Facebook gilt als datenverarbeitendes Unternehmen
Wie allgemein bekannt ist, gehört es zum Geschäftsprinzip des sozialen Netzwerks Facebook, dass seine Nutzer der Plattform überwiegend äußerst präzise Daten zu ihrer Person bereitstellen.
Dies fördert die Attraktivität der Plattform, birgt jedoch auch Gefahren für den jeweiligen Nutzer.
Bei den Daten kann es sich um den Namen, den Wohnort, das Geburtsdatum, die Telefonnummer etc. handeln. Die Preisgabe der Daten durch den Nutzer geschieht nicht nur auf einer rein freiwilligen Basis der Mitglieder, Facebook setzt es vielmehr voraus, dass diese gewisse Angaben machen.
Hierzu gehört heutzutage bei der Neuanmeldung eines Accounts die Angabe einer Telefonnummer bzw. die Vorlage einer Kopie des Lichtbildausweises. Diese Vorgehensweise macht Facebook vor dem Hintergrund europarechtlicher Gesichtspunkte zu einem datenverarbeitenden Unternehmen. Die Daten werden von der in Irland ansässigen Tochtergesellschaft gesammelt und an den Server, der sich in den vereinigten Staaten befindet, übermittelt und dort verarbeitet.
Rechtmäßigkeit der Übermittlung von Daten von EU-Inländern in die USA bestimmt sich nach EU-Recht
Bei einer solchen Vorgehensweise, bei der personenbezogene Daten an ein sogenanntes Drittland, hier die USA, übermittelt werden, bestimmt sich die Zulässigkeit dieser Übermittlung nach der Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung Personen bezogener Daten und zum freien Datenverkehr. Diese Richtlinie sieht vor, dass die Übermittlung personenbezogener Daten in ein Drittland zulässig ist, sofern das betreffende Land ein angemessenes Schutzniveau hinsichtlich dieser Daten gewährleistet. Bei der Übermittlung der Daten in die USA ging man mit Blick auf das sogenannte „Safe-Harbor-Abkommen“ davon aus, dass die USA das erforderliche angemessene Niveau aufweisen. Nach diesem Abkommen können sich in den USA ansässige Unternehmen verpflichten, einheitlich aufgestellte Prinzipien einzuhalten. Die europäische Kommission hatte im Jahr 2000 entschieden, dass die Prinzipien des Abkommens ein angemessenes Schutzniveau deswegen bieten, weil sie im Einklang mit den europäischen Vorgaben stehen. Somit bestanden bis dato keine Zweifel an der Rechtmäßigkeit hinsichtlich der Datenverarbeitung solcher Unternehmen, die in den USA ansässig sind und sich dem Abkommen angeschlossen haben.
Österreichischer Facebook-Nutzer bezweifelt Rechtmäßigkeit der Datenübermittlung in die USA
Dies bezweifelte ein Facebook-Nutzer namens Schrems aus Österreich, der seit dem Jahr 2008 bei der Plattform angemeldet ist. Er legte bei der irischen Datenschutzbehörde eine Beschwerde ein, weil er im Hinblick auf die von Edward Snowden enthüllten Tätigkeiten der NSA bei der Ansicht war, dass das Recht und die Praxis der vereinigten Staaten keinen ausreichenden Schutz hinsichtlich der übermittelten Daten böten.
Das oberste Zivilgericht der Republik Irland wollte nunmehr im Rahmen einer Vorlageentscheidung klären lassen, ob die Entscheidung der Kommission aus dem Jahr 2000 zu der Rechtmäßigkeit des „Safe-Harbor-Abkommens“ eine nationale Datenschutzbehörde daran hindere, eine Beschwerde zu prüfen, die den Vorwurf zum Gegenstand hat, ein Drittland, im Speziellen die USA, biete kein angemessenes Schutzniveau im Sinne der Richtlinie 95/45/EG.
Entscheidung des EuGH
Der EuGH hat nunmehr entschieden (Urteilsgründe der Entscheidung EuGH C-362/14), dass die Existenz einer Kommissionsentscheidung, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte personenbezogene Daten gewährleiste, die Befugnisse nationaler Datenschutzbehörden weder beseitigen noch beschränken könne. Dies geht aus der Pressemitteilung Nr. 117/15 des EuGH hervor. Die nationalen Datenschutzbehörden müssten, wenn sie mit einer Beschwerde befasst seien, in voller Unabhängigkeit prüfen, ob bei der Übermittlung der Daten einer Person in ein Drittland, die in der Datenschutzrichtlinie aufgestellten Grundsätze eingehalten werden. Sei eine nationale Behörde der Auffassung, dass eine Entscheidung der Kommission ungültig sei, müsse diese Behörde folglich die nationalen Gerichte anrufen können, damit diese im Zweifel die Sache dem europäischen Gerichtshof vorlegen. Dieser habe letztendlich darüber zu befinden, ob die jeweilige Entscheidung z.B. hier wie die der Kommission, gültig sei.
Darüber hinaus hat der EuGH festgestellt, dass die Entscheidung der Kommission aus dem Jahr 2000 fehlerhaft ist. In dieser wird zwar zutreffend festgestellt, dass die Regelungen des Abkommens an und für sich im Einklang mit den europäischen Vorgaben stehen, jedoch wurde keine dahingehenden Feststellungen getroffen, ob dem Abkommen innerstaatliche Rechtsvorschriften bzw. internationale Verpflichtungen der Gewährleistung der Umsetzung den Vorgaben der Regelungen entgegenstehen. Weiter gelte das Abkommen nur für die Unternehmen, die sich diesem unterwerfen, jedoch nicht für die Behörden der vereinigten Staaten. Im Übrigen genossen die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der vereinigten Staaten, Vorrang vor dem Abkommen, so dass Unternehmen, obgleich sie sich dem Abkommen angeschlossen haben, verpflichtet seien, die dortigen Schutzregelungen außen vor zu lassen, sobald sie im Widerstreit mit den im Drittland vorherrschenden Erfordernissen stehen. Die Kommission habe weder festgestellt, dass es in den vereinigten Staaten Regelungen gäbe, die dazu dienten, etwaige Eingriffe zu begrenzen, noch dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gäbe.
Weiter stellte das Gericht fest, dass das in der Datenschutzrichtlinie vorgesehene Schutzniveau dann nicht gewährleistet werde, wenn eine Regelung nicht auf das absolut Notwendigste beschränkt sei. Wenn sie hingegen generell die Speicherung aller personenbezogener Daten sämtlicher Personen, deren Daten aus der Union in die vereinigten Staaten übermittelt mittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken. Durch eine solche Regelung werde der Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Eine Regelung, die keine Möglichkeit für den Bürger vorsehe mittels eines Rechtsbehelf Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, verletze den Bürger zudem in seinem Grundrecht auf wirksamen gerichtlichen Rechtsschutz.
Vor diesem Hintergrund wurde die Entscheidung der Kommission aus dem Jahr 2000 für ungültig erklärt.
Welche Konsequenz hat die Entscheidung für Facebook und seine Nutzer?
Da es sich vorliegend um eine Vorlageentscheidung handelt, hat der europäische Gerichtshof nicht über den nationalen Rechtsstreit an sich entschieden. Nunmehr muss das oberste irische Zivilgericht mit aller gebotenen Sorgfalt prüfen und entscheiden, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten biete. So wird die aktuelle Sachlage Sachlage am Ende der Pressemitteilung Nr. 117/15 zusammengefasst.
Bedeutet die Entscheidung das Aus für Facebook? – Nein! Natürlich handelt es sich bei dieser Besorgnis um den 1. Gedanken eines Fans der Plattform oder der sogenannten Facebook-Lobby. Tatsächlich wird sich Facebook jedoch nicht mehr pauschal mit dem Einwand des „Safe-Harbor-Abkommens“ aus der Affäre ziehen können. Vielmehr ist es jeweiligen Nutzern nunmehr möglich, sich an die jeweiligen Datenschutzbehörden zu wenden, wenn sie Bedenken hinsichtlich der pauschalen Übermittlung ihrer Daten an das in den USA ansässige Unternehmen haben. Die Behörden sind dann gehalten, im Einzelfall zu prüfen, ob die Übermittlung im Lichte der europäischen Vorgaben rechtmäßig ist. Die in den USA ansässige Facebook Inc. wird zudem die rechtlichen Grundlagen, auf denen der Datentransfer mit der in Irland ansässigen Tochtergesellschaft stattfindet hinter den Vorgaben der Entscheidung des EuGH überprüfen müssen. Die pauschale Übertragung aller Daten der jeweiligen Nutzer ist vor dem Hintergrund der Entscheidung nicht mehr zulässig. Die Datenübertragung muss auf das notwendige beschränkt werden. Ausnahmen von etwaigen Beschränkungen dürfen nur anhand konkreter Vorgaben zur Erreichung eines gewissen Zwecks erforderlich sein. Zudem muss es den Nutzern ermöglicht werden, angehört zu werden und gegebenenfalls gerichtlichen Schutz in Anspruch nehmen zu können.
Die Entscheidung hat nicht nur eine Bedeutung für die Facebook Inc., sondern für eine Vielzahl von Unternehmen, die in den USA ansässig sind und bisher unter Berufung auf das “Safe-Harbor-Abkommen” Daten von Unternehmen übermittelt bekommen, die ihren Sitz in der EU haben. (jr)
(Bild: © Jürgen Fälchle – Fotolia.com)
