Neuer Erfolg für den österreichischen Juristen Max Schrems im Kampf gegen den Überwachungskapitalismus: Mit einem lange erwarteten Urteil hat der Europäische Gerichtshof (EuGH) am Donnerstag den transatlantischen "Privacy Shield" und damit eine der wichtigen Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig erklärt. Grund dafür sind in den Vereinigten Staaten bestehende Gesetze, die Sicherheitsbehörden weitreichende Befugnisse zur Überwachung "ausländischer Kommunikation" in die Hand geben.

Europäische Tochtergesellschaften von US-Konzernen wie Facebook dürfen laut der Ansage der Luxemburger Richter im Fall C-311/18 aber theoretisch noch auf Basis des Beschlusses der EU-Kommission über Standardvertragsklauseln (SVK) persönliche Informationen an Auftragsverarbeiter in Drittländern wie die USA übertragen. Ob dies tatsächlich erlaubt sei, müssten die zuständigen Datenschutzbehörden aber selbst ausloten. Auch die SVK haben so im USA-Fall nur noch pro forma Bestand.

Der EuGH knüpft seine Entscheidung daran, dass mit der Datenschutz-Grundverordnung (DSGVO) personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das dieses dafür ein "angemessenes Schutzniveau" gewährleistet. Die Kommission sei befugt, ein solches Level mit einem einschlägigen Beschluss festzustellen. Liege keine solche Angemessenheitsentscheidung vor, müsse der in der EU ansässige Datenexporteur selbst "geeignete Garantien" vorsehen.

Diese könnten sich etwa aus den von der Kommission erarbeiteten Standard-Datenschutzklauseln ergeben, befanden die Richter. Dafür müssten die betroffenen Personen "über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen".

Schrems vs. Facebook

Schrems beanstandete vor der irischen Datenschutzbehörde den Transfer seiner personenbezogenen Informationen durch die nationale Facebook-Tochter an den Mutterkonzern in den USA. Er beantragte, alle Datenübermittlungen zwischen den beiden Unternehmen auszusetzen. Das Stammunternehmen sei nämlich verpflichtet, die erhaltenen Informationen etwa auf Basis von Paragraf 702 des Foreign Intelligence Surveillance Act (FISA) US-Behörden wie der NSA und dem FBI zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen könnten.

Facebook machte dagegen geltend, dass das EU-Recht generell nicht für die Verarbeitung personenbezogener Daten für Zwecke der nationalen Sicherheit gelte. Die irische Kontrollbehörde wandte sich daraufhin an den irischen High Court, um die Rechtmäßigkeit der Transfers zu klären, die per Standardvertragsklauseln erfolge. Die angerufenen Richter wollten daraufhin vom EuGH etwa wissen, ob die entsprechende Übermittlung die EU-Grundrechtecharta und die darin verbürgten Ansprüche auf Schutz der Privatsphäre und einen wirksamen Rechtsbehelf verletzt.

Der Gerichtshof hatte am Beschluss über die SVK im Grundsatz nichts auszusetzen. Man habe diesen gründlich geprüft, dabei habe sich aber nichts ergeben, was seine Gültigkeit berühren könnte, heißt es in Luxemburg. Europäisches Recht und insbesondere die DSGVO seien generell auf einen zu gewerblichen Zwecken erfolgenden Transfer persönlicher Daten anzuwenden, führt der EuGH dazu aus. Dies gelte auch, wenn die Daten direkt oder im Anschluss von Behörden des betreffenden Drittlands verarbeitet werden könnten.