FILE PHOTO: Austrian lawyer and privacy activist Schrems displays his Facebook account's updated terms page during a Reuters interview in Vienna

© REUTERS / Heinz-Peter Bader

Netzpolitik
07/16/2020

Datenübermittlung in die USA: EuGH kippt Privacy Shield

Der EuGH hat am Donnerstag überraschend das EU-Datentransferabkommen Privacy Shield für ungültig erklärt.

von Barbara Wimmer

Das 2016 eingeführte Abkommen Privacy Shield, das Datentransfers zwischen der EU und den USA regelt, wurde mit dem Urteil vom EuGH gekippt. Damit bricht mit einem Schlag die gesetzliche Basis weg, aufgrund derer rund 5000 US-Firmen Daten von Europa in die USA übertragen. Das wird große Auswirkungen auf viele Unternehmen in der EU haben, die auf Privacy Shield vertraut haben.

In dem Verfahren vor dem EuGH geht es allerdings nicht um Daten wie e-Mails, sondern um Daten, die Serviceanbieter wie Facebook, Google, Microsoft, Apple und Yahoo, sammeln und speichern. Der strenge europäische Datenschutz erlaubt den Transfer von Daten in ein Nicht-EU-Land nur, wenn die Daten dort ebenfalls gut "adäquat" geschützt sind.

Die Übermittlung von personenbezogenen Daten, etwa über Facebook, entspreche nicht den Anforderungen des Unionsrechts, erklärte der EuGH in seinem Urteil. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.

Überwachung in den USA

Das Verfahren war ausgelöst worden, weil der österreichische Datenschützer Max Schrems eine Beschwerde eingereicht und hinterfragt hatte, ob die Daten von Europäern bei der Übertragung in die USA überhaupt adäquat geschützt sein können - schließlich sind seit Edward Snowden Überwachungsgesetze bekannt.

Der Streit betrifft nun die Rechtsgrundlage dafür. Hier gibt es laut Max Schrems einen „Clash“ bei den Gesetzen. „Geheimdienste in den USA können Daten von Menschen erhalten, die nichts falsch gemacht haben. Wir wissen von den Enthüllungen von Edward Snowden von Überwachungsprogrammen, die zehn Jahre im Einsatz sind. Jetzt gibt es sicher noch viele mehr, von denen wir nichts wissen, die in den USA zum Einsatz kommen“, so Schrems, der sich über das Urteil in einer ersten Reaktion sehr erfreut zeigt: "Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es sieht so aus, als müsse sich in den USA bei den Überwachungsgesetzen etwas grundlegend ändern, wenn sie weiterhin mit Europa Geschäfte machen möchten."

Überraschendes Urteil

Die Entscheidung des EuGH kam überraschend, weil der Richter nicht den Empfehlungen des Generalanwalts gefolgt war. Der Generalanwalt hatte in seiner Stellungnahme Privacy Shield nicht angesprochen, sondern nur die Standardvertragsklauseln (SSC) für gültig erklärt. Dies sieht auch der Richter, der das Urteil gesprochen hat, so. Auf Basis sogenannter Standardvertragsklauseln (SSC) können Nutzerdaten von EU-Bürgern weiterhin in die USA und andere Staaten übertragen werden, sofern diese Unternehmen nicht unter US-Überwachungsgesetze wie FISA fallen. Was das Aus von Privacy Shield für Unternehmen bedeutet, könnt ihr hier nachlesen.

Facebook hat in Irland seinen Europasitz, weshalb die Datenschutzbehörde in Irland für den Fall zuständig war. Der irische Datenschutzbeauftragte hat sich an den irischen High Court gewandt, damit dieser vor dem Europäischen Gerichtshof die Rechtmäßigkeit der Datenübermittlung kläre.

„Die Debatte wird sicher auch nach diesem Urteil weitergehen. Wir dürfen uns bei der Diskussion aber nicht nur auf Europa konzentrieren, sondern müssen auch die USA ins Blicklicht setzen und die dortigen Überwachungsgesetze. Die USA will auch nicht, dass ihre Daten nach China übertragen werden ohne Schutz. Das ist mit unseren Daten das Gleiche, deshalb braucht es einen besseren Schutz der Daten von Europäern in den USA“, sagt Schrems.

Die Hintergründe zum Fall

Schrems beanstandete vor dem irischen Datenschutzbeauftragten die Übermittlung seiner personenbezogenen Daten durch "Facebook Ireland" an Facebook in den USA. Der Datenschutzbeauftragte solle alle Datenübermittlungen zwischen den beiden Unternehmen aussetzen, so seine Empfehlung. Facebook ist nämlich verpflichtet, die übermittelten Daten US-Behörden wie der NSA und dem FBI zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen könnten. Facebook sieht dies freilich anders.

Facebook machte geltend, dass das EU-Recht nicht für die Verarbeitung personenbezogener Daten für Zwecke der nationalen Sicherheit gelte, unabhängig davon, ob die Verarbeitung in der EU oder in den USA stattfinde. Der irische Datenschutzbeauftragte hat sich an den irischen High Court gewandt, damit dieser vor dem Europäischen Gerichtshof die Rechtmäßigkeit der Datenübermittlung kläre.

Safe Harbor gekippt

Schrems hatte bereits einmal erfolgreich gegen die Weitergabe seiner persönlichen Facebook-Daten in die USA vor dem EuGH geklagt. Im Oktober 2015 kippte der EU-Gerichtshof das "Safe Harbor"-Abkommen wegen der Massenüberwachung durch US-Geheimdienste, das bis dahin den unkomplizierten Datenaustausch der Europäer mit den USA regelte. Die EU-Kommission hat daraufhin 2016 ein neues Datenaustauschabkommen - das "Privacy Shield" (Datenschutzschild) - mit den USA angenommen.