Die gesetzliche Grundlage, auf derer Facebook Daten europäischer Nutzer an die USA übermittelt, entspricht nach Ansicht des Generalanwalts des Europäischen Gerichtshofs (EuGH) der EU-Gesetzeslage. Ein endgültiges Urteil wird erst später erwartet. Der österreichische Datenschützer Max Schrems hatte gefordert, den personenbezogenen Datenfluss zu untersagen.
Schrems hatte Facebook Irland, wo das Unternehmen seinen europäischen Sitz hat, geklagt und gefordert, in diesem Fall die automatische personenbezogene Datenübermittlung in die USA zu untersagen. Denn Facebook fällt laut Schrems in den USA unter ein spezifisches Überwachungsgesetz (FISA) und ist somit verpflichtet, die auf Grundlage der sogenannten Standardvertragsklauseln (SCC) übermittelten Daten US-Behörden wie der NSA und dem FBI zugänglich zu machen. Die Betroffenen in Europa haben dabei aber keine Möglichkeit, dagegen gerichtlich vorzugehen - weshalb Schrems klagte. Die Beschwerde brachte der Datenschutzaktivist bereits 2013 ein.
Standardvertrag gültig
Die irische Datenschutzbehörde (DPC) wandte sich ihrerseits an den irischen High Court. Da der High Court die Gültigkeit der gesamten Standardvertragsklauseln - ein EU-Rechtsakt - anzweifelte, ist nun der EuGH zuständig. Schrems sieht in diesem Schritt Irlands eine Art Verzögerungstaktik. Die irische Behörde wollte mit ihrer "Extremvariante" alle Abkommen für illegal erklären lassen, er jedoch trete für eine "gezielte Lösung" ein. Das heißt, dass der Datenfluss von den Behörden nur im Einzelfall - eben für Unternehmen, die in den USA unter FISA (Foreign Intelligence Surveillance Act) fallen - stoppen.
Der Generalanwalt des in Luxemburg ansässigen EuGH erklärte in dem Fall (C-311/18) am Donnerstag, dass die Standardvertragsklauseln gültig seien - auch wenn die übermittelten Daten durch Behörden eines Drittlandes für Zwecke der nationalen Sicherheit verarbeitet werden können.
Bedenken gegen Privacy Shield
Gleichzeitig meldete der Generalanwalt aber auch Bedenken bezüglich des 2016 beschlossenen Datenaustauschabkommen "Privacy Shield" zwischen der EU und den USA an, räumte jedoch ein, dass diese Frage nur indirekt Thema des gegenständlichen Rechtsstreits sei.
"Privacy Shield" (Datenschutzschild) wurde ausverhandelt, nachdem sein Vorgängerabkommen 2015 "Safe Harbor" - ebenfalls nach einer erfolgreichen Klage von Schrems - gekippt worden war. Der EuGH bestätigte damals die Ansicht von Schrems und entschied, dass die Massenüberwachung die europäischen Grundrechte verletzt und das "Safe Harbor"-System, das den Datentransfer zwischen der EU und den USA ermöglichte, wurde für ungültig erklärt.
Die Schlussanträge des Generalanwalts sind für den Gerichtshof nicht bindend. In der Vergangenheit folgten ihm die EU-Richter mehrheitlich - allerdings nicht immer, wie etwa bei der deutschen Pkw-Maut. Schrems glaubt, dass das endgültige Urteil "durchaus günstiger für den Datenschutz sein könnte als das Gutachten". Auch die mündliche Verhandlung habe auf mitunter andere Ansichten des Generalanwalts gegenüber den Richtern schließen lassen, sagte Schrems gegenüber der APA.
Schrems zufrieden
Max Schrems zeigte sich über die Stellungnahme des Generalanwalts erfreut. Sie entspreche großteils auch seiner Rechtsansicht und sei eine "schallende Ohrfeige für die irische Datenschutzbehörde und für Facebook - und ein wichtiges Zeichen für den Schutz der Privatsphäre von Nutzern", erklärte der Datenschutzaktivist in einer ersten Stellungnahme am Donnerstag.
Dass die sogenannten Standardvertragsklauseln, auf Basis derer der Datenaustausche erfolgt, gültig sind - wie der Generalanwalt in seinem Schlussantrag bestätigte - zweifelte Schrems nicht an. Er forderte das Aussetzen der Datenübertragung in gewissen Fällen.
Positiv sieht Schrems deshalb folgendes: Der Generalanwalt habe die irische Datenschutzbehörde (DPC) auf eine Art "Notfallventil" aufmerksam gemacht, die es der DPC erlaube, einen "Datenfluss auszusetzen, wenn ein Problem mit US-Recht vorliegt". Die Behörde könne Facebook also anweisen, "die Übertragungen morgen zu stoppen", schlussfolgerte Schrems. "Stattdessen wandte sie sich an den EuGH, um das gesamte System für nichtig zu erklären. Es ist wie ein Ruf nach der europäischen Feuerwehr, weil man nicht in der Lage ist eine Kerze auszublasen."
Behörde verzögert Entscheidung
Der österreichische Datenschützer kritisierte, dass es seit mehr als sechs Jahren keine Entscheidung in dem Fall gibt, obwohl er bereits zwei Mal vor dem irischen High Court und nun zweimal vor dem EuGH war.
Erfreut zeigte sich Schrems darüber, dass auch der Generalanwalt des EuGH Bedenken bezüglich des Datentransfersystems "Privacy Shield" zwischen der EU und den USA anmeldete. "Es wird nun sehr interessant ob der EuGH den Gedanken des Generalanwalts im finalen Urteil aufgreift und auch gleich Privacy Shield überprüft", so Schrems.