Europäische Richter stärken Datenschutz
Trotz der Facebook-Entscheidung können Daten weiter in die USA übertragen werden
LUXEMBURG (AFP) - Knapp fünf Jahre nach dem Aus für ein EU-Datenschutzabkommen mit den USA hat der Europäische Gerichtshof (EuGH) auch das Nachfolgeabkommen gekippt. Der EuGH erklärte am Donnerstag den „Privacy Shield“Beschluss der EU zur Übermittlung personenbezogener Daten in die USA für ungültig. Die USA reagierten enttäuscht, Datenschützer erleichtert. Auslöser für das Urteil war ein Streit um den Transfer von Facebook-Daten aus der EU in die USA. Grundsätzlich möglich bleibt die Weitergabe aber weiterhin.
LUXEMBURG (dpa) - Der österreichische Jurist Max Schrems hat europäische Datenschutz-Geschichte geschrieben. Auf sein Betreiben kippte der Europäische Gerichtshof das Datenabkommen „Privacy Shield“zwischen der EU und den USA. Der EuGH hatte nach einer Schrems-Klage bereits 2015 die Vorgängerregelung „Safe Harbor“kassiert.
Was ist die zentrale Aussage des Urteils?
Das Urteil beinhaltet zwei Entscheidungen: Zum einen stellt der Gerichtshof fest, dass Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der Grundrechte der Europäischen Union verstoßen. Diese nutzt auch Facebook für die Datenübertragung zwischen der EU und den USA. Das Datenabkommen „Privacy Shield“zwischen den USA und der EU erklärt der EuGH hingegen für ungültig.
Was ist „Privacy Shield“?
Nach dem Scheitern des „Safe Habor“-Abkommens zwischen den USA und der EU vor dem EuGH 2015 wurde ein Jahr später eine andere Abmachung geschlossen. Darin wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Es wird pauschal festgestellt, dass eine wichtige Bedingung der Europäischen Datenschutz-Grundverordnung (DSGVO) erfüllt ist. Nach der DSGVO dürfen im Ausland nur personenbezogene Daten gespeichert und verarbeitet werden, wenn die Datenschutzvorkehrungen in jenem Land ähnlich hoch sind.
Warum wurde „Privacy Shield“jetzt für ungültig erklärt?
Dem EuGH gehen die Überwachungsbefugnisse der US-Geheimdienste und Sicherheitsbehörden zu weit. NSA, FBI und andere dürfen auch ohne einen richterlichen Beschluss die Daten ausländischer Nutzer durchforsten. Den Enthüllungen des Whistleblowers Edward Snowden konnte man entnehmen, dass Daten von Microsoft, Facebook, Google, Apple, Yahoo und anderen abgesaugt werden.
Was hat es mit den Standardvertragsklauseln auf sich?
In diesen Verträgen erklären die beteiligten Parteien, dass es auch im Ausland einen angemessenen Schutz für die Daten von EU-Bürgern gibt. Sie gelten deshalb als einfach anwendbares Instrument, um rechtskonform personenbezogene Daten ins Ausland zu übermitteln.
Sind die Standardvertragsklauseln also ein Freibrief für die Datenübertragung ins Ausland?
Nein. Das Konstrukt wurde zwar vom EuGH bestätigt. Aber auch hier haben die Betroffenen die Möglichkeit, die Rechtmäßigkeit im konkreten Fall durch die zuständigen Datenschutzbehörden überprüfen zu lassen. Im Streit zwischen Schrems und Facebook liegt der Ball damit wieder im Feld der irischen Datenschutzbehörde DPC. Die ist bislang nicht durch ein scharfes Vorgehen gegenüber US-Konzernen aufgefallen, die von Irland aus ihr EuropaGeschäft betreiben.
Was bemängelt der Datenschützer und Jurist Max Schrems genau?
Schrems hat bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese dort nicht angemessen gegen Ausspähaktionen gesichert seien. Diese Frage wurde nun vom EuGH entschieden.
Sind nur Kunden von Firmen wie Facebook und Microsoft betroffen?
Nein, die Entscheidung des EuGH betrifft ganz grundsätzlich die Datenübertragung ins Ausland. Häufig werden Daten auch in den USA gespeichert, selbst wenn man es mit Firmen aus Europa zu tun hat. Diese greifen nämlich auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück. In der Regel agieren die großen US-Anbieter nicht allgemein unter dem Dach des „Privacy Shield“, sondern haben Verträge abgeschlossen.
Was bedeutet das Urteil für die Digital-Branche?
Der Branchenverband Bitkom beklagt, dass jetzt zum zweiten Mal die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA weggefallen ist. Auch die bis dato gültige Praxis der Standardvertragsklauseln gerate mit dieser Entscheidung ins Wanken. „Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit“, sagte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.