Datenschutz: EuGH kippt "Privacy Shield" mit den USA
Privacy Shield wurde gekippt
Bild: dpa, Bearbeitung: teltarif.de
Der Europäische Gerichtshof hat die
EU-US-Datenschutzvereinbarung "Privacy Shield" gekippt. Im
Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook
erklärten die Luxemburger Richter allerdings, dass Nutzerdaten von
EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln
in die USA und andere Staaten übertragen werden können.
Hintergrund ist eine Beschwerde des Datenschutzaktivisten Schrems. Der österreichische Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen könnten. Ein irisches Gericht möchte vom EuGH wissen, ob die sogenannten Standardvertragsklauseln und das EU-US-Datenschutzabkommen "Privacy Shield" mit dem europäischen Datenschutzniveau vereinbar sind.
Anforderungen an den Datenschutz nicht gewährleistet
Privacy Shield wurde gekippt
Bild: dpa, Bearbeitung: teltarif.de
Die Luxemburger Richter erklärten das "Privacy Shield" nun für
ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden
seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem
sei der Rechtsschutz für Betroffene unzureichend.
Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Das "Privacy Shield" ist ein weiterer Kanal, der ausschließlich für den Datentransfer in die USA zur Verfügung steht.
Schrems erklärte in einer ersten Reaktion, er sei sehr glücklich über das Urteil. "Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen."
Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des "Privacy Shield", die Safe-Harbor-Regelung beanstandet, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle. Facebook beruft sich allerdings bei der Übertragung der Daten von Europa in die USA nicht auf das "Privacy Shield", sondern auf die Standardvertragsklauseln.
EU und USA wollen über nach EuGH-Urteil zum Datenschutz beraten
Nachdem der Europäische Gerichtshof das Datenschutzabkommen "Privacy Shield" zwischen der EU und den USA gekippt hat, wollen beide Seiten über weitere Schritte beraten. "Wir werden auf Grundlage des heutigen Urteils eng mit unseren amerikanischen Kollegen zusammenarbeiten", sagte die Vizepräsidentin der EU-Kommission Vera Jourova heute. Man müsse das Urteil in Ruhe analysieren. Eine Priorität der Brüsseler Behörde sei, den Schutz personenbezogener Daten beim transatlantischen Datenverkehr zu garantieren. Nach Angaben der EU-Kommission sind bereits für Freitag Kontakte zu US-Handelsminister Wilbur Ross geplant.
Was steht auf dem Spiel?
"Letzten Endes geht es um die Zulässigkeit von Datentransfers von europäischen Unternehmen in die USA, aber sogar darüber hinaus weltweit", sagt Vera Jungkind, Datenschutzexpertin der Anwaltskanzlei Hengeler Mueller. Das Urteil könnte also gravierende Folgen für die globale Wirtschaft haben. Dürfen Unternehmen weiterhin personenbezogene Daten von Nutzern, Verbrauchern oder Arbeitnehmern in die USA senden? E-Mails oder Hotel-Buchungen von Privatpersonen dürften von dem Urteil nicht betroffen sein. Im Fokus stehen "Electronic Communication Service Provider", also Serviceanbieter wie Facebook, Google, Microsoft, Apple und Yahoo.
Wer ist Max Schrems?
Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa - und gegen Facebook. Nach den ersten Anfragen bei Facebook und der irischen Datenschutzbehörde seien die Antworten so surreal gewesen, dass er immer habe weitermachen müssen, sagt er. Auf sein Betreiben kippte der EuGH 2015 bereits die Safe-Harbor-Regelung. Als Nachfolgeregelung hatte die EU-Kommission mit den US-Behörden schließlich den Datenschutz-Schild ausgehandelt, der nun erneut infrage steht. Er gründete auch den Datenschutz-Verein Noyb, der auf Grundlage der seit 2018 gültigen EU-Datenschutzgrundverordnung bereits Anzeigen gegen Google und Facebook auf den Weg brachte.
Wieso prangert Schrems Firmen wie Facebook, Microsoft, Google, Apple und Yahoo an, und warum hat er andere Firmen wie Amazon nicht im Visier?
Schrems orientiert sich an den Enthüllungen von Edward Snowden. Der US-Whistleblower hatte 2013 dokumentiert, dass US-Geheimdienste wie die NSA und andere Behörden auf Server von US-Konzernen wie Facebook und Google zugreifen können. Auf den von Snowden enthüllten Folien werden namentlich Microsoft (auch mit Skype), Google (auch mit YouTube), Facebook, Yahoo, Apple, AOL und Paltalk erwähnt. Amazon steht nicht auf den Folien zum Überwachungsprogramm Prism.