Erstellt am: 23. 9. 2015 - 14:46 Uhr
Etappensieg für "Europe vs. Facebook"
Nach einem jahrelangen Rechtsstreit muss demnächst der EuGH entscheiden, ob Unternehmen in Europa Daten ohne weiteres in die USA weiterleiten dürfen, indem sie sich aufgrund der Safe Harbor-Regelung selbst zertifizieren.
Der EuGH folgt bei seinen Entscheidungen meist den vorher ergehenden Empfehlungen des Generalanwalts. Und dieser Generalanwalt hat das Safe Harbor-Abkommen heute (Mittwoch, 23. September 2015) in einem Gutachten für ungültig erklärt.
Wir haben Max Schrems dazu zum Interview getroffen.
APA/GEORG HOCHMUTH
Du hast in diesem jahrelangen Rechtsstreit geltend gemacht, dass persönliche Daten, die von Facebook aus Irland in die USA weitergeleitet werden, dort nicht vor staatlicher Überwachung geschützt seien. Inwiefern war das relevant?
Ein Datenexport ist in Europa nur erlaubt, wenn in dem Land, in das die Daten exportiert werden, ein angemessenes Schutzniveau herrscht. So steht es im Gesetz. Ich habe gesagt: „Massenüberwachung bei der NSA kann kein angemessenes Schutzniveau darstellen.“
Es gibt die "Safe Harbor"-Entscheidung der EU-Kommission, nach der sich US-Unternehmen selbst zertifizieren können, indem sie einfach sagen "ich halte mich voll brav an Datenschutz". Spannend ist, dass Massenüberwachung nach der Safe Harbor-Regelung an sich sogar erlaubt ist. Da ist dann der Konflikt, weil: EU-Recht sagt „angemessenes Schutzniveau“, Safe Harbor sagt „Massenüberwachung ist okay“ und US-Recht sagt das auch. Die Grundsatzfrage ist also: Ist dieses Safe-Harbor-System, wie es die EU-Kommission 1999/2000 entschieden hat, überhaupt gültig? Und da hat der Generalanwalt des EuGH nun die Meinung vertreten, es sei ungültig, weil es den Grundrechten einfach nicht entspricht.
Woraus in der Safe-Harbor-Regelung geht hervor, dass Massenüberwachung in dem Land, in das Daten exportiert werden, erlaubt ist?
Im Abkommen gibt es eine Ausnahmebestimmung zu Massenüberwachung aufgrund von US-Recht und zur nationalen Sicherheit der USA. Das ist logisch, weil Safe Harbor eine Selbst-Zertifizierung für Firmen ist, sie kann also US-Recht nicht aushebeln. Und US-Recht sagt nun einmal, dass Massenüberwachung vorgesehen ist, z.B. im FISA-Act. Das ist ja auch, was Snowden aufgedeckt hat. Das Problem ist, dass es die Unternehmen quasi zerreißt: Nach EU-Recht dürfen sie keine Massenüberwachung betreiben, nach US-Recht müssen sie es aber. Das ist das spannende Problem in diesem Fall. Bisher war es so, dass Europa einfach sein Recht nicht durchgesetzt hat, also war es für die Unternehmen lösbar: Man hat Massenüberwachung betrieben, weil Europa nichts gesagt hat. Wenn man jetzt aber in Europa sagt, dass das eigentlich grundrechtlich nicht erlaubt ist, so wie die Vorratsdatenspeicherung bei uns nicht erlaubt war, dann müssen sich die Unternehmen überlegen, wie sie das lösen.
Was ist nun der nächste Schritt von „Europe vs Facebook“?
Bei solchen Verfahren muss man sich lange vorbereiten und sich dann zurücklehnen und schauen, was passiert. Es wird irgendwann ein Urteil geben. Wir können jetzt nichts mehr dazu sagen. Nach dem Urteil müssen sich auch die irischen Gerichte an die Entscheidung halten. In der Realität wird wahrscheinlich die irische Datenschutzbehörde wieder irgendeinen anderen Grund finden, warum sie da nichts tun können. Aber das werden wir dann erst sehen.
Muss Facebook in Europa jetzt schon etwas ändern am Export der Userdaten in die USA?
Ich würde mich an ihrer Stelle vielleicht schon einmal auf Änderungen vorbereiten. Aber die Meinung des Generalanwalts ist nicht bindend. Bis das nicht vom EuGH entschieden ist, und dann vom irischen Gericht und dann die irische Datenschutzbehörde das Facebook wirklich vorschreibt – sozusagen in der Kette wieder nach unten – solange sind sie rechtlich nicht an die Meinung des Generalanwalts gebunden.