Donnerstag , 24. September 2020
Nachdem der Europäische Gerichtshof das Datenschutzabkommen "Privacy Shield" zwischen der EU und den USA gekippt hat, wollen beide Seiten über weitere Schritte beraten. Quelle: Stephanie Lecocq/EPA Pool/AP/dpa

EuGH kippt Privacy Shield – EU-Kommission will Verhandlungen mit den USA aufnehmen

Die Datenübertragung in die USA wird schwieriger, vielleicht sogar unmöglich. Denn Aktivist Max Schrems konnte einen ersten Erfolg verbuchen. Das Datenschutz-Abkommen „Privacy Shield“ wurde gekippt, laut Europäischem Gerichtshof gewährt er kein gleichwertiges Schutzniveau wie in der EU.

Luxemburg. Im Verfahren des österreichischen Datenschutz-Aktivisten Max Schrems gegen Facebook hat der Europäische Gerichtshof (EuGH) das EU-US-Datenschutz-Abkommen “Privacy Shield” gekippt. Auf dieser Grundlage dürfen Unternehmen nun keine Daten mehr in die USA transferieren. Auch bei den alternativ genutzten Standardvertragsklauseln wird es schwierig.

Max Schrems will verhindern, dass seine Facebook-Daten in den USA gespeichert werden, weil dort die Geheimdienste auf Daten von Ausländern relativ unbeschränkt zugreifen können.

“Safe Harbour”-Abkommen nichtig: USA hat fast grenzenlosen Zugriff

Die Übertragung europäischer Daten an US-Firmen war bis 2015 durch das Safe Harbour-Abkommen der EU mit den USA geregelt. Dort wurden Anforderungen definiert, die US-Stellen einhalten müssen, damit sie das europäische Datenschutzniveau einhalten. Auf Klage von Schrems erklärte der EuGH jedoch im Oktober 2015 den “Safe Harbour”-Beschluss der EU-Kommission für nichtig. Hauptkritik des EuGH: Die EU-Kommission habe den fast grenzenlosen Zugriff der US-Sicherheitsbehörden ignoriert.

In der Folge vereinbarte die EU-Kommission mit den USA neue Regeln, den Privacy Shield (Datenschutz-Schild). Dort sagten die USA zu, auf die anlasslose Massenüberwachung von Europäern zu verzichten – ohne jedoch die entsprechenden US-Gesetze entsprechend zu ändern.

Auch Privacy Shield gewähre kein Schutzniveau wie in EU

Nun hat der EuGH auch den Privacy Shield beanstandet. Er gewähre kein gleichwertiges Schutzniveau wie in der EU. Die US-Überwachungsprogramme seien “nicht auf das zwingend erforderliche Maß beschränkt”. EU-Bürger hätten auch keine sichere Möglichkeit, in den USA ihre Rechte durchzusetzen. Ein neuer Ombudsmann sei weder wirklich unabhängig, noch könne er gegenüber US-Geheimdiensten verbindliche Anordnungen aussprechen.

Unternehmen setzten auf Standardtvertragsklauseln

Das Urteil kommt nicht unerwartet. Die Kritik am Privacy Shield war von Beginn an groß. Viele Unternehmen haben daher bei Datenübertragungen in die USA gar nicht auf den Privacy Shield vertraut, sondern auf so genannte Standardvertragsklauseln, die die EU-Kommission 2010 beschlossen hat. Nach Angaben der EU-Kommission ist dies heute in der Praxis der häufigste Weg, mit dem US-Datenschutzproblem umzugehen.

Diese zwölf Klauseln können in Verträge integriert werden, wenn eine Datenübertragung ins Nicht-EU-Ausland geregelt wird. Der dortige Vertragspartner muss zum Beispiel versprechen, dass er keinen Gesetzen unterliegt, die sich nachteilig auf die Einhaltung des Datenschutzes auswirken.

Klauseln werden auch von Facebook genutzt – Datenschutzbeauftragte greift nicht ein

Auch Facebook nutzt inzwischen die Standardvertragsklauseln. Max Schrems hatte deshalb die für Facebook zuständige irische Datenschutzbeauftragte Helen Dixon aufgefordert, einzuschreiten. Denn Facebook könnte gar nicht zusichern, dass es in den USA keiner nachteiligen Rechtslage unterliegt. Doch Dixon spielte auf Zeit und stellte zunächst den Kommissions-Beschluss über die Standardvertragsklauseln in Frage.

Aufgrund einer Vorlage des irischen High Court hat der EuGH nun entschieden, dass die Standard-Vertragsklauseln an sich nicht gegen EU-Recht verstoßen. Denn die national jeweils zuständigen Datenschutz-Beauftragten seien verpflichtet, die Datenübertragung zu stoppen, wenn die vertraglichen Versprechen nicht eingehalten werden können.

Max Schrems sieht nun Helen Dixon am Zug, diese könne sich jetzt nicht mehr vor ihrer Aufgabe drücken und müsse sofort die Datenübertragung von Facebook in die USA verbieten. Vermutlich wird Dixon aber weiter auf Zeit spielen, weil die irische Datenschutzbehörde viel zu schwach ist, um sich mit einem Weltkonzern anzulegen.

Nachfolger für Privacy Shield geplant

Ähnliche Umsetzungsprobleme wird es bald auch in Deutschland geben. Wenn deutsche Firmen für die Übertragung von Daten in die USA die Standardvertragsklauseln nutzen, sind die 16 Landesdatenschutzbeauftragten für die Prüfung zuständig. Diese müssten dann auch Verbote aussprechen. Nach dem EuGH-Urteil zu Safe Harbour im Jahr 2015 hatten die deutschen Datenschutzbeauftragten erst einmal ein Moratorium von drei Monaten verkündet, um Panik bei den Unternehmen zu verhindern.

Nach dem neuen EuGH-Urteil hat die EU-Kommission sogleich angekündigt, dass sie jetzt Verhandlungen mit den USA aufnehmen will. Möglicherweise wird sie versuchen, eine erneute Regelung mit den USA auszuhandeln, also einen Nachfolger für den Privacy Shield. Solange Donald Trump US-Präsident ist, wird man aber wohl kaum mit Zugeständnissen der USA rechnen können.

Von Christian Rath/RND