EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"

Dürfen Unternehmen weiterhin personenbezogene Daten von Nutzern, Verbrauchern oder Arbeitnehmern in die USA senden? Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung "Privacy Shield" gekippt. Damit ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal.

Allerdings können Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden, wie die Luxemburger Richter entschieden.

Ins Rollen gebracht wurde der Fall durch den österreichischen Datenschutzaktivisten Max Schrems, nach dessen Klage der Europäische Gerichtshof 2015 bereits das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA kassiert hatte.

Das Urteil könnte gravierende Folgen für die globale Wirtschaft haben. E-Mails oder Hotel-Buchungen von Privatpersonen dürften von dem Urteil nicht betroffen sein. Im Fokus stehen "Electronic Communication Service Provider", also Service-Anbieter wie Facebook, Google, Microsoft, Apple und Yahoo.

Übertragen Unternehmen nun weiter unter den Privacy-Shield-Regeln Daten, könnte es Bußgelder nach der Datenschutzgrundverordnung (DSGVO) geben. Welche Alternativlösungen es für internationale Datentransfers gibt, ist noch völlig unklar. Die EU-Kommission müsste möglichst schnell Alternativen ausarbeiten. Wie es aus der Brüsseler Behörde heißt, ist man dort auf verschiedene Szenarien vorbereitet.

Derzeit geschieht der Datenaustausch meist auf Grundlage sogenannter Standardvertragsklauseln, die im Kern Garantien dafür bieten, dass es bei der Übermittlung ins Ausland angemessenen Schutz für die Daten von EU-Bürgern gibt. In einigen Fällen legt auch der EU-US- Datenschutz-Schild ("Privacy Shield") Standards für den Umgang mit europäischen Informationen in den USA fest. Die Standardvertragsklauseln sind aber gebräuchlicher. Datenschützer Schrems hatte es vor allem auf Facebook abgesehen.

Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa - und gegen Facebook. Nach den ersten Anfragen bei Facebook und der irischen Datenschutzbehörde seien die Antworten so surreal gewesen, dass er immer habe weitermachen müssen, sagt er.

Auf sein Betreiben kippte der EuGH 2015 bereits die Safe-Harbor-Regelung. Als Nachfolgeregelung hatte die EU-Kommission mit den US-Behörden schließlich den Datenschutz-Schild ausgehandelt, der nun erneut infrage steht. Er gründete auch den Datenschutz-Verein Noyb, der auf Grundlage der seit 2018 gültigen EU-Datenschutzgrundverordnung bereits Anzeigen gegen Google und Facebook auf den Weg brachte.

Schrems hat bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese dort nicht angemessen gegen Ausspähaktionen gesichert seien. Er begründet das damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI Zugang zu den Daten zu gewähren - ohne dass Betroffene dagegen vorgehen können.

Der irische High Court rief schließlich den EuGH an und wollte wissen, ob Standardvertragsklauseln und Datenschutz-Schild mit dem europäischen Datenschutzniveau vereinbar sind.

Schrems orientiert sich an den Enthüllungen von Edward Snowden. Der US-Whistleblower hatte 2013 dokumentiert, dass US-Geheimdienste wie die NSA und andere Behörden auf Server von US-Konzernen wie Facebook und Google zugreifen können.

Auf den von Snowden enthüllten Folien werden namentlich Microsoft (auch mit Skype), Google (auch mit Youtube), Facebook, Yahoo, Apple, AOL und Paltalk erwähnt. Amazon steht nicht auf den Folien zum Überwachungsprogramm Prism.

Der Bundesverband Digitale Wirtschaft (BVDW) hat das Urteil scharf kritisiert. "Der Wegfall des EU-US Privacy Shields hat erneut erhebliche Auswirkungen auf die Digitalwirtschaft in Gänze und belastet insbesondere auch kleine und mittelständische EU-Unternehmen", sagt BVDW-Vizepräsident Thomas Duhr (IP Deutschland).

Der BVDW begrüßt zwar, dass der EuGH die Rechtmäßigkeit von Datentransfers auf der Basis von Standardvertragsklauseln weiterhin erlaubt, wodurch grundsätzlich Nutzerdaten von EU-Bürgern in andere Staaten übertragbar bleiben, "Unternehmen benötigen aber auch in dynamischen Märkten wie der Digitalwirtschaft dauerhafte und langfristig stabile rechtliche Rahmenvorgaben. Wir können nicht alle fünf Jahre bei null anfangen", so Duhr.

Weiter: "Die Privatwirtschaft darf hier nicht zum Spielball gemacht werden. Zwar sind die ebenfalls marktüblichen Standardvertragsklauseln weiterhin gültig. Aber der Wirtschaft wird immer wieder die Grundlage für nachhaltige Entwicklung im Sinne des Gemeinwohls durch den Wegfall von stabilen und dauerhaft gültigen Regelungen entzogen."