EU-Gerichtshof betont Neutralität des Internets
Der Europäische Gerichtshof (EuGH) hat im Urteil Telenor vom 15. September 2020 erstmals die Verordnung 2015/2120 ausgelegt, die den tragenden Grundsatz der Offenheit des Internets festschreibt. Der Grundsatz wird auch als Netzneutralität bezeichnet. Gemäss Art. 3 Abs. 3 der Verordnung 2015/2120 müssen Anbieter von Internetzugangsdiensten den gesamten Internetverkehr gleich behandeln ohne Diskriminierung, Beschränkung oder Störung, also unabhängig von Sender und Empfänger, den abgerufenen oder verbreiteten Inhalten, den genutzten oder bereitgestellten Anwendungen und Diensten oder den verwendeten Endgeräten.
Die in Ungarn niedergelassene Gesellschaft Telenor stellt Internetzugangsdienste bereit. Zu ihren Dienstleistungen gehören zwei Pakete für einen bevorzugten Zugang zum Internet, wobei der Datenverkehr von bestimmten Anwendungen nicht auf den Verbrauch des Datenvolumens angerechnet wird. Ausserdem können die Kunden diese Anwendungen auch nach der Ausschöpfung ihres Datenvolumens weiterhin mit voller Geschwindigkeit nutzen, während der übrige Datenverkehr blockiert oder verlangsamt wird. Die ungarische Behörde für Medien und Kommunikation entschied, dass diese Praxis gegen die Pflicht zur nichtdiskriminierenden Behandlung des Internetverkehrs verstösst. Telenor klagte gegen diesen Entscheid, worauf der Hauptstädtische Gerichtshof die Frage dem EuGH zur Vorabentscheidung vorlegte.
Der EuGH stellte fest, dass derartige Pakete die Nutzung der bevorzugt behandelten Anwendungen erhöhen und zugleich die Nutzung der übrigen verfügbaren Anwendungen verringern können. Die kumulierte Auswirkung dieser Praxis hat zudem einen Einfluss auf die Rechte der Endnutzer und vermag sogar den Kern dieser Rechte zu untergraben. Der EuGH unterstrich jedoch, dass es zur Feststellung einer Unvereinbarkeit mit Art. 3 Abs. 3 der Verordnung keiner Auswirkung auf die Rechte der Endnutzer bedarf. Der EuGH entschied, dass die von Telenor angebotenen Pakete mit Art. 3 Abs. 3 der Verordnung nicht vereinbar sind, da sie nicht auf objektiv unterschiedlichen Anforderungen an die technische Qualität der Dienste bei speziellen Verkehrskategorien, sondern auf kommerziellen Erwägungen beruhen.
Urteil des Gerichtshofs (Grosse Kammer) vom 15.9.2020, Telenor, C‑807/18 und C‑39/19, ECLI:EU:C:2020:708
Datenschutz der USA immer noch nicht auf Stufe EU
Der EuGH hat zum zweiten Mal einen speziell verhandelten Angemessenheitsbeschluss der Europäischen Kommission zur Übermittlung von Personendaten in die USA für ungültig erklärt. Zudem äusserte sich der EuGH erstmals zum relevanten Schutzniveau auf Basis von Standardvertragsklauseln.
Der Österreicher Maximilian Schrems ist seit 2008 Nutzer von Facebook. Facebook übermittelt die Personendaten seiner Nutzer in der EU in die USA. Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde ein, um diese Übermittlung verbieten zu lassen. Er machte geltend, das Recht und die Praxis in den USA böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten. Seine Beschwerde wurde mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/520/EG (Safe-Harbour-Entscheid) festgestellt, dass die USA ein angemessenes Schutzniveau gewährleisteten. Mit dem Urteil Schrems vom 6. Oktober 2015 erklärte der EuGH auf ein Vorabentscheidungsersuchen des High Courts von Irland hin die Safe-Harbour-Entscheidung für ungültig. Darauf hob das höchste irische Gericht die Zurückweisung der Beschwerde von Schrems auf. Anschliessend forderte die irische Aufsichtsbehörde von Schrems, seine Beschwerde unter Berücksichtigung des ergangenen Urteils umzuformulieren.
In der neu formulierten Beschwerde machte Schrems geltend, dass die USA nach wie vor keinen ausreichenden Schutz der dorthin übermittelten Personendaten gewährleisteten. Er beantragte, die von Facebook nunmehr auf der Grundlage von Standardvertragsklauseln im Anhang des Beschlusses 2010/87 vorgenommene Übermittlung von Personendaten in die USA auszusetzen oder zu verbieten. Die irische Aufsichtsbehörde war der Auffassung, die Bearbeitung der umformulierten Beschwerde von Schrems hänge insbesondere von der Gültigkeit der Standardvertragsklauseln ab. Sie strengte daher ein Verfahren vor dem High Court an, damit dieser an den EuGH gelangen kann.
Nach Einleitung des Verfahrens erliess die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzniveaus (Privacy-Shield-Beschluss).
Mit seinem Vorabentscheidungsersuchen fragte der irische High Court nach dem Schutzniveau, das die DSGVO im Rahmen einer Übermittlung von Personendaten auf der Grundlage von Standardvertragsklauseln verlangt und den Pflichten, die den Aufsichtsbehörden in diesem Zusammenhang obliegen. Weiter warf das irische Höchstgericht die Frage der Gültigkeit sowohl des Beschlusses 2010/87 als auch des Privacy-Shield-Beschlusses auf.
Der EuGH prüfte die Gültigkeit des Privacy- Shield-Beschlusses anhand der Anforderungen der DSGVO und der Charta der Grundrechte. Wie schon bei der Safe-Harbour-Entscheidung im Urteil Schrems stellte der EuGH fest, dass im Privacy-Shield-Beschluss den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des US-Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte derjenigen Personen ermöglicht, deren Daten in die USA übermittelt werden. Die Einschränkung des Datenschutzes durch die Behörden der USA erfüllt nicht die Anforderung eines der Sache nach gleichwertigen Schutzniveaus, da die auf US-Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Mass beschränkt sind. Auch den Ombudsmechanismus im Privacy-Shield-Beschluss stufte das Gericht als ungenügend ein. Aus diesen Gründen erklärte der EuGH den Privacy-Shield-Beschluss für ungültig.
Auch drei Monate nach dem Urteil Schrems 2 ist noch nicht klar, wie und auf welcher Basis in Zukunft strukturelle Übermittlungen von Personendaten in die USA möglich sind. Denn am Schutzniveau in den USA, insbesondere an den Überwachungsprogrammen, hat sich inzwischen nichts geändert. Auch die Schweiz hat in Reaktion auf das Urteil des EuGH den eigenen Privacy-Shield-Beschluss mit den USA gekündigt.
Urteil des Gerichtshofs (Grosse Kammer) vom 16.7.2020, Schrems 2, C‑311/18, ECLI:EU:C:2020:559
