Datenschutzbeschwerden wegen Nutzung von Privacy Shield

Im Juli hat der EuGH mit Privacy Shield erneut eine Datenschutz-Vereinbarung zwischen der EU und den USA für unzureichend erklärt. Während angekündigt wurde, ein neues Datenschutzabkommen auszuhandeln, hat die Datenschutzorganisation Noyb schon gegen viele europäischen Unternehmen Beschwerden  eingereicht. Die Datenschutzbehörden stehen ebenfalls vor einem Dilemma.

Nach Safe Harbor hat der EuGH also auch Privacy Shield  als Datenschutzvereinbarung zwischen der EU und den USA für ungültig erklärt. Auch durch dies Abkommen sind personenbezogene Daten von EU-Bürgern wegen der Zugriffsrechte der US-Behörden nicht ausreichend geschützt sind. Das Urteil stellt zudem auch die Regelungen über die sogenannten Standardvertragsklauseln in Frage. Wie bereits vor einigen Jahren hatte der österreichische Jurist und Datenschutzaktivist Max Schrems auch diese transatlantische Datenschutzvereinbarung vor dem EuGH zu Fall gebracht.

Beide Abkommen versagten gegen die Zugriffsrechte der US-Behörden

Auch mit dem Safe-Harbor-Abkommen sollte, vergeblich, sichergestellt werden, dass personenbezogene Daten von EU-Bürgern in den USA ein ähnlich hohes Schutzniveau genießen sollten wie bei der Verarbeitung innerhalb der Europäischen Union.

Doch spätestens nach den Snowden-Enthüllungen war klar, dass dieses Abkommen dieses Versprechen nicht einhalten konnte, denn dadurch wurde bekannt, dass US-Behörden weitgehende Zugriffsrechte auf Daten haben, die von US-Unternehmen gespeichert werden, ohne dass die Betroffenen darüber informiert werden müssen oder sich gar gegen diese Überwachung gerichtlich wehren können.

Nachdem der EuGH im Jahr 2015 daher die Vereinbarung für ungültig erklärt hatte, wurde zwischen der EU und den USA ein neues Abkommen ausgehandelt, das unter der Bezeichnung Privacy Shield firmierte und das fortan eine wichtige Rechtsgrundlage für den Datenaustausch darstellte.

Doch schon von Anfang an gab es von Datenschützern erhebliche Zweifel an diesem Übereinkommen, denn an der grundsätzlichen Problematik der weitgehenden Zugriffsrechte durch US-Behörden hatte sich auch durch den Privacy Shield im Grunde nichts geändert (Rechtssicherheit oder Mogelpackung?).

Datenschutzorganisation Noyb geht reagiert zügig auf das EuGH-Urteil

Während EU und USA noch planen, Verhandlungen über ein neues transatlantisches Datenschutzabkommen aufzunehmen, wollen die Datenschutzaktivisten der von Max Schrems mitgegründeten Organisation von Noyb = None of Your Business nicht so lange warten, sondern setzen ihren Kampf gegen die Weitergabe persönlicher Daten in die USA weiter fort. Dazu haben sie jetzt gegen insgesamt 101 europäischen Unternehmen Beschwerden bei den jeweils zuständigen Aufsichtsbehörden eingereicht.

Beschwerden gegen Unternehmen, deren Daten in den Bestand von US-Konzernen gelangen

Betroffen sind solche Unternehmen, die die Dienste Google Analytics oder Facebook Connect auf ihren Webseiten verwenden.  Während Google Analytics den Betreibern statistische Daten zur Nutzung der Websites liefert, ermöglicht Facebook Connect den Nutzern eine einfache Anmeldung mit ihren Facebook-Login-Daten auf anderen Websites.

Beiden Diensten gemeinsam ist jedoch, dass dabei personenbezogen Nutzerdaten in die Hände der beiden US-Konzerne gelangen und weil diese wiederum eindeutig den US-Überwachungsgesetzen wie dem Foreign Intelligence Surveillance Act (FISA) unterliegen, können prinzipiell auch US-Behörden jederzeit auf diese Daten zugreifen. Und da mit dem EuGH-Urteil nicht nur die Datenübertragung nach dem Privacy Shield für unzulässig erklärt worden sei, sondern das Gericht auch klar gemacht habe, dass auch die Verwendung der Standardvertragsklauseln nicht rechtmäßig sein könne, wenn davon ausgegangen werden müsse, dass die US-Behörden auf die bei Google bzw. Facebook gespeicherten Daten zugreifen könnten, dürften diese Dienste auf den Websites von EU-Unternehmen nicht weiter eingesetzt werden, argumentieren die Beschwerdeführer.

Da zudem beide Dienste für den Betrieb der Websites zudem nicht essenziell seien, so Noyb, hätten sie mittlerweile durch andere, datenschutzkonforme Dienste ersetzt oder deaktiviert werden können.

Beschwerden richten sich gegen Unternehmen aus allen Mitgliedsstaaten von EU und EWR

Die Beschwerden die Noyb an den zuständigen Datenschutzbehörden vorgebracht hat, richten sich gegen Unternehmen aus allen 30 Mitgliedsstaaten der EU und des EWR sowie gegen Google und Facebook, weil letztere nach wie vor die Daten entgegen der Vorgaben der DSGVO akzeptieren.

Noyb stelle Informationsmaterial in Form von FAQs und Musterfragebogen

Noyb plant nach eigener Aussage zudem weitere rechtliche Schritte, um den Druck auf die europäischen Unternehmen und US-Dienstanbieter zu erhöhen. Vor allem für kleine Unternehmen, die sich nicht sicher sind, inwieweit sie selbst betroffen sind, hat die Noyb auf ihrer Website Informationsmaterial in Form von FAQs und Musterfragebogen bereitgestellt.

Schrems klagte und belegte, dass auch Privacy Shield kein ausreichendes  Datenschutzniveau hat

Wieder war es Schrems, der sich vor Gericht gegen die Weitergabe seiner persönlichen Daten an Auftragsverarbeiter in den USA wehrte und vor dem erneut angerufenen EuGH einen Erfolg erzielen konnte. In Ihrem Urteil erklären die Luxemburger Richter den Privacy Shield für unzureichend. Sie verweisen in ihrer Begründung darauf, dass in der europäischen Datenschutzgrundverordnung (DSGVO) explizit vorgegeben werde, dass personenbezogene Daten von EU-Bürgern nur dann in ein Drittland übermittelt werden dürfen, wenn dort ein vergleichbares bzw. angemessenes Schutzniveau gewährleistet ist. 

Genau dies sei in den USA aufgrund der weitgehenden Befugnisse für die Sicherheitsbehörden bzw. Geheimdienste zur Überwachung ausländischer Kommunikation nicht der Fall.

Auf Datenschutz-Sand gebaut: Rund 5.000 Unternehmen müssen Datentransfer umstellen

Direkt betroffen von dem Urteil sind zunächst einmal die rund 5.000 Unternehmen, die sich für ihren grenzüberschreitenden Datenverkehr auf diesen Privacy Shield berufen und entsprechende Verpflichtungen eingegangen sind, sodass sie in eine entsprechende Liste aufgenommen wurden (privacyshield-Liste beim US Handelsministerium). Diese Unternehmen müssen den Datentransfer nun auf andere Grundlagen umstellen.

Auf Standardklausel umzustellen, dürfte nur mittelfristig helfen

In Frage kommen dafür vor allem die sogenannten Standardvertragsklauseln (SVK), die bereits jetzt insbesondere von den großen US-Konzernen wie Microsoft, Google, Facebook oder auch Amazon genutzt werden. Die EuGH-Richter erlaubten diese SVKs zwar explizit, wiesen aber zugleich darauf hin, dass auch diese Klauseln von den jeweils zuständigen Datenschutzbehörden daraufhin überprüft werden müssen, ob durch sie tatsächlich das notwendige Schutzniveau der personenbezogene Daten sichergestellt werden kann.

Und da insbesondere im Fall der USA diese Standardvertragsklauseln im Grunde nichts an den Zugriffsmöglichkeiten durch die US-Behörden ändern, dürften auch diese SVKs letztlich keine einwandfreie Basis für die Übertragung personenbezogener Daten darstellen.

Standardvertragsklauseln: Unsicherheiten nehmen zu

In einem Kommentar zum Urteil äußerte Schrems, für ihn steht auch fest, dass auch die Standardvertragsklauseln nicht mehr von Facebook und anderen US-Unternehmen, die der Überwachung durch US-Behörden unterliegen, genutzt werden können. Die SVKs seien nur noch dann nutzbar, wenn es in den Drittländern kein kollidierendes Recht gebe.

Anders interpretiert man dagegen die Aussagen des EuGH zu den Standardvertragsklauseln bei Facebook, wo man die grundsätzliche Bestätigung der Gültigkeit dieser SVKs durch das Gericht betont, sodass man derzeit keinen Anlass sieht, von der Nutzung dieser Rechtsgrundlage abzuweichen.

Politik sieht Handlungsbedarf

In der Politik sieht man nach dem Urteil Handlungsbedarf. So kündigte die Vizepräsidentin der EU-Kommission, Vera Jourová, an, dass man auf Basis des Urteils neue Verhandlungen mit den US-Kollegen aufnehmen wolle. Ob man an der grundsätzlichen Problematik in Form der weitgehenden Zugriffsrechte der US-Behörden jedoch tatsächlich etwas verändern kann, darf jedoch angezweifelt werden.

Weitere Unsicherheiten könnte das Urteil auch im Hinblick auf Datentransfers auf Basis von SVKs in andere Drittstaaten, wie etwa Großbritannien oder China. Auch hier stelle sich vermehrt die Frage, ob das dortige Schutzniveau tatsächlich demjenigen innerhalb der EU entspreche.

Bitkom warnt vor Daten-Chaos

Besorgt über die Konsequenzen des Urteils zeigten sich Wirtschaftsverbände wie der eco-Verband der Internetwirtschaft oder der Bitkom, wo man in einer Stellungnahme sogar von einem drohenden „Daten-Chaos“ spricht und die EU auffordert, schnell wieder für mehr Rechtssicherheit zu sorgen. Von dem Vorschlag, Daten ausschließlich in Europa zu verarbeiten, hält man hier dagegen wenig, da dies einerseits technisch kaum umsetzbar sei und zudem einen massiven Wettbewerbsnachteil für europäische Unternehmen bedeute.

Datenschützer hängen mit den Standardvertragsklauseln in der Luft und sind auch nicht begeistert

Dass den Unternehmen, die nach wie vor auf Basis der Standardvertragsklauseln Nutzerdaten zu US-Dienstleistern übertragen, auch Bußgelder drohen, bestätigte der baden-württembergische Datenschutzbeauftragte Stefan Brink dem Handelsblatt: 

Derzeit versuche man zwar bei den Aufsichtsbehörden, Auswege aus der „nahezu unlösbaren Situation“ zu finden, wenn dies nicht gelingen sollte, müsse jedoch eigentlich jedes deutsche Unternehmen geprüft und mit einem Bußgeld belegt werden, dass seine Infrastruktur auch auf US-Datenverarbeitungsunternehmen aufgebaut habe.

In diesem Zusammenhang übte der Datenschützer heftige Kritik am EuGH. Zwar sei das Ziel richtig, die EU-Bürger vor dem Ausspionieren durch US-Behörden zu schützen, allerdings sei es ein Irrweg, dies dadurch erreichen zu wollen, indem man Unternehmen aus dem Markt dränge, indem man europäischen Unternehmen den Umgang mit diesen untersage und versuche, dies durch Verbote und Bußgelder durchzusetzen.

Weitere News zum Thema:

Datenschutzbehörden wollen Einwilligungen in Cookies überprüfen

Bürgerrechtler und Datenschützer lehnen Safe-Harbor-Nachfolger ab

Strafen wegen Verstößen gegen die Datenschutzgrundverordnung

Hintergrund: Max Schrems

Der österreichische Datenschutzaktivist Max Schrems, der z. B. Facebook immer wieder wegen seine Datenschutzmängel angreift, hat u.a. eine Organisation auf die Beine gestellt, mit der Datenschutzrechte besser geschützt werden sollen.

Var allem ist Max Schrems durch seine Klagen gegen Facebook bekannt geworden, in deren Folge das Datenschutzabkommen Safe Harbor zwischen der EU und den USA vom EuGH gekippt wurde.

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) haben auch Verbände ein Klagerecht bekommen. Mit dem von ihm mitbegründeten Verein namens Noyb (None of your Business – Geht Dich nichts an) können Ansprüche mehrerer Personen gebündelt werden. Der Verein Noyb (None of your Business) mit Sitz in Wien ging als Crowdfunding-Projekt an den Start, um die erweiterten Rechte und verschärften Sanktionen der Datenschutzgrundverordnung zu nutzen.

FDP-Europaabgeordnete Körner führte aus, es sei traurig, dass es die Klage einer Einzelperson gebraucht habe, um den Misstand vor Gericht zu bringen. Nun sei die EU-Kommission gefordert, mit den USA ein neues Abkommen auszuhandeln.