Damit setzte sich der österreichische Datenschutzaktivist Max Schrems durch, der mit einer bis zum EuGH laufenden Klage gegen Facebook schon die Vorgängerregel "Safe Harbour" 2015 zu Fall brachte. Persönliche Daten dürfen nach EU-Recht nur bei angemessenem Datenschutz in Drittländer übertragen werden. Das Gericht teilte die Position des Klägers, dass dies im Fall der USA nicht gewährleistet ist, "da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind." Betroffene könnten sich im Konfliktfall nicht gegen amerikanische Behörden gerichtlich durchsetzen.
Die EU-Kommissarin für Digitales, Margrethe Vestager äußerte sich enttäuscht. Das US-Handelsministerium erklärte, sich eng mit der EU austauschen zu wollen, um Folgen des Richterspruchs zu begrenzen. Facebook teilte mit, das Unternehmen werde die Folgen der Entscheidung prüfen. "Wir freuen uns in dieser Hinsicht auf regulatorische Anweisungen", erklärte Facebook-Juristin Eva Nagle. Sie begrüßte zugleich, dass der EuGH auch bei Facebook gebräuchliche Standarddatenschutzverträge für gültig erklärte. Das soziale Netzwerk wolle dafür sorgen, dass Anzeigenkunden, Angemeldete und Partner den Internetdienst weiter nutzen können. Microsoft ist der Auffassung, das Urteil wirke sich nicht auf den Datentransfer seiner Kunden in der EU über die Cloud in die Vereinigten Staaten aus.
Schrems, der das Verfahren angestoßen hatte, äußerte sich zufrieden mit dem Urteil. "Der Gerichtshof hat nun zum zweiten Mal klargestellt, dass es einen Konflikt zwischen dem EU-Datenschutzrecht und dem US-Überwachungsrecht gibt." Die amerikanischen Überwachungsgesetze müssten grundlegend geändert werden, wenn US-Firmen einen rechtskonformen Zugang zum europäischen Markt behalten wollten. Schrems hatte in Irland, wo Facebook seinen Europa-Sitz hat, geklagt.
"PRIVACY SHIELD" FOLGTE "SAFE HARBOUR"
Der Jurist Schrems hatte die irische Datenschutzbehörde aufgefordert, die Datenübertragung in die USA in gewissen Fällen zu unterbinden. Er begründete dies damit, dass die Datenschutzbestimmungen in den USA im Vergleich zur EU weit weniger restriktiv sind. Facebook sei in den USA verpflichtet, die Daten auch Überwachungsbehörden wie dem FBI oder der NSA zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen können. Die irische Datenschutzbehörde wandte sich an das höchste irische Gericht, das wiederum den Fall dem EuGH vorlegte.
Nach monatelangen Verhandlungen hatten sich 2016 die EU und die USA im "Privacy Shield" auf neue Regeln beim Datenschutz geeinigt. Das neue Abkommen sollte verhindern, dass EU-Behörden den Informationsaustausch zwischen Firmen einschränken müssen, weil in den USA nicht die gleichen Datenschutzbestimmungen gelten wie in Europa. Die früheren Regeln unter dem Namen "Safe Harbour" waren nach den Enthüllungen des ehemaligen Geheimdienstmitarbeiters Edward Snowden von der EU-Kommission ausgesetzt worden.
rtr