Datenschutzvereinbarung

Aus für "Privacy Shield": EU-Nutzerdaten fließen weiter in die USA

Der EuGH hat die Datenschutzvereinbarung "Privacy Shield" gekippt. Der Schritt erfolgte im Zuge des Rechtsstreit des Datenschutzaktivisten Max Schrems mit Facebook. Doch was bedeutet das für den Umgang mit den Nutzerdaten?

Jörg Schamberg, 16.07.2020, 10:39 Uhr (Quelle: DPA)
Facebook HandyFacebook unterlag vor dem EuGH. Dennoch können weiter Nutzerdaten von Europa in die USA gelangen.© bloomua / Fotolia.com

Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung "Privacy Shield" gekippt. Im Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook erklärten die Luxemburger Richter allerdings, dass Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden können. Hintergrund ist eine Beschwerde des Datenschutzaktivisten Schrems.

Beschwerde von Schrems wegen Facebook

Der österreichische Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen könnten. Ein irisches Gericht möchte vom EuGH wissen, ob die sogenannten Standardvertragsklauseln und das EU-US-Datenschutzabkommen "Privacy Shield" mit dem europäischen Datenschutzniveau vereinbar sind.

EuGH erklärt "Privacy Shield" für ungültig

Die Luxemburger Richter erklärten das "Privacy Shield" nun für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.

Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Das "Privacy Shield" ist ein weiterer Kanal, der ausschließlich für den Datentransfer in die USA zur Verfügung steht.

Schrems: USA müssen ihre Überwachungsgesetze ändern

USA TarifeMüssen die USA ihre Überwachungsgesetze ändern? Das fordert zumindest Datenschutzaktivist Schrems.© Beboy / Fotolia.com

Schrems erklärte in einer ersten Reaktion, er sei sehr glücklich über das Urteil. "Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen."

Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des "Privacy Shield", die Safe-Harbor-Regelung beanstandet, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle. Facebook beruft sich allerdings bei der Übertragung der Daten von Europa in die USA nicht auf das "Privacy Shield", sondern auf die Standardvertragsklauseln.

EU und USA planen Gespräche zum Datenschutz

Nachdem der Europäische Gerichtshof das Datenschutzabkommen "Privacy Shield" zwischen der EU und den USA gekippt hat, wollen beide Seiten über weitere Schritte beraten. "Wir werden auf Grundlage des heutigen Urteils eng mit unseren amerikanischen Kollegen zusammenarbeiten", sagte die Vizepräsidentin der EU-Kommission, Vera Jourova, am Donnerstag. Man müsse das Urteil in Ruhe analysieren. Eine Priorität der Brüsseler Behörde sei, den Schutz personenbezogener Daten beim transatlantischen Datenverkehr zu garantieren. Nach Angaben der EU-Kommission sind bereits für Freitag Kontakte zu US-Handelsminister Wilbur Ross geplant. Dieser zeigte sich enttäuscht. Der Datenfluss sei nicht nur für Tech-Unternehmen, sondern für Firmen jeder Größe in allen Bereichen wichtig. Beobachter bezweifeln, dass Gespräche zwischen der EU und den USA vor den Präsidentschaftswahlen im November noch konkret werden können.

FAQ zum Aus der "Privacy Shield"-Datenschutzvereinbarung

Was ist die zentrale Aussage des Urteils?

Das Urteil beinhaltet zwei Entscheidungen: Zum einen stellt der Gerichtshof fest, dass Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der Grundrechte der Europäischen Union verstoßen. Diese nutzt auch Facebook für die Datenübertragung zwischen der EU und den USA. Das Datenabkommen "Privacy Shield" zwischen den USA und der EU erklärt der EuGH hingegen für ungültig.

Was ist "Privacy Shield"?

Nach dem Scheitern des "Safe Habor"-Abkommens zwischen den USA und der EU vor dem EuGH 2015 wurde ein Jahr später eine Abmachung zwischen der Europäischen Union und den Vereinigten Staaten geschlossen. Darin wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Es wird pauschal festgestellt, dass eine wichtige Bedingung der Europäischen Datenschutz-Grundverordnung (DSGVO) erfüllt ist. Nach der DSGVO dürfen im Ausland nur personenbezogene Daten gespeichert und verarbeitet werden, wenn die Datenschutzvorkehrungen in jenem Land ähnlich hoch sind. In einer Selbstverpflichtung erklären die Unternehmen dabei, dass dies der Fall ist.

Warum wurde "Privacy Shield" jetzt für ungültig erklärt?

Dem EuGH gehen die Überwachungsbefugnisse der amerikanischen Geheimdienste und Sicherheitsbehörden zu weit. Nach dem amerikanischen Foreign Surveillance Act (FISA) dürfen NSA, FBI und andere auch ohne einen richterlichen Beschluss die Daten ausländischer Nutzer durchforsten. Den Enthüllungen des Whistleblowers Edward Snowden konnte man entnehmen, dass Daten von Microsoft, Facebook, Google, Apple, Yahoo und anderen abgesaugt werden. Der EuGH sagt nun, dass die Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

Was hat es mit den Standardvertragsklauseln auf sich?

In diesen Verträgen erklären die beteiligten Parteien, dass es auch im Ausland einen angemessenen Schutz für die Daten von EU-Bürgern gibt. Sie gelten deshalb als einfach anwendbares Instrument, um rechtskonform personenbezogene Daten ins Ausland zu übermitteln.

Sind die Standardvertragsklauseln also ein Freibrief für die Datenübertragung ins Ausland?

Nein. Das Konstrukt wurde zwar vom EuGH bestätigt. Aber auch hier haben die Betroffenen die Möglichkeit, die Rechtmäßigkeit im konkreten Fall durch die zuständigen Datenschutzbehörden überprüfen zu lassen. Im Streit zwischen dem Datenschutzaktivisten Max Schrems und Facebook liegt der Ball damit wieder im Feld der irischen Datenschutzbehörde DPC. Die ist bislang aber nicht durch ein scharfes Vorgehen gegenüber US-Konzernen aufgefallen, die von Irland aus ihr Europa-Geschäft betreiben.

Wer ist Max Schrems? Der Jurist Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa - und gegen Facebook. Nach den ersten Anfragen bei Facebook und der irischen Datenschutzbehörde seien die Antworten so surreal gewesen, dass er immer habe weitermachen müssen, sagt er. Schrems gründete auch den Datenschutz-Verein Noyb, der auf Grundlage der DSGVO bereits Anzeigen gegen Google und Facebook auf den Weg brachte.

Was bemängelt Schrems genau?

Schrems hat bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese dort nicht angemessen gegen Ausspähaktionen gesichert seien. Der irische High Court rief schließlich den EuGH an und wollte wissen, ob Standardvertragsklauseln und "Privacy Shield" mit dem europäischen Datenschutzniveau vereinbar sind.

Sind nur Kunden von Firmen wie Facebook und Microsoft betroffen?

Nein, die Entscheidung des EuGH betrifft ganz grundsätzlich die Datenübertragung ins Ausland. Häufig werden Daten auch in den USA gespeichert, selbst wenn man es mit Firmen aus Europa zu tun hat. Diese greifen nämlich häufig auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück. In der Regel agieren die großen US-Anbieter nicht allgemein unter dem Dach des "Privacy Shields", sondern haben Verträge abgeschlossen.

Microsoft erklärte, gewerbliche Kunden können die Dienste des Unternehmens in Übereinstimmung mit dem europäischen Recht weiterhin nutzen. "Das Urteil des Gerichtshofs ändert nichts daran, dass Sie heute Daten zwischen der EU und den USA über die Microsoft-Cloud übertragen können." Man biete den Kunden seit Jahren einen überlappenden Schutz sowohl im Rahmen der Standardvertragsklauseln als auch im Rahmen des "Privacy Shield" für Datentransfers.

Was bedeutet das Urteil für die Digital-Branche?

Der Branchenverband Bitkom beklagt, dass nach dem gescheiterten Safe-Harbor-Abkommen jetzt zum zweiten Mal die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA weggefallen ist. Auch die bis dato gültige Praxis der Standardvertragsklauseln gerate mit dieser Entscheidung ins Wanken. "Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit", erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Wer bislang allein auf Basis des "Privacy Shields" Daten verarbeitet habe, muss zumindest auf die Standardvertragsklauseln umstellen - "andernfalls droht ein Daten-Chaos". .

Günstige Internet-Tarife finden
Wissenswertes zum Thema
Zum Seitenanfang
Der BT-Navigator
Quicklinks