Spannung – Spannung – Spannung: Zumindest für Datenschutz-Interessierte stehen in Kürze zwei mit eben dieser Spannung erwartete (Gerichts-)Termine vor der Tür: Am 24.März verhandelt der EuGH über die Frage, ob die EU-Grundrechtecharta die nationalen Datenschutz-Aufsichtsbehörden zum Einschreiten gegen den Daten­transfer in die USA verpflichtet, am 9. April verhandelt das Landes­gericht Wien über die Sammelklage von 25.000 Facebook-Nutzern gegen die Datenschutzregelungen des sozialen Netzwerkes (wir berichteten).

Was ist der Hintergrund?

Wie so häufig: Facebook.

In diesem Fall stellen die o.g. Verhandlungstermine weitere Meilensteine auf dem juristisch steinigen Weg des österreich­ischen Juristen Max Schrems dar, der seinerzeit auszog, Facebook das datenschutzrechtliche Fürchten zu lehren. Sie erinnern sich vielleicht? Max Schrems hatte als einer von wenigen Nutzern (wenn nicht als einziger) nach langem Rechtsstreit von Facebook  auf 1.200 (!)-Seiten (auf CD-ROM) Auskunft über seine dort in den vergangenen 3 Jahren gespeicherten Daten erhalten. Das war 2011.

Nunmehr sind zwei Verfahren zu unterscheiden:

Da er von der Rechtswidrigkeit der Datenverarbeitung durch Facebook überzeugt war bzw. ist, organisierte Schrems in der Folgezeit eine Sammelklage gegen das Unternehmen (Facebook class action, www.fbclaim.com), der sich 25.000 Nutzer anschlossen. Gegenstand der im Wesentlichen auf Feststellung und Unterlassung gerichteten Klage sind u.a. die Datenschutzrichtlinien, fehlerhafte Einwilligungserklärungen, das Tracking der Nutzer über die „Like-Buttons“, die Verknüpfung von Nutzerdaten mit Daten aus anderen Quellen aber auch die „Teilnahme“ des Unternehmens am PRISM-Programm der NSA. Nach einigen Versuchen seitens facebook, das Verfahren in die Länge zu ziehen

  • verhinderte Facebook die Zustellung der Klage in Dublin mit Hinweis auf die Sprache, obwohl eine Zustellung in deutscher Sprache in Irland rechtsgültig ist
  • dann erklärte Facebook, die Geschäftsfähigkeit seiner Nutzer sei nach deren Registrierung „abhandengekommen“!

steht nun der erste Verhandlungstermin vor dem Landesgericht Wien am 9. April an.

Das ist das eine Verfahren.

Das andere, jetzt vor dem EuGH zu verhandelnde Verfahren wurde im April 2014 von Max Schrems begonnen. Schrems hatte die irische Datenschutzaufsichtsbehörde aufgefordert, Facebook Irland die Übermittlung von personenbezogenen Daten an Facebook Inc. in den USA zu untersagen, da durch das NSA-Programm PRISM deutlich geworden sei, dass in den USA kein angemessenes Datenschutz-Niveau herrsche. Dieser Aufforderung war die irische Aufsichtsbehörde nicht nachgekommen – mit der Begründung, dass Facebook SafeHarbor-„zertifiziert“ sei und damit angemessenes Datenschutz­niveau unterstellt werden müsse. Hiergegen hatte Schrems vor dem irischen High Court geklagt. Das Gericht hatte dann am 18. Juni 2014 entschieden, dass aus seiner – nationalen – Sicht die irische Datenschutzaufsichtsbehörde bei ihrem Handeln zwar zwingend an die SafeHarbour-Regelung der EU (Kommissions-Entscheidung 2000/520/EC) gebunden sei, d.h. gar nicht anders entscheiden konnte, als gegenüber Facebook untätig zu bleiben. Dass es aber aus europäischer Sicht der Klärung durch den EuGH bedürfe, ob die SafeHarbor-Regelung tatsächlich für nationale Datenschutz-Aufsichtsbehörden „unantastbar“ sei, oder ob die Behörden nicht gerade wegen der mittlerweile öffentlich gewordenen Datenschutzlücken in den USA eigene Entscheidungen treffen könnten.

Diese Frage ist insbesondere deshalb relevant, da in der Zwischenzeit, also deutlich nach der „Geburt“ von SafeHarbor, mit Artikel 8 der EU-Grundrechte-Charta (2010/C 83/02) ein „direktes“ EU-Grundrecht auf Schutz der eigenen personenbezogenen Daten in Kraft getreten ist. Dieses sieht explizit vor:

Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

Die nicht nur aus juristischer Sicht, sondern insbesondere im Hinblick auf den „Wert“ von SafeHarbor spannende Frage an den EuGH lautet nun, ob nicht die Aufsichtsbehörden, in Kenntnis dessen, dass ein angemessenes Datenschutzniveau (in den USA) allein aufgrund einer Selbstverpflichtung von Unternehmen nicht existiert, zum Schutz dieses Grundrechts tätig werden müssen. Oder, dogma­tischer formuliert, ob Artikel 8 der EU-Grundrechts-Charta unmittelbare (Schutz-)Rechts­ansprüche des EU-Bürgers gegen Datenschutzverletzungen begründet. In diesem Fall gegen Facebook, allerdings sollten hierbei andere große wie Google, Amazon und Co nicht völlig vergessen werden. Interessant ist die Frage in jedem Fall auch aus dem Grunde, da Artikel 51 Abs. 2 der EU-Grundrechte-Charta den Handlungs-Spielraum der nationalen Behörden formal eigentlich einschränkt:

Diese Charta dehnt den Geltungsbereich des Unionsrechts nicht über die Zuständigkeiten der Union hinaus aus und begründet weder neue Zuständigkeiten noch neue Aufgaben für die Union, noch ändert sie die in den Verträgen festgelegten Zuständigkeiten und Aufgaben.    

Dies sieht auf den ersten Blick abschließend aus. Ob es das tatsächlich ist, wird sich nach dem 24. März zeigen. Es bleibt datenschutzrechtlich sehr spannend!