Internationale Datenschutzvereinbarung Europäischer Gerichtshof kippt umstrittenen "Privacy Shield"

Europäischer Gerichtshof: Entscheidendes Urteil zum Thema Datenschutz
Foto: Arne Immanuel Bänsch / dpaDer Europäische Gerichtshof (EuGH) hat die Datenschutzvereinbarung "Privacy Shield" gekippt, die die USA und die EU getroffen haben. Der "Privacy Shield" legt Standards für den Umgang mit europäischen Informationen in den USA fest. Unmittelbar betroffen sind rund 5000 Firmen . Das Verfahren war aus einem Rechtsstreit des österreichischen Juristen und Aktivisten Max Schrems mit Facebook entstanden.
Das grundsätzliche Ende von Datentransfers in die USA bedeutet das EuGH-Urteil bei Weitem nicht. Unternehmen können Nutzerdaten von EU-Bürgern weiter auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen, entschieden die Luxemburger Richter am Donnerstag. Zugleich wurde aber auch betont, dass Datenschutzbehörden verpflichtet seien, Übermittlungen von Daten auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass die Standardvertragsklauseln im Empfängerland praktisch nicht eingehalten werden oder nicht eingehalten werden können.
Es geht um die Macht der US-Geheimdienste
Das Urteil geht aus einem jahrelangen Rechtsstreit um den Umgang mit personenbezogenen Daten hervor. Max Schrems hatte bei der irischen Datenschutzbehörde ursprünglich beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese Daten dort nicht angemessen gegen US-Überwachungsprogramme gesichert seien. Er begründet dies unter anderem mit Verweis auf die Enthüllungen von Edward Snowden damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI Zugang zu den Daten zu gewähren - ohne dass Betroffene dagegen vorgehen können. Der irische High Court rief angesichts jenes Streits schließlich den EuGH an und wollte wissen, ob die angewandten Regeln mit dem europäischen Datenschutzniveau vereinbar sind.
Die Luxemburger Richter erklärten den "Privacy Shield" nun für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.
Die sogenannten Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind. Der "Privacy Shield" ist ein weiterer Kanal, der für den Datentransfer in die USA zur Verfügung steht.
Schrems gibt sich zufrieden
Max Schrems sagte am Donnerstagvormittag, er sei "sehr froh" über die Entscheidung des Gerichtshofs. Sie sei ein absoluter Rückschlag für Facebook und die irische Datenschutzbehörde. Es sei klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssten, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollten.
Schrems wies außerdem darauf hin, der Gerichtshof habe betont, "dass durch die Aufhebung des Privacy Shield kein 'Rechtsvakuum' entstehe, da unbedingt 'notwendige' Datenübermittlungen weiterhin stattfinden können." Die USA würden nun "einfach in ein den Status eines Landes ohne besonderen Zugang zu EU-Daten zurückversetzt".
Durch eine Klage von Schrems war 2015 bereits das transnationale Safe-Harbor-Abkommen zwischen den USA und der EU für ungültig erklärt worden. Der "Privacy Shield" war als Nachfolgeregelung für das Safe-Harbor-Abkommen ausgehandelt worden und war von Anfang an umstritten. Facebook beruft sich bei der Übertragung der Daten von Europa in die USA auf die Standardvertragsklauseln.