Hier finden Sie unsere erste Stellungnahme zum unverbindlichen Gutachten des Generalanwalts:
Erste Reaktion auf die Stellungnahme des Generalanwalts (GA) von Max Schrems (Vorsitzender von noyb.eu und Beschwerdeführer): „Ich freue mich generell über die Stellungnahme des Generalanwalts. Die Stellungnahme entspricht Großteils auch unserer Rechtsansicht. Das ist eine schallende Ohrfeige für die irische Datenschutzbehörde und für Facebook – und ein wichtiges Zeichen für den Schutz der Privatsphäre von Nutzern.”
Ernsthafte Fragen zu „Privacy Shield“. Ein Thema, das durch die elf Fragen des Irish High Court teilweise angesprochen wurde, war die Rolle des EU-US Datentransfersystems „Privacy Shield“. Max Schrems brachte vor, dass das Privacy Shield selbst nichtig ist und daher vom Gericht aufzuheben sei. Diese Bedenken wurden nun auch vom Generalanwalt geteilt. Schrems: „Nach dem Safe Harbor-Urteil hat die Europäische Kommission bewusst wieder eine ungültige Entscheidung einfach neu erlassen –in dem Wissen, dass es zwei oder drei Jahre dauern wird, bis der Gerichtshof eine Möglichkeit hat, um das ‚Privacy Shield‘ abermals ungültig zu erklären. Es wird nun sehr interessant ob der EuGH den Gedanken des Generalanwalts im finalen Urteil aufgreift und auch gleich Privacy Shield überprüft.“
Schrems: „Ich bin auch sehr froh, dass der Generalanwalt eine klare Meinung zur Privacy Shield Ombudsperson vertritt. Ein bloßer ‘Briefkasten‘ im Außenministerium der USA kann ein Gericht unmöglich ersetzen. Genau ein solches Gericht erfordert aber das erste Urteil des EuGH.”
GA: Irische Behörde soll ihre Arbeit tun. Seit mehr als sechs Jahren versuchen Schrems und noyb, die irische Datenschutzbehörde (DPC) dazu zu bringen, wegen des NSA-Skandals gezielte Schritte gegen Facebook zu unternehmen. Zwei Mal war der Fall vor dem irischen High Court, zwei Mal vor dem EuGH. Trotzdem gibt es bisher nicht einmal eine erste Entscheidung der irischen Datenschutzbehörde.
Es ist sehr wahrscheinlich, dass die DPC auch die Kosten für diesen ganzen Fall übernehmen muss. In Irland kostet so ein Fall bis zu 10 Mio. €. Schrems: „Wenn der EuGH das ebenso sieht, müssen die irischen Steuerzahler möglicherweise bis zu € 10 Mio. an Verfahrenskosten für diese Spektakel zahlen.“
Datenschutzbehörden haben Pflicht tätig zu werden. Von großer Bedeutung ist auch, dass der Generalanwalt klarstellt, dass die Datenschutzbehörden nach dem Gesetz verpflichtet sind, Maßnahmen zu ergreifen, wenn sie eine berechtigte Beschwerde bekommen. Schrems: „Derzeit sehen viele Datenschutzbehörden weg, wenn sie Berichte über Verstöße erhalten, oder bearbeiten Beschwerden einfach nicht. Diese Festlegung ist ein großer Schritt für die Durchsetzung der DSGVO.“
Standardvertragsklauseln können bleiben. Der Generalanwalt schloss sich der Auffassung der DPC nicht an, wonach die Standardvertragsklauseln weltweit für ungültig erklärt werden sollten. Allein die DPC vertrat diese Ansicht, während von Facebook bis zu Max Schrems hier keiner ein Problem sah.
Der Generalanwalt wies die Behörde abermals auf eine Art „Notfallventil“ (Artikel 4 SCCs) in den Standardvertragsklauseln hin. Diese Regelung erlaubt es der DPC, einen Datenfluss auszusetzen, wenn ein Problem mit US-Recht vorliegt. Schrems: „Die Stellungnahme macht deutlich, dass die DPC die Lösung für diesen Fall in ihren eigenen Händen hat: Sie kann Facebook anweisen, die Übertragungen morgen zu stoppen. Stattdessen wandte sie sich an den EuGH, um das gesamte System für nichtig zu erklären. Es ist wie ein Ruf nach der europäischen Feuerwehr, weil man nicht in der Lage ist eine Kerze auszublasen.“
GA prüfte die EMRK statt der EU-Grundrechtecharta. In der EU gibt es zwei Grundrechtssysteme: Erstens die Europäische Menschenrechtskonvention (EMRK), die seit 1953 in Kraft ist und 47 Länder umfasst, darunter alle EU-Mitgliedstaaten, aber auch Russland oder die Türkei. Zweitens die Grundrechtecharta (GRC) von 2000, die nur innerhalb der EU gilt und im Allgemeinen ein höheres Schutzniveau garantiert. Die EU ist der EMRK nicht beigetreten. Der Generalanwalt folgt in seinem Gutachten nun dem niedrigeren Standard nach der EMRK, obwohl der EuGH im ersten Urteil zu diesem Fall die Grundrechtecharta angewendet hat.
Schrems: „Überraschenderweise folgt die Stellungnahme der viel überwachungsfreundlicheren Rechtsprechung der EMRK, statt der klaren Rechtsprechung des EuGH. Dies verstößt gegen jede Logik und die bisherige Rechtsprechung des EuGH. Auch schon bei vorherigen Fällen hat dieser Generalanwalt hier eine lockerer Linie als das Gericht vertreten. Es ist sehr unwahrscheinlich, dass das Gericht diesem Ansatz folgt.“
Keine Ende der US-Überwachungsdebatte. Der Fall selbst kann den tieferen Konflikt zwischen EU- und US-Recht nicht lösen. Schrems: „Langfristig hoffe ich, dass der US-Gesetzgeber erkennen wird, dass kein ausländischer Kunde der US-Industrie vertrauen wird, wenn es in den USA nicht einmal grundlegenden Datenschutz gibt. Die USA können nicht sagen: ‚Vertraue uns mit all deinen Daten, aber eigentlich hast du keine Rechte‘.“ Solche Bedenken haben die USA auch bei chinesischer 5G-Hardware von Huawei oder Apps wie TikTok.
Praktische Auswirkungen: Mehr Datenschutz für EU-Verbraucher, Probleme für bestimmte US-Unternehmen. Wenn der EuGH dem Ansatz des Generalanwalts folgt, sollten die meisten Datenflüsse normal weiter verlaufen. Die EU-Datenschutzbehörden können jedoch die Übermittlung an jene US-Unternehmen stoppen, die unter FISA 702 (dem relevanten US-Überwachungsgesetz) fallen. Dazu gehören Unternehmen wie Facebook, Google, Microsoft, Amazon Web Services oder Yahoo.
Schrems: „Jeder wird nach wie vor alle notwendigen Datenflüsse mit den USA abwickeln können. Jeder kann weiter E-Mails in die USA schicken oder ein Hotel buchen. Leider können aber EU-Unternehmen für reines Outsourcing möglicherweise nicht mehr auf bestimmte US-Anbieter zurückgreifen, weil die US-Überwachungsgesetze verlangen, Daten an die NSA weiterzugeben. Dies ist auch ein wirtschaftliches Problem für die USA, denn ausländische Kunden werden wohl keine Server nutzen, die Freiwild für die NSA sind. Es liegt wirklich an den USA, zumindest minimalen Datenschutz für Ausländer zu gewährleisten. Andernfalls wird wohl niemand seine Daten einem US-Unternehmen anvertrauen.”
noyb.eu Der Fall wird vom Europäischen Zentrum für digitale Rechte noyb.eu unterstützt. Max Schrems ist der unentgeltliche Vorsitzende. noyb.eu wird von mehr als 3.000 Fördermitgliedern unterstützt und setzt Datenschutzrecht auf europäischer Ebene durch.
Juristisches Team Max Schrems führt diesen Fall unentgeltlich und wird von einem Team von Juristen aus Irland, den USA und Luxemburg unterstützt (Eoin McCullhan, Gerard Rudden, Prof. Herwig Hofmann). Ashley Gorski von der American Civil Liberties Union (ACLU.org) hat den Fall mit Expertise im US-Überwachungsrecht unterstützt.
Weiter Informationen: