- Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung «Privacy Shield» gekippt.
- Allerdings können Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden, wie die Luxemburger Richter entschieden.
- Der österreichische Aktivist Max Schrems hatte vor dem irischen Datenschutzbeauftragten beanstandet, dass Facebook seine persönlichen Daten von der Europa-Zentrale in Irland in die USA übermittle.
- Dort sei Facebook nämlich verpflichtet, die Daten den US-Behörden zugänglich zu machen, darunter der NSA und dem FBI.
Es ist ein Grundsatzentscheid: Dürfen Nutzerdaten von EU-Bürgern weiterhin auf Basis der Datenschutzvereinbarung zwischen der EU und den USA, dem «Privacy Shield», übermittelt werden? Der Europäische Gerichtshof kippt diese Vereinbarung.
Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa – und gegen Facebook. Nach den ersten Anfragen bei Facebook und der irischen Datenschutzbehörde seien die Antworten so surreal gewesen, dass er immer habe weitermachen müssen, sagt er. Auf sein Betreiben kippte der EuGH 2015 bereits die Safe-Harbor-Regelung. Als Nachfolgeregelung hatte die EU-Kommission mit den US-Behörden schliesslich den Datenschutz-Schild ausgehandelt, der nun erneut infrage steht. Er gründete auch den Datenschutz-Verein Noyb, der auf Grundlage der seit 2018 gültigen EU-Datenschutzgrundverordnung bereits Anzeigen gegen Google und Facebook auf den Weg brachte.
Die Richter störten sich an den weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf die Daten der Europäer. Der Europäische Gerichtshof folgte den Bedenken Schrems' nun weitgehend – und löste mit seinem Urteil ein Erdbeben aus. Die amerikanische Überwachungspraxis sei nicht auf das zwingend erforderliche Mass begrenzt, betonten die Richter. Zudem könnten Betroffene ihre vorgesehenen Rechte nicht gerichtlich durchsetzen.
Datenschützer sollen eingreifen und diese Austauschmechanismen aufgeben, sollten sie die Daten nicht angemessen schützen, meint das Gericht dazu.
Derzeit geschieht der Datenaustausch meist auf Grundlage der Standardvertragsklauseln. Hunderttausende Firmen in verschiedensten Branchen nutzen diese Klauseln, um europäische Daten um die Welt zu senden. Hätte das Gericht diese Klauseln für ungültig erklärt, hätten diese Firmen den Datenaustausch umgehend anhalten müssen. Alternativen sind sowohl teuer als auch komplex.
Allerdings schränkten die Richter ein: Die nationalen Aufsichtsbehörden der EU-Staaten müssten die Datenübermittlung dann stoppen, wenn das EU-Datenschutzniveau im jeweiligen Drittstaat nicht gesichert ist. Bei dieser Beurteilung spiele auch ein etwaiger Zugriff der Behörden des Drittstaats auf die Daten eine Rolle.
Druck auf irische Behörde wächst
Im konkreten Streit zwischen Schrems und Facebook heisst das, dass die irische Datenschutzbehörde DPC eingreifen müsste. Diese schritt in der Vergangenheit allerdings eher zurückhaltend gegen US-Konzerne ein. Der Druck auf die Behörde wächst mit dem Urteil.
«Der Gerichtshof sagt der irischen DPC nicht nur, dass sie nach sieben Jahren Untätigkeit ihre Arbeit tun soll, sondern auch, dass alle europäischen Datenschutzbehörden die Pflicht haben, Massnahmen zu ergreifen und nicht einfach wegschauen dürfen», sagte Schrems nach dem Urteil. Dies sei ein grundlegender Wandel, der weit über den Datentransfer zwischen der EU und den USA hinausgehe.
