Der Europäische Gerichtshof (EuGH) hat die EU-US-Datenschutzvereinbarung „Privacy Shield“ (Datenschutz-Schild) gekippt. Allerdings können Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden, wie die Luxemburger Richter am Donnerstag entschieden.
In dem Verfahren geht es um den Rechtsstreit des Österreichers Max Schrems gegen Facebook. Nach der Klage des Juristen hatte der EuGH 2015 bereits das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA kassiert. Als Nachfolgeregelung hatte die EU-Kommission mit den US-Behörden schließlich den „Privacy Shield“ ausgehandelt, der nun ebenfalls gekippt wurde.
Die EU-Kommission hatte sich bereits auf das ablehnende Urteil vorbereitet: „Ich habe am Dienstag bereits mit US-Wirtschaftsminister Wilbur Ross darüber gesprochen: Wir müssen uns auf alle Eventualitäten einstellen und eine Antwort bereithalten“, hatte Kommissionsvize Vera Jourová am Mittwoch dem Handelsblatt gesagt.
Die Luxemburger Richter erklärten das „Privacy Shield“ nun in der Tat für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.
Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Das „Privacy Shield“ ist ein weiterer Kanal, der ausschließlich für den Datentransfer in die USA zur Verfügung steht.
Schrems „sehr glücklich“ über das Urteil
Max Schrems hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese dort nicht angemessen gegen Ausspähaktionen gesichert seien. Er begründet das damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI Zugang zu den Daten zu gewähren – ohne dass Betroffene dagegen vorgehen können.
Der irische High Court rief schließlich den EuGH an und wollte wissen, ob Standardvertragsklauseln und Datenschutz-Schild mit dem europäischen Datenschutzniveau vereinbar sind.
Schrems erklärte in einer ersten Reaktion, er sei sehr glücklich über das Urteil. „Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.“
Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des „Privacy Shield“, die Safe-Harbor-Regelung beanstandet, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe.
Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle. Facebook beruft sich allerdings bei der Übertragung der Daten von Europa in die USA nicht auf das „Privacy Shield“, sondern auf die Standardvertragsklauseln.
