Urteil: EuGH kippt Datenschutzvereinbarung Privacy Shield

Erneut hat jetzt der EuGH eine Datenschutzvereinbarung zwischen der EU und den USA für ungültig erklärt, weil personenbezogene Daten von EU-Bürgern wegen der Zugriffsrechte der US-Behörden nicht ausreichend geschützt sind. Das Urteil stellt zudem auch die Regelungen über die sogenannten Standardvertragsklauseln in Frage.

Bereits vor einigen Jahren hatte der österreichische Jurist und Datenschutzaktivist Max Schrems eine transatlantische Datenschutzvereinbarung vor dem EuGH zu Fall gebracht (Der Europäische Gerichtshof erklärt das Safe-Harbor-Abkommen zwischen der Europäischen Union und den USA für ungültig).

Damals war es um das Safe-Harbor-Abkommen gegangen, mit dem sichergestellt werden sollte, dass personenbezogene Daten von EU-Bürgern in den USA ein ähnlich hohes Schutzniveau genießen sollten wie bei der Verarbeitung innerhalb der Europäischen Union.

Erst enttäuschte Safe Harbor durch rechtswidrige Zugriffsrechte auf Daten

Doch spätestens nach den Snowden-Enthüllungen war klar, dass dieses Abkommen dieses Versprechen nicht einhalten konnte, denn dadurch wurde bekannt, dass US-Behörden weitgehende Zugriffsrechte auf Daten haben, die von US-Unternehmen gespeichert werden, ohne dass die Betroffenen darüber informiert werden müssen oder sich gar gegen diese Überwachung gerichtlich wehren können.

Nachdem der EuGH im Jahr 2015 daher die Vereinbarung für ungültig erklärt hatte, wurde zwischen der EU und den USA ein neues Abkommen ausgehandelt, das unter der Bezeichnung Privacy Shield firmierte und das fortan eine wichtige Rechtsgrundlage für den Datenaustausch darstellte.

Doch schon von Anfang an gab es von Datenschützern erhebliche Zweifel an diesem Übereinkommen, denn an der grundsätzlichen Problematik der weitgehenden Zugriffsrechte durch US-Behörden hatte sich auch durch den Privacy Shield im Grunde nichts geändert (Rechtssicherheit oder Mogelpackung?).

Nun führt Schrems vor, das auch Privacy Shield kein ausreichendes  Datenschutzniveau hat

Erneut war es nun der Schrems, der sich vor Gericht gegen die Weitergabe seiner persönlichen Daten an Auftragsverarbeiter in den USA wehrte und nun vor dem erneut angerufenen EuGH einen Erfolg erzielen konnte. In Ihrem Urteil erklären die Luxemburger Richter den Privacy Shield für nichtig.

Sie verweisen in ihrer Begründung darauf, dass in der europäischen Datenschutzgrundverordnung (DSGVO) explizit vorgegeben werde, dass personenbezogene Daten von EU-Bürgern nur dann in ein Drittland übermittelt werden dürfen, wenn dort ein vergleichbares bzw. angemessenes Schutzniveau gewährleistet ist. 

Genau dies sei in den USA aufgrund der weitgehenden Befugnisse für die Sicherheitsbehörden bzw. Geheimdienste zur Überwachung ausländischer Kommunikation nicht der Fall.

Auf Datenschutz-Sand gebaut: Rund 5.000 Unternehmen müssen Datentransfer umstellen

Direkt betroffen von dem Urteil sind zunächst einmal die rund 5.000 Unternehmen, die sich für ihren grenzüberschreitenden Datenverkehr auf diesen Privacy Shield berufen und entsprechende Verpflichtungen eingegangen sind, sodass sie in eine entsprechende Liste aufgenommen wurden (privacyshield-Liste beim US Handelsministerium). Diese Unternehmen müssen den Datentransfer nun auf andere Grundlagen umstellen.

Auf Standardklausel umzustellen, dürfte nur mittelfristig helfen

In Frage kommen dafür vor allem die sogenannten Standardvertragsklauseln (SVK), die bereits jetzt insbesondere von den großen US-Konzernen wie Microsoft, Google, Facebook oder auch Amazon genutzt werden. Die EuGH-Richter erlaubten diese SVKs zwar explizit, wiesen aber zugleich darauf hin, dass auch diese Klauseln von den jeweils zuständigen Datenschutzbehörden daraufhin überprüft werden müssen, ob durch sie tatsächlich das notwendige Schutzniveau der personenbezogene Daten sichergestellt werden kann.

Und da insbesondere im Fall der USA diese Standardvertragsklauseln im Grunde nichts an den Zugriffsmöglichkeiten durch die US-Behörden ändern, dürften auch diese SVKs letztlich keine einwandfreie Basis für die Übertragung personenbezogener Daten darstellen.

Unsicherheiten nehmen zu

In einem ersten Kommentar zum Urteil zeigte sich der Datenschutzaktivist Max Schrems zufrieden mit dem Urteil. Für ihn steht auch fest, dass auch die Standardvertragsklauseln nicht mehr von Facebook und anderen US-Unternehmen, die der Überwachung durch US-Behörden unterliegen, genutzt werden können. Die SVKs seien nur noch dann nutzbar, wenn es in den Drittländern kein kollidierendes Recht gebe. Anders interpretiert man dagegen die Aussagen des EuGH zu den Standardvertragsklauseln bei Facebook, wo man die grundsätzliche Bestätigung der Gültigkeit dieser SVKs durch das Gericht betont, sodass man derzeit keinen Anlass sieht, von der Nutzung dieser Rechtsgrundlage abzuweichen.

Politik sieht Handlungsbedarf

In der Politik sieht man nach dem Urteil Handlungsbedarf. So kündigte die Vizepräsidentin der EU-Kommission, Vera Jourová, an, dass man auf Basis des Urteils neue Verhandlungen mit den US-Kollegen aufnehmen wolle. Ob man an der grundsätzlichen Problematik in Form der weitgehenden Zugriffsrechte der US-Behörden jedoch tatsächlich etwas verändern kann, darf jedoch angezweifelt werden.

Weitere Unsicherheiten könnte das Urteil auch im Hinblick auf Datentransfers auf Basis von SVKs in andere Drittstaaten, wie etwa Großbritannien oder China. Auch hier stelle sich vermehrt die Frage, ob das dortige Schutzniveau tatsächlich demjenigen innerhalb der EU entspreche.

Bitkom warnt vor Daten-Chaos

Besorgt über die Konsequenzen des Urteils zeigten sich Wirtschaftsverbände wie der eco-Verband der Internetwirtschaft oder der Bitkom, wo man in einer Stellungnahme sogar von einem drohenden „Daten-Chaos“ spricht und die EU auffordert, schnell wieder für mehr Rechtssicherheit zu sorgen. Von dem Vorschlag, Daten ausschließlich in Europa zu verarbeiten, hält man hier dagegen wenig, da dies einerseits technisch kaum umsetzbar sei und zudem einen massiven Wettbewerbsnachteil für europäische Unternehmen bedeute.

Weitere News zum Thema:

Irische Datenschutzbehörde geht gegen Twitter und Facebook vor

Bürgerrechtler und Datenschützer lehnen Safe-Harbor-Nachfolger ab

Strafen wegen Verstößen gegen die Datenschutzgrundverordnung

Hintergrund: Max Schrems

Der österreichische Datenschutzaktivist Max Schrems, der z. B. Facebook immer wieder wegen seine Datenschutzmängel angreift, hat u.a. eine Organisation auf die Beine gestellt, mit der Datenschutzrechte besser geschützt werden sollen.

Var allem ist Max Schrems durch seine Klagen gegen Facebook bekannt geworden, in deren Folge das Datenschutzabkommen Safe Harbor zwischen der EU und den USA vom EuGH gekippt wurde.

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben auch Verbände ein Klagerecht bekommen. Mit dem von ihm mitbegründeten Verein namens Noyb (None of your Business – Geht Dich nichts an) können Ansprüche mehrerer Personen gebündelt werden. Der Verein Noyb (None of your Business) mit Sitz in Wien ging als Crowdfunding-Projekt an den Start, um die erweiterten Rechte und verschärften Sanktionen der Datenschutzgrundverordnung zu nutzen.

FDP-Europaabgeordnete Körner führte aus, es sei traurig, dass es die Klage einer Einzelperson gebraucht habe, um den Misstand vor Gericht zu bringen. Nun sei die EU-Kommission gefordert, mit den USA ein neues Abkommen auszuhandeln.