Mit dem „Safe-Harbor“-Urteil des Europäischen Gerichtshofs vom 6. Oktober 2015 errang der österreichische Jurist Max Schrems einen ersten großen Erfolg im Kampf für mehr Privatsphäre und Datenschutz bei Facebook.
Worum geht es?
Max Schrems reichte 2013 bei dem irischen Data Protection Commissioner (Datenschutzbehörde) eine Beschwerde gegen Facebook ein. Er verlangte von der irischen Datenschutzbehörde, Facebook den Transfer seiner Daten von Europa auf Server in den USA zu verbieten. Denn das Recht der USA und deren geheimdienstliche Tätigkeiten würden keinen ausreichenden Schutz seiner Daten gewährleisten. Er bezog sich dabei ausdrücklich auf die Erkenntnisse über die NSA und andere US-Behörden aus den Snowden-Dokumenten.
Die irische Datenschutzbehörde wies die Beschwerde von Max Schrems als unbegründet zurück. Dagegen klagte er bei dem irischen High Court. Dieser stellte fest, dass die Datenschutzbehörde Schrems‘ Beschwerde nach irischem Recht sehr wohl hätte prüfen müssen. Denn es bestünden ernsthafte Zweifel daran, ob die USA ein angemessenes Schutzniveau hinsichtlich personenbezogener Daten gewährleisten würden. Allerdings ist der Datenschutz durch EU-Recht geregelt, sodass der Europäische Gerichtshof über die Sache zu entscheiden hatte.
Bisher galt die USA nach EU-Recht als ein Drittstaat mit angemessenem Schutzniveau. Dies beruhte auf einer Entscheidung der Europäischen Kommission aus dem Jahr 2000, der sogenannten „Safe-Harbor“-Regelung. Diese Entscheidung erklärte der Europäische Gerichtshof nun auf die Frage des irischen High Court hin für nichtig. Darüber hinaus urteilte der Gerichtshof, dass die nationalen Datenschutzbehörden der EU-Staaten in völliger Unabhängigkeit prüfen können, ob der Datentransfer in einen Drittstaat zulässig ist.
In der Folge ist die irische Datenschutzbehörde nun verpflichtet, Facebooks Datenströme von Irland in die USA voll zu überprüfen. Mit dem Urteil erklärte der Europäische Gerichtshof ebenfalls, dass verdachtslose Massenüberwachung grundrechtswidrig ist, auch im Sinne der Grundrechtecharta der EU. Wir dürfen gespannt sein, was die Überprüfung der irischen Datenschutzbehörde ergibt – und welche Maßnahmen sie möglicherweise gegen Facebook ergreift.
Der Druck auf die USA und die Kommission ist nun hoch, eine Regelung im Anschluss an „Safe Harbor“ zu finden. Die Artikel-29-Datenschutzgruppe setzte einen Frist bis Ende Januar 2016.
Außerdem ist eine Sammelklage von Max Schrems gegen Facebook in Österreich anhängig. Der Oberste Gerichtshof wird demnächst über deren Zulässigkeit entscheiden. Das Oberlandesgericht Wien gab Max Schrems in 20 von 22 Punkten Recht.