Datenschutzabkommen zwischen EU und USA: EuGH kippt Privacy Shield
Die Datenübertragung in die USA wird für Unternehmen in Zukunft schwieriger. Es ist ein Erfolg für den Datenschutzaktivisten Max Schrems.
Auch Google, Apple, Facebook & Co müssen die europäischen Datenschutzregeln einhalten Foto: Jens Kalaene/dpa
FREIBURG taz | Im Verfahren des österreichischen Datenschutz-Aktivisten Max Schrems gegen Facebook hat der Europäische Gerichtshof (EuGH) das EU-US-Datenschutz-Abkommen „Privacy Shield“ gekippt (Az.: C-311/18). Auf dieser Grundlage dürfen Unternehmen nun keine Daten mehr in die USA transferieren. Auch bei den alternativ genutzten Standardvertragsklauseln wird es schwierig. Max Schrems will verhindern, dass seine Facebook-Daten in den USA gespeichert werden, weil dort die Geheimdienste auf Daten von Ausländern relativ unbeschränkt zugreifen können.
Die Übertragung europäischer Daten an US-Firmen war bis 2015 durch das Safe-Harbour-Abkommen der EU mit den USA geregelt. Dort wurden Anforderungen definiert, die US-Stellen einhalten müssen, damit sie das europäische Datenschutzniveau einhalten. Auf Klage von Schrems erklärte der EuGH im Oktober 2015 den Safe-Harbour-Beschluss der EU-Kommission für nichtig. Hauptkritik des EuGH: Die EU-Kommission habe den fast grenzenlosen Zugriff der US-Sicherheitsbehörden ignoriert.
In der Folge vereinbarte die EU-Kommission mit den USA neue Regeln, den Privacy Shield (Datenschutzschild). Darin sagte die USA zu, auf die anlasslose Massenüberwachung von Europäern zu verzichten – ohne jedoch die US-Gesetze entsprechend zu ändern. Nun hat der EuGH auch den Privacy Shield beanstandet. Er gewähre kein gleichwertiges Schutzniveau wie in der EU. Die US-Überwachungsprogramme seien „nicht auf das zwingend erforderliche Maß beschränkt“. EU-Bürger hätten auch keine sichere Möglichkeit, in den USA ihre Rechte durchzusetzen. Ein dafür neu geschaffener Ombudsmann sei weder wirklich unabhängig, noch könne er gegenüber US-Geheimdiensten verbindliche Anordnungen aussprechen.
Facebook kann gar nicht zusichern, dass es in den USA keiner nachteiligen Rechtslage unterliegt
Die Kritik am Privacy Shield war von Beginn an groß. Viele Unternehmen haben daher bei Datenübertragungen in die USA gar nicht auf den Privacy Shield vertraut, sondern auf sogenannte Standardvertragsklauseln, die die EU-Kommission 2010 beschlossen hat. Nach Angaben der EU-Kommission ist dies heute in der Praxis der häufigste Weg, mit dem US-Datenschutzproblem umzugehen. Diese zwölf Klauseln können in Verträge integriert werden, wenn eine Datenübertragung ins Nicht-EU-Ausland geregelt wird. Der dortige Vertragspartner muss zum Beispiel versprechen, dass er keinen Gesetzen unterliegt, die sich nachteilig auf die Einhaltung des Datenschutzes auswirken.
Auch Facebook nutzt inzwischen die Standardvertragsklauseln. Max Schrems hatte deshalb die für Facebook zuständige irische Datenschutzbeauftragte Helen Dixon aufgefordert einzuschreiten. Denn Facebook könne gar nicht zusichern, dass es in den USA keiner nachteiligen Rechtslage unterliegt.
Aufgrund einer Vorlage des irischen High Court hat der EuGH nun entschieden, dass die Standard-Vertragsklauseln an sich nicht gegen EU-Recht verstoßen. Denn die jeweils zuständigen Datenschutzbeauftragten seien verpflichtet, die Datenübertragung zu stoppen, wenn die vertraglichen Versprechen nicht eingehalten werden können. Max Schrems sieht nun Helen Dixon am Zug, diese könne sich jetzt nicht mehr vor ihrer Aufgabe drücken. Allerdings hat die EU-Kommission sogleich angekündigt, dass sie neue Verhandlungen mit den USA aufnehmen will.
