EuGH kippt Datenschutzabkommen Was das Ende des "Privacy Shield" bedeutet

Der Europäische Gerichtshof hat einen wichtigen Datenpakt zwischen den USA und Europa gekippt. Was sind die Folgen für Firmen und Internetnutzer?
Serverschrank mit Netzwerkkabeln: Der "Privacy Shield" ist vom EuGH gekippt worden

Serverschrank mit Netzwerkkabeln: Der "Privacy Shield" ist vom EuGH gekippt worden

Foto: Julian Stratenschulte/ DPA

Ein vermeintlicher Datenschutzschild zerbricht: Die am Donnerstag verkündete Entscheidung des Europäischen Gerichtshofs (EuGH), das umstrittene transatlantische Datenschutzabkommen "Privacy Shield" für ungültig zu erklären, sorgt in der Politik und Wirtschaft für Wirbel.

Nach dem Safe-Harbor-Abkommen, das der EuGH 2015 gestoppt hat, ist der "Privacy Shield" schon die zweite Vereinbarung zwischen den USA und der EU, die vor dem Hintergrund der durch Edward Snowden bekannt gemachten Überwachungspraktiken der US-Geheimdienste scheitert. Der "Privacy Shield" war von Anfang an umstritten, jetzt erklärte der EuGH das Abkommen für ungültig.

  • Der SPD-Europapolitiker Tiemo Wölken schrieb auf Twitter von einer "heftigen Klatsche für die EU-Kommission" und einem "riesigen Sieg für digitale Grundrechte in der EU".

  • "US-Internetunternehmen sind jetzt gezwungen, die ausufernde Überwachung ihrer europäischen Kunden durch die US-Behörden einzuschränken und Druck auf die dortigen Gesetzgeber zu machen", kommentierte der Grünenpolitiker Jan Philipp Albrecht, der eine treibende Kraft hinter der Datenschutzgrundverordnung (DSGVO) der EU war.

  • Und der Aktivist und Jurist Max Schrems, der den Rechtsstreit um die Datentransfers vor Jahren ins Rollen gebracht hatte, jubelte, der EuGH habe "nun zum zweiten Mal klargestellt, dass es einen Konflikt von EU-Datenschutzrecht und US-Überwachungsrecht" gebe. Auf Schrems' Einsatz für Bürgerrechte war zuvor schon das EuGH-Urteil zum Safe-Harbor-Abkommen zurückgegangen. Der Österreicher sagte nun: "Da die EU ihre Grundrechte nicht ändern wird, um die NSA zufriedenzustellen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen - auch für Ausländer – einführen."

Aktivist Max Schrems: Vorkämpfer für Bürgerrechte

Aktivist Max Schrems: Vorkämpfer für Bürgerrechte

Foto: Hans Punz/ DPA
  • Alexander Rabe, der Chef des Digitalverbands eco, verwies derweil auf "fatale Folgen für die Internetwirtschaft und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks, die auf den Austausch von personenbezogenen Daten angewiesen sind". Ohne "Privacy Shield" gebe es nun "praktisch kaum noch Alternativen, Daten unkompliziert und rechtssicher aus der EU in die USA zu übertragen".

  • Und Susanne Dehmel, Mitglied der Geschäftsleitung beim Verband Bitkom, betonte, mit dem Urteil gerate auch die bis dato gültige Praxis der sogenannten Standardvertragsklauseln "ins Wanken". Für Unternehmen mit einer Datenverarbeitung in den USA entstehe durch das Urteil "massive Rechtsunsicherheit".

Das Aus für das Abkommen zwischen den USA und Europa führt also zu ganz unterschiedlichen Reaktionen, von Freude bis Sorge. Doch was ändert die Entscheidung nun wirklich? Hier sind die wichtigsten Fragen und Antworten zum Thema:

Wie kam es zu dem Urteil?

Es ist das Ergebnis eines jahrelangen, länderübergreifend viel beachteten Rechtsstreits, der sich zunächst um Facebook und dessen Datenübertragung von Irland in die USA gedreht hatte. Ursprünglich hatte Max Schrems die irische Datenschutzbehörde aufgefordert, die Datentransfers in gewissen Fällen zu unterbinden. Er begründete dies damit, dass die Datenschutzbestimmungen in den USA im Vergleich zur EU weit weniger restriktiv sind. Facebook sei in den USA verpflichtet, die Daten auch Behörden wie dem FBI oder der NSA zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen können.

Die irische Datenschutzbehörde wandte sich zum Thema später an das höchste irische Gericht, das wiederum den Fall dem EuGH vorlegte.

Welche Unternehmen betrifft die Entscheidung?

Unmittelbar betroffen sind rund 5000 Unternehmen , die sich bei ihren Datenübertragungen in die USA auf den "Privacy Shield" berufen. Zum Teil geht es den Firmen darum, dass sie Daten zwischen mehreren Standorten austauschen können. Haben sie sich bisher nur auf den "Privacy Shield" verlassen, werden sich jene Unternehmen nun nach einer alternativen Grundlage für ihre Datenübertragungen umschauen oder diese einstellen müssen.

Vom Handelsministerium der USA hieß es Donnerstag, man sei "zutiefst enttäuscht", dass der EuGH den "Angemessenheitsbeschluss" der EU-Kommission, die dem Datenschutzschild zugrunde liegt, offenbar für ungültig erklärt habe. Man untersuche die Entscheidung noch, "um ihre praktischen Auswirkungen vollständig zu verstehen".

Dürfen jetzt keine Daten mehr in die USA übertragen werden?

Wichtig zu wissen ist, dass sich der Streit um personenbezogene Daten dreht. Hier sorgt das Ende des "Privacy Shield" für Handlungsbedarf bei betroffenen Unternehmen. Mancher Transfer von Nutzerdaten lässt sich aber auch mit Artikel 49 der Datenschutz-Grundverordnung (DSGVO) rechtfertigen - in bestimmten Fällen ist die Weiterleitung also auch künftig möglich. Ebenfalls nicht betroffen sind freiwillige Datenübertragungen von Nutzern, beispielsweise wenn EU-Bürger eine Hotelübernachtung auf einer US-Website buchen oder E-Mails ins Ausland senden.

Im Zuge des EuGH-Urteils stehen zudem die sogenannten Standardvertragsklauseln im Blickpunkt, auf derer Basis ebenfalls Daten in die USA und auch andere Staaten übertragen werden. Prinzipiell können Unternehmen zwar weiter auf diese Klauseln setzen, entschieden die Luxemburger Richter . Datenschutzbehörden seien aber verpflichtet, Übermittlungen von Daten auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass jene Klauseln im Empfängerland praktisch nicht eingehalten werden oder nicht eingehalten werden können. Es hängt also vom Einzelfall ab, ob das Datenschutzniveau im Empfängerland gesichert ist und Unternehmen die Klauseln wirklich für sich nutzen können.

Mit Blick auf die USA und große Tech-Firmen wie Facebook und Microsoft schreibt Max Schrems' Bürgerrechtsorganisation noyb dazu, der EuGH habe aus ihrer Sicht klargestellt, dass Datenübertragungen auch im Fall der Klauseln eingestellt werden müssten, wenn ein Unternehmen unter amerikanische Überwachungsgesetze falle. Dies treffe "für praktisch alle IT-Unternehmen" zu.

Eva Nagle dagegen, Associate General Counsel bei Facebook, betont in einer Stellungnahme, das Urteil habe die Gültigkeit der Standardvertragsklauseln, die "Facebook und Tausende Unternehmen in Europa" nutzten, bestätigt. Wie viele Unternehmen prüfe man nun "sorgfältig die Ergebnisse und Auswirkungen der Entscheidung" des EuGH in Bezug auf den "Privacy Shield" und freue sich auf regulatorische Leitlinien dazu.

Von Microsoft heißt es, die Möglichkeit des Unternehmens, Daten zwischen der EU und den USA zu transferieren, werde durch das Urteil nicht verändert. Man werde sich mit der EU-Kommission und der US-Regierung zum Thema austauschen.

Wie geht es nun politisch weiter?

Nach dem Aus für das Safe-Harbor-Abkommen brachte die Politik den "Privacy Shield" an den Start - trotz großer und, wie sich jetzt zeigte, berechtigter Skepsis, dass die neue Vereinbarung ähnliche Schwächen mitbringt wie die alte. Ein neues, standfesteres Abkommen zwischen der EU und den USA müsste nun proeuropäische Reformen bei den US-Überwachungsprogrammen voraussetzen. Dass die USA sich darauf einlassen, gilt als derzeit eher unwahrscheinlich.

Zugleich steht es aber außer Frage, dass die USA wie die EU aus wirtschaftlichen Gründen daran interessiert sind, dass Datentransfers auch in Zukunft unkompliziert möglich sind. So sagte US-Handelsminister Wilbur Ross, die USA hofften, "in der Lage zu sein, die negativen Konsequenzen auf die 7,1 Billionen Dollar schweren transatlantischen Wirtschaftsbeziehungen zu begrenzen, die so wichtig für unsere jeweiligen Bürger, Unternehmen und Regierungen sind".

Auch Věra Jourová, Vizepräsidentin der EU-Kommission, sagte, man werde auf Grundlage des Urteils "eng mit unseren amerikanischen Kollegen zusammenarbeiten". Eine Priorität der Brüsseler Behörde sei, den Schutz personenbezogener Daten beim transatlantischen Datenverkehr zu garantieren. Nach Angaben der EU-Kommission sind bereits für Freitag Kontakte zu US-Handelsminister Ross geplant. Auf ein mögliches Aus für das Abkommen hatte sich die Kommission bereits vorbereitet .

Was bedeutet die Entscheidung für Internetnutzer?

Der Bundesdatenschutzbeauftragte Ulrich Kelber erwartet eine Stärkung der Grundrechte der EU-Bürger. "Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden", sagte Kelber, der Gespräche mit seinen europäischen Kollegen über das künftige Vorgehen ankündigt. Der EuGH habe die Rolle der Datenschutzaufsichtsbehörden "bestätigt und gestärkt". Diese müssten jetzt bei jeder einzelnen Datenverarbeitung prüfen, ob die Anforderungen des EuGH erfüllt seien. "Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt sind", so Kelber.

Bundesjustizministerin Christine Lambrecht mahnte Unternehmen an, Daten europäischer Bürger auf europäischen Servern zu speichern. "Denn Kontrolle über die eigenen Daten, Aufsicht durch unabhängige Datenschutzbehörden und wirksamer Rechtsschutz vor Gerichten ist essenzieller Teil des Grundrechtsschutzes", sagte Lambrecht. Die EU müsse "Vorreiter bleiben für eine digitale Welt, die die Bürgerrechte achtet".

mit Material von dpa, AFP und Reuters