Rechte von Internet-Nutzer:innen in der EU: Entscheidung über Datenweitergabe

Der Europäische ­Gerichtshof entscheidet am Donnerstag, wann Daten von EU-Nutzer:innen exportiert werden dürfen. Die wichtigsten Fragen und Antworten.

In indischen Call-Centern (vor Corona) landen so manche Daten aus der EU Foto: Johann Rousselot/laif

1. Worum geht es?

Der Europäische ­Gerichtshof entscheidet am Donnerstag, ob persönliche Daten von Nutze­r:in­nen aus der EU in andere Länder übermittelt werden dürfen. Das ist ständig der Fall: Zum Beispiel, wenn der europäische Facebook-Ableger die Daten hiesiger Nutzer an den US-Mutterkonzern übermittelt. Wenn ein europäischer Onlineshop einen kanadischen E-Mail-Dienstleister nutzt. Oder wenn ein Unternehmen seine Hotline für Kundenanfragen nach Indien ausgelagert hat.

2. Wie soll das geregelt werden?

Es geht um zwei Regelungen: das EU-US Privacy Shield und Standardvertragsklauseln. Das EU-US Privacy Shield ist eine Vereinbarung zwischen der EU-Kommission und der US-Regierung, die Unternehmen die Weitergabe persönlicher Daten in die USA erlaubt. Die Vereinbarung gibt es seit 2016. Kri­ti­ke­r:in­nen weisen darauf hin, dass Nut­ze­r:in­nen praktisch keine rechtliche Handhabe haben, wenn sie ihre Daten missbraucht sehen.

Die Standardvertragsklauseln gibt es hingegen schon seit 2010. Damit sichert der Datenimporteur zu, dass er auf ausreichenden Datenschutz in dem Land achten wird, in das die Daten importiert werden. Faktisch kann das allerdings ein ziemlich gewagtes Versprechen sein. Schließlich kommt es nicht nur auf die Rechtslage in dem Land an, in dem die Daten landen, sondern auch darauf, ob sich alle Beteiligten – etwa Geheimdienste – an diese Vereinbarung halten.

3. Warum ist das wichtig?

Weil die Übermittlung von Daten in nicht-EU-Länder eher die Regel ist als die Ausnahme. Für Nut­ze­r:in­nen ist das allerdings nicht unbedingt sichtbar. Wer sieht etwa beim Besuch einer Website, in welchem Land der Server steht? Wer nimmt wahr, dass beim Verwenden eines Online-Formulars die Daten über einen Drittanbieter aus den USA verschickt werden? Wer weiß, ob sich das Callcenter, in dem man gerade anruft, in Irland, Großbritannien oder Australien befindet?

Im Kern geht es also um die Frage: Wie sicher sind die Daten von Nutzer:innen in Nicht-EU-Ländern? Sind sie dort mindestens genauso geschützt wie auf einem Server innerhalb der EU? Nur dann dürfen sie dorthin übertragen werden. Gerade in Bezug auf die USA gibt es daran erhebliche Zweifel: So haben US-Geheimdienste viele Rechte, die den Zugriff auf Daten erlauben. Zudem sind in den USA ansässige Unternehmen – wie Apple, Microsoft und Google – zur Herausgabe von Daten verpflichtet. Es geht also auch darum, welche Möglichkeiten Nut­ze­r:in­nen haben müssen, um sich gegen mutmaßlichen Daten­miss­brauch zu wehren.

5. Wie kommt es überhaupt dazu, dass sich jetzt der EuGH damit beschäftigt?

Angefangen hat das Verfahren mit einer Beschwerde des österreichischen Datenschutzaktivisten und Juristen Max Schrems. Der stellt sich, noch während seines Studiums, die Frage: Was weiß eigentlich Facebook über mich? Er schickt ein Auskunftsersuchen an das US-Unternehmen – und bekommt als Antwort eine CD-ROM. Darauf: 1.200 Seiten mit persönlichen Daten. Darunter auch solche, die er längst gelöscht hatte.

Als etwas später der Whistleblower Edward Snowden die umfangreichen Überwachungsprogramme der USA enthüllt, will Schrems, dass Facebook keine persönlichen Daten mehr in die USA übermittelt. Er wendet sich 2013 an die für Facebook in Europa zuständige irische Datenschutzaufsicht. Die lehnt seine Beschwerde jedoch als „belanglos“ ab mit Verweis auf die Safe-Harbor-Regelung der EU-Kommission. Safe Harbor erlaubte es damals Unternehmen, persönliche Daten von Nut­ze­r:in­nen aus der EU in die USA zu übermitteln. Schrems klagt dagegen, der irische High Court schaltet den EuGH ein – und der kippt 2015 schlussendlich Safe Harbor. Ein Coup.

Damit dadurch das System der transatlantischen Datentransfers nicht zusammenbricht, zimmern die EU-Kommission und die damalige US-Regierung unter Barack Obama in aller Eile eine neue Vereinbarung: das Privacy Shield. Die US-Regierung, so die damalige Aussage des zuständigen EU-Kommissars, habe zugesichert, dass es keine Überwachung europäischer Nut­ze­r:in­nen durch US-Geheimdienste geben werde. Allerdings: Gesetze werden auf US-Seite keine geändert. Die rechtliche Grundlage ändert sich also nicht. Die USA setzen lediglich eine Ombudsperson ein, an die sich Nut­ze­r:in­nen mit Beschwerden wenden können.

„Das massenhafte Sammeln von Daten europäischer Nutzer bleibt unter der neuen Vereinbarung möglich“, kritisiert daraufhin die Bürgerrechtsorganisation Access Now. Schrems bezeichnet das Privacy Shield als „minimal behübschte Version des illegalen Safe Harbor“. 2015 fordert er die irische Datenschutzaufsichtsbehörde daher abermals auf, Facebook die Datenübermittlung in die USA zu untersagen. Die weigert sich erneut, und der Fall landet vor dem EuGH, der nun die grundsätzlichen Fragen klären soll.

6. Was sagt der EU-General­anwalt?

Vor einem Urteil des EuGH legt immer ein:e EU-Generanwält:in eine Empfehlung vor, an das die Rich­te­r:in­nen allerdings nicht gebunden sind. Generalanwalt Henrik Saugmandsgaard Øe sagte im Dezember kurzgefasst: Jein. So äußerte er einerseits Zweifel daran, dass die Daten europäischer Facebook-Nutze­r:in­nen in den USA sicher sind. Eine Ombudsperson reiche nicht aus, um die Rechte europäischer Nut­ze­r:in­nen zu sichern.

In Sachen Datensicherheit und Privacy Shield klang das Votum also eher nach einem Nein. Zum Thema Standardvertagsklauseln sagte er allerdings Ja: Dort sei vorgesehen, dass der Datenexporteur – oder gegebenenfalls die nationale Datenschutzbehörde – den Datentransfer stoppen müsse, wenn der zugesagte Datenschutz im Zielland nicht mehr gewährleistet ist.

7. Was passiert, wenn das ­Privacy Shield gekippt würde?

Das wäre eine ordentliche Niederlage für die EU-Kommission, die gehofft hatte, mit einem schnellen Safe-Harbor-Nachfolger das Problem gelöst zu haben. Für die Wirtschaft wäre es verschmerzbar – sie müsste zwar ein paar Klauseln ändern, doch grundsätzlich könnte sie Datenübermittlungen auf Basis der Standardvertragsklauseln weiterführen. Für Nut­ze­r:in­nen bliebe es also im Wesentlichen wie bisher.

Die EU-Kommission jedenfalls bereitet sich auf ein Scheitern des Privacy Shields vor. Das zeigt die Antwort auf eine Anfrage des Europaabgeordneten Moritz Körner (FDP) vom Mai. Man sei in Gesprächen unter anderem mit der US-Regierung und arbeite an „alternativen Instrumenten“ für Datentransfers in die USA.

8. Was passiert, wenn das ­Privacy Shield und die Standardvertragsklauseln gekippt werden?

Das würde die Unternehmen, die Daten europäischer Nut­ze­r:in­nen in andere Länder übermitteln, vor große Probleme stellen. Zwar wäre die Datenübermittlung damit nicht ausgeschlossen, schließlich gibt es noch andere Möglichkeiten, sie legal zu abzuwickeln. Zum Beispiel mit individuellen Verträgen oder mit Binding Corporate Rules. Das sind verbindliche ­interne Datenschutzvorschriften von Unternehmen, die von den Datenschutzaufsichtsbehörden genehmigt werden müssen. Doch diese Vorschriften auszuarbeiten und genehmigen zu lassen kann schon einmal ein, zwei Jahre dauern – und ist damit deutlich komplizierter und zeitaufwändiger für die Unternehmen. Und auch teurer.

Der EuGH hätte zwar die Möglichkeit, ein Moratorium zu definieren, also eine Übergangszeit, in der die alten Regeln noch verwendet werden dürfen. Doch mehrere Jahre wären dafür etwas lang. In der Zwischenzeit müssten Unternehmen, die sich auf die gekippten Regeln berufen, mit Klagen von Verbraucherschützer:innen oder Betroffenen rechnen, ebenso wie mit Bußgeldern von den Aufsichtsbehörden.

Für die Zukunft gäbe daher zwei Möglichkeiten: Entweder die Unternehmen exportieren die Daten ohne verlässliche Rechtsgrundlage, mit entsprechenden juristischen Risiken. Oder, und das wäre für die Nut­ze­r:in­nen in den meisten Fällen die bessere Lösung: Persönliche Daten von Menschen aus der EU bleiben auch in der EU. Das würde allerdings bedeuten, dass die Unternehmen ihre technischen und organisatorischen Strukturen umstellen müssten.

Dazu käme: Wenn der EuGH sich nicht gegenteilig äußert, gelten die aktuellen Regeln schon rückwirkend nicht mehr. Zusätzlich zu Unterlassungsansprüchen und Bußgeldern könnten Betroffene dann versuchen, Schmerzensgeld einzuklagen.