Privacy Shield: EuGH kippt Datenabkommen
Der Europäische Gerichtshof (EuGH) hat das Datenabkommen “Privacy Shield” zwischen der EU und den USA gekippt. Allerdings können Daten von EU-Bürgern auf Basis sogenannter Standardvertragsklauseln grundsätzlich weiterhin in die USA und andere Staaten übertragen werden – aber nur, wenn das EU-Datenschutzniveau dabei gewährleistet wird.
Hintergrund der Entscheidung des EuGH ist eine Beschwerde des österreichischen Juristen und Datenschutzaktivisten Max Schrems. Dieser hatte ursprünglich bei der irischen Datenschutzbehörde beanstandet, dass die europäische Facebook-Niederlassung in Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Dort seien sie nicht gegen Überwachung durch US-Behörden gesichert. Er begründete seine Beschwerde damit, dass Facebook in den USA durch den “Foreign Intelligence Surveillance Act” dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten.
Die irische Datenschutzbehörde DPC reichte den Fall an den irischen High Court weiter, der wiederum den EuGH anrief um zu klären, ob das “Privacy Shield” mit den europäischen Datenschutzregeln vereinbar ist.
Nun haben die Luxemburger Richter das “Privacy Shield” für ungültig erklärt. Das Gericht stellte fest, dass die Vereinbarung der Einhaltung amerikanischen Rechts Vorrang gewähre. Außerdem seien die auf US-Gesetze gestützten Überwachungsprogramme “nicht auf das zwingend erforderliche Maß beschränkt”. Anforderungen an den Datenschutz seien damit nicht gewährleistet. Zudem stellten die Richter fest, dass Betroffene durch die gesetzlichen Regeln in den USA keine Rechte erhalten, die sie gegenüber amerikanischen Behörden gerichtlich durchsetzen könnten.
Datenübertragung weiterhin möglich
Auf Basis der sogenannten Standardvertragsklauseln dürfen Unternehmen unter engen Voraussetzungen aber weiterhin Nutzerdaten in Drittstaaten übermitteln. Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Das nun gekippte “Privacy Shield” hatte ausschließlich den Datentransfer in die USA geregelt.
Im Rahmen der Standardvertragsklauseln muss jedoch die Datenschutzgrundverordnung (DSGVO) angewendet werden, auch wenn eine Behörde im Drittland die Daten verarbeitet, etwa zu Zwecken der öffentlichen Sicherheit, so der EuGH. Personen, deren Daten in ein Drittland übermittelt werden, müssten ein der DSGVO gleichwertiges Schutzniveau genießen.
Wenn der nötige Schutz nicht gegeben sei, müssten die Datenschutzbehörden eingreifen und die Übermittlung personenbezogener Daten aussetzen oder verbieten. Der EuGH stellte fest, dass sowohl Datenübermittler als auch -Empfänger zuvor prüfen müssten, ob das “erforderliche Schutzniveau” eingehalten werde.
Vorgänger des “Privacy Shield” ebenfalls gekippt
Den Vorgänger des 2016 eingeführten “Privacy Shield”, das “Safe-Harbor-Abkommen”, hatte der EuGH bereits im Oktober 2015 für ungültig erklärt. Auch dieses Verfahren ging auf eine Beschwerde durch Schrems zurück, weil er die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt sah. Schrems hatte kritisiert, dass “Privacy Shield” und “Safe Harbor” inhaltlich nahezu identisch waren.
Schrems erklärte in einer ersten Reaktion, er sei sehr glücklich über das Urteil. “Unsere Argumente wurden bestätigt. Das ist ein totaler Schlag für die irische DPC und Facebook. Es steht nun fest, dass die USA ihre Überwachungsgesetze grundlegend ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.”
Die EU und die USA wollen als Reaktion auf das Urteil über weitere Schritte beraten. Eine Priorität sei, den Schutz personenbezogener Daten beim transatlantischen Datenverkehr zu garantieren, so die Vizepräsidentin der EU-Kommission, Vera Jourova.
Datenschutzbehörden wollen sich abstimmen
Der Bundesdatenschutzbeauftragte Ulrich Kelber sieht in dem Urteil eine Stärkung der Nutzerrechte: “Der EuGH macht deutlich, dass internationaler Datenverkehr weiter möglich ist. Dabei müssen aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden. Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden.” Die europäischen Datenschutzbehörden wollen sich nun untereinander abstimmen. In “besonders relevanten Fällen” werde man darauf drängen, das Urteil schnell umzusetzen – eine Datenübermittlung also gegebenenfalls zu untersagen.
Im Falle der Datenübertragung durch Facebook wäre das also Aufgabe der irischen Datenschutzbehörde. “Sie hätte Facebook schon vor Jahren anweisen können, die Datentransfers zu stoppen”, so Schrems. Die Behörde müsse nun eine Unterlassungsverfügung erlassen, damit Facebook die nötigen Schritt einleiten könne. (dpa / js)