte das nicht gewährleistbar sein, müssen die Unternehmen selbständig die Datentransfers stoppen.

Auf diese beruft sich auch Facebook. Aber weder Facebook noch Schrems stellen diese Regelung mithilfe der Standardvertragsklauseln in Frage, sondern die irische Datenschutzbehörde. An sie hatte Schrems seine ursprüngliche Forderung gerichtet, den Datenverkehr von Facebook zu stoppen. Dazu hätte die Behörde auch die rechtlichen Mittel gehabt, sie zog es aber vor, die Regelung an sich in Frage zu stellen. Deshalb entscheidet nun der EuGH über deren generelle Gültigkeit.

Wie weitreichend ist die Entscheidung des EuGH?

Auch wenn die Details technisch klingen – die Relevanz des Urteils ist riesig, meint der Berliner Rechtsanwalt und Datenschutzexperte Thomas Schwenke: "Die Entscheidung hat eine immense Bedeutung auf zwei Ebenen. Zum einen geht es um die Frage, bis zu welchem Grad der EU die wirtschaftlichen Vorteile von Datenflüssen, und vielleicht die Vernachlässigung des Datenschutzes ihrer Bürger wert ist", sagt Schwenke. "In die Praxis übersetzt, geht es um die Frage, ob personenbezogene Daten in die USA (aber auch viele andere Länder außerhalb der EU) übermittelt werden dürfen."

Hier ist vor allem die Frage, wie der EuGH zur Gültigkeit der Standardvertragsklauseln entscheidet wesentlich. Sie stellen ein wichtiges und vergleichsweise unkompliziertes Instrument für Unternehmen dar, einen Transfer personenbezogener Daten ins EU-Ausland zu ermöglichen. Theoretisch könnte auch das generelle Abkommen zwischen USA und EU – das Privacy Shield – vom Urteil betroffen sein. Sollte es seine Gültigkeit verlieren, wäre das für zahllose Unternehmen ein großes Problem. Allerdings ist das nicht wirklich Gegenstand des Falls, zudem hatte der europäische Generalanwalt in seiner Einschätzung zum Fall angegeben, dass der EuGH in diesem Zusammenhang nicht über eine Gültigkeit des Privacy Shields entscheiden müsse.

Könnte ein hartes Urteil des EuGH das Internet wirklich in großen Teilen lahmlegen?

Diese Gefahr besteht – trotz teilweise anders lautender Berichterstattung – nicht, sagte Max Schrems bei einem Pressegespräch zu Beginn der Woche. Das habe mehrere Gründe: Zunächst sieht die DSGVO verschiedene Ausnahmen für die Übertragung personenbezogener Daten vor: Für einen Vertragsabschluss notwendige persönliche Daten dürfen laut Schrems stets übermittelt werden, außerdem können Nutzer die Übertragung ihrer eigenen Daten auch explizit erlauben, um einen Transfer zu ermöglichen. Diese Erlaubnis kann jederzeit wieder zurückgezogen werden.

Außerdem gebe es neben Privacy Shield, das gewissermaßen ein Sicherheitssiegel der EU für die gesamte USA ist, noch die Standardvertragsklauseln der EU, die ebenfalls den Datenverkehr ermöglichten. Dass beides vom EuGH gekippt werde, gilt als kaum wahrscheinlich.

Wie wird der EuGH am Donnerstag vermutlich entscheiden?

Zum möglichen Urteil bietet das Gutachten des europäischen Generalanwalts, das Ende Dezember veröffentlicht wurde, eine gute Orientierung. Es ist für die Richter des EuGH zwar nicht bindend, oft folgen sie allerdings den Empfehlungen. Gleich im Titel des Schlussantrags stellt der Generalanwalt seine Einschätzung klar: "Der Beschluss 2010/87/EU der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter [ist] in Drittländern gültig".

Laut dem Kölner Medienrechtsanwalt Christian Solmecke könnte das Urteil nun die irische Datenschutz-Behörde in die Pflicht nehmen: "Generalanwalt Saugmandsgaard Øe hatte in seinen Schlussanträgen in der Sache Schrems versus Facebook den Ball an die irische Datenschutzbehörde zurückgespielt." Der Generanwalt stelle fest, dass die Standardvertragsklauseln genau in solchen Fällen angewendet werden müssten. Die Forderung des Generalanwalts sei laut Solmecke klar: Die irische Datenschutzbehörde müsse – entsprechend ihrer Befugnisse aus der DSGVO – darauf achten, "dass die Standardvertragsklauseln auch wirklich eingehalten werden und notfalls bei schweren Verstößen die Datenübermittlung untersagen."

Ob die Richter aber tatsächlich so entschieden, sei nicht gesichert, merkt Anwalt Solmecke an: "Der EuGH hatte sich im Übrigen zuletzt, vor allem bei kontrovers diskutierten Fragen, nicht immer den Ausführungen des Generalanwalts angeschlossen. Es bleibt daher spannend, was am Donnerstag die Richter urteilen werden.“

Sollten die Richter sich nicht der Meinung des Generalanwalts anschließen, könnte etwa auch ein Urteil darüber fallen, ob die USA adäquate Schutzmaßnahmen für Daten bieten oder nicht – und in der Folge – ob das Privacy Shield seine Gültigkeit verliert. Als wahrscheinlicher gilt aber, dass sich das Gericht zu dieser Frage nicht äußert.

Was würde das Urteil für Facebook und für Verbraucher bedeuten?

Prinzipiell könnte das Urteil dazu führen, "dass Facebook die Übertragung der Daten der EU-Bürger in die USA unterbinden müsste", sagt Rechtsanwalt Schwenke. Und möglicherweise bliebe es nicht bei Facebook. "Die Entscheidung könnte aber genauso gut Einfluss auf die Nutzung von Google, Microsoft und einer Vielzahl von US-Diensten haben. Viele Unternehmen zeigen bereits jetzt einen Trend zur Beschränkung der Verarbeitungen auf US-Server."

Dennoch gilt es als wenig wahrscheinlich, dass direkt nach dem Urteil Facebook nicht mehr funktioniert. Denn im Zweifel müsste die irische Datenschutzbehörde die Entscheidung des EuGH durchsetzen oder eben darüber befinden, ob die USA sicher seien oder nicht. Hier sieht Anwalt Solmecke Potenzial für starke Verzögerungen: "Die Tatsache, dass die irische Behörde es bisher scheute, in der Sache selbst zu entscheiden, sondern die Entscheidung den Gerichten bis hin zum EuGH überließ, zeigt allerdings, dass man in Irland nicht unbedingt gewillt ist, sich die Gunst Facebooks zu verspielen. Dass die irische Datenschutzbehörde daher eine solch weitreichende Entscheidung treffen wird, darf leider bezweifelt werden."

Welche Lösungen gibt es für Situation?

Sollte das Urteil es Unternehmen erschweren, Daten zwischen den USA und der EU auszutauschen, wäre die kurzfristige Lösung vermutlich, die Daten von EU-Bürgern nur auf Servern innerhalb der EU zu speichern. Dass das möglich ist, beweist etwa Microsoft: Das Unternehmen bietet Geschäftskunden an, ihre Daten ausschließlich auf Servern in Deutschland zu hosten. Damit wäre zumindest den Anforderungen der DSGVO genüge getan.

Eine solche Lösung ist aber vermutlich nicht für jedes Unternehmen mach- und finanzierbar. Das US-Spionage-Thema wäre damit zwar kein DSGVO-Problem mehr, gelöst allerdings auch nicht. Denn ein anderes amerikanisches Gesetz – der CLOUD Act – gibt US-Behörden das Recht auf die Daten von heimischen Unternehmen zuzugreifen, auch wenn diese auf Servern im Ausland liegen.

Max Schrems fordert deshalb eine andere, seiner Ansicht nach nachhaltigere Lösung: die Anpassung der Überwachungsgesetze in den USA. Darauf haben jedoch weder der EuGH noch die betroffenen Unternehmen einen Einfluss.