© EPA / JULIEN WARNAND

Netzpolitik
07/16/2020

Was das Aus von Privacy Shield jetzt konkret bedeutet

Der EuGH hat am Donnerstag das Datentransfer-Abkommen zwischen der EU und den USA gekippt. Die Auswirkungen im Detail.

von Barbara Wimmer

Seit 2016 gab es mit Privacy Shield eine Entscheidung der EU-Kommission, die Datentransfers zwischen der EU und den USA geregelt hat. Rund 5.000 US-Firmen in Europa und zahlreiche europäische Firmen haben ihre Daten aufgrund dieser Regelung in die USA übertragen. Der EuGH hat dieses Abkommen nun gekippt. Was dieses Urteil nun in der Praxis bedeutet.

Warum wurde Privacy Shield aufgehoben?

Der EuGH kam zum Schluss, dass die Datenübertragung auf Grundlage von Privacy Shield nicht den Anforderungen des Unionsrechts entspricht. Der strenge europäische Datenschutz erlaubt den Transfer von Daten in ein Nicht-EU-Land nämlich nur, wenn die Daten dort ebenfalls "adäquat" geschützt sind. In den USA gibt es aber Überwachungsgesetze wie FISA. „Diese ermöglichen den US-Behörden, Nicht-US-Einwohner sehr breitflächig zu überwachen und zwar ohne Verhältnismäßigkeitsprüfung und ohne, dass den Betroffenen durchsetzbare Rechte eingeräumt werden“, sagt Lukas Feiler, Rechtsanwalt bei Baker McKenzie im Gespräch mit der futurezone. Genau das kritisierte jetzt der EuGH in seinem Urteil: Durch diese Zugriffsmöglichkeiten der US-Behörden sind die Anforderungen an den Datenschutz nicht gewährleistet und der Rechtsschutz für Betroffene ist unzureichend.

Welche Datentransfers sind betroffen?

Private Datentransfers, wie das Versenden von E-Mails, Hotel-Buchungen oder die direkte Verwendung von US-Services durch Privatpersonen, sind weiterhin erlaubt und nicht betroffen. Ebenso nicht betroffen sind Datentransfers, bei denen es nicht um personenbezogene Daten geht. Betroffen sind alle Unternehmen und Serviceanbieter, die persönliche Daten von Nutzern, Kunden, Lieferanten oder Mitarbeitern in die USA übertragen – wie Facebook, Google, Microsoft, Apple oder Yahoo. Aber auch viele europäische Unternehmen lassen ihre Daten in den USA verarbeiten.

Max Schrems poses after a Reuters interview in Vienna

Was bedeutet das jetzt für diese Unternehmen?

Die Ungültigkeitserklärung von Privacy Shield hat nicht nur gravierende Auswirkungen für US-Unternehmen wie Facebook, sondern auch auf europäische Unternehmen, die sich auf das Datenabkommen gestützt haben. Unternehmen müssen daher Standardsvertragsklauseln aufsetzen und abschließen. „Man darf auf keinen Fall den Fehler machen und darauf warten, dass es bald eine Nachfolge-Regelung geben wird. Das kann Jahre dauern“, sagt Feiler.

Bieten Standardvertragsklauseln wirklich Rechtssicherheit?

Nein. Denn im EuGH-Urteil wurden Standardvertragsklauseln zwar für gültig erklärt, aber die Datenübermittlung in die USA auf Basis dieser muss im Einzelfall geprüft werden. „Es muss geprüft werden, ob die Rechtsordnung des Drittstaats überhaupt die Erfüllung der Standardvertragsklauseln ermöglicht“, erklärt Feiler. „Nationale Datenschutzbehörden müssen sich mit dem Fall befassen und gegebenenfalls einen Abbruch der Datenübermittlung anordnen“, sagt Feiler.

Gilt das auch für Facebook?

Ja. Facebook kann laut Ansicht von Feiler Standardvertragsklauseln anwenden, so lange, bis die irische Datenschutzbehörde überprüft hat, ob die Rechtsordnung des Drittstaats eine Erfüllung dieser ermöglicht. Laut der Ansicht von Max Schrems ist mit dem EuGH-Urteil ausreichend geklärt, dass die US-Überwachungsgesetze gegen die Grundsätze des EU-Datenschutzrechts verstoßen, weshalb die Standardvertragsklauseln nicht mehr angewandt werden können. "Der EuGH hat in seiner Entscheidung ausreichend dargelegt, dass der Datentransfer gestoppt werden muss, wenn ein Unternehmen unter die US-Überwachungsgesetze fällt. Das tun praktisch alle IT-Unternehmen wie Facebook, Apple, Google oder Microsoft", sagt Schrems.

„Die irische Datenschutzbehörde kämpft seit 2016 gegen diese Idee. Im Fall der irischen Datenschutzbehörde hätte sie Facebook schon vor Jahren anweisen können, die Transfers zu stoppen“, sagt Schrems. Der Datenschutzaktivist und Jurist hatte in seiner Klage gefordert, eine Unterlassungsverfügung mit einer angemessenen Umsetzungsfrist zu erlassen. „Es ist, als würde man die europäische Feuerwehr rufen, wenn man selbst keine Lust hat, eine Kerze auszublasen“, fasst Schrems die Situation zusammen.

FILES-US-IT-POLITICS-FACEBOOK

Was hat Max Schrems damit zu tun?

Das Verfahren vor dem EuGH war ausgelöst worden, weil der österreichische Datenschützer Max Schrems eine Beschwerde eingereicht und hinterfragt hatte, ob die Daten von Europäern bei der Übertragung in die USA überhaupt adäquat geschützt sein können. Das Verfahren landete beim EuGH. Schrems hat in der Zwischenzeit den Verein noyb gegründet, der sich für Datenschutzrechte im digitalen Zeitalter einsetzt. "Die Aufrechterhaltung der Klagebefugnis in solchen Fällen ist nur mit der Unterstützung der inzwischen über 3.200 Mitglieder von noyb möglich. Der Mythos, dass ein Jurastudent das einfach alleine tun kann, ist leider falsch“, so Schrems.

Wie reagiert Facebook auf das Urteil?

Die Reaktion von Facebook könnt ihr hier nachlesen.

Was bedeutet das EuGH-Urteil jetzt für einzelne Nutzer?

Für Nutzer wird sich zunächst nicht viel ändern. Notwendige Datentransfers sind weiterhin erlaubt und möglich. „Als Nutzer hat man jetzt nur einen gesicherten Hebel in der Hand, um seinen Datentransfer einer behördlichen Prüfung zu unterziehen“, sagt Feiler.

Democratic U.S. presidential candidate Joe Biden speaks about U.S. economy at a metal works plant in Dunmore, Pennsylvania

Wie wird die USA dieses Urteil aufnehmen?

Hier besteht die Gefahr, dass die USA das Urteil als „ökonomischen Angriff“ auf ihr Land bewertet. „Es wird wohl zu massiven, transatlantischen Spannungen kommen. Ich rechne damit, dass die Trump-Administration äußerst scharf darauf reagieren wird“, erklärt Feiler von Baker McKenzie. Bereits bestehende Spannungen zwischen der EU und den USA könnten damit weiter strapaziert werden.

Sind Datenschutzstandards in manchen anderen Ländern nicht weitaus schlechter als in den USA? Was bedeutet das für die Übertragung der Daten in diese Länder?

Laut Feiler ist die Datenschutzrechtslage in China und Russland „wesentlich schlechter“ als in den USA. „Viele Technologieunternehmen haben ihren Sitz in den USA, daher steht die USA hier stärker im Fokus“, erklärt der Experte. Auch bei Ländern wie China oder Russland basiert der Datentransfer auf Standardvertragsklauseln. „Das zeigt das Problem, das wir hier haben: Es entsteht ein Wertungswiderspruch.“

Müssen die USA jetzt ihre Überwachungsgesetze ändern, damit US-Dienste in Europa am Markt bestehen bleiben können?

Aus Sicht von Schrems ist eine US-Überwachungsreform unumgänglich und die USA müssen europäischen Bürgern einen besseren Rechtsschutz einräumen, wenn sie weiterhin die Daten von EU-Bürgern in die USA übertragen wollen. Die USA beschränken die meisten Schutzmaßnahmen auf „US-Personen“, schützen aber nicht die Daten ausländischer Kunden von US-Unternehmen vor dem Geheimdienst NSA. „Der Gerichtshof hat nun zum zweiten Mal klargestellt, dass es einen Konflikt von EU-Datenschutzrecht und US-Überwachungsrecht gibt. Da die EU ihre Grundrechte nicht ändern wird, um die NSA zufriedenzustellen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen.“

Wie hängen Privacy Shield und Safe Harbor zusammen?

Safe Harbor war vor Privacy Shield das Abkommen, das den Datentransfer zwischen der EU und den USA geregelt hatte. Im Oktober 2015 kippte der EU-Gerichtshof das "Safe Harbor"-Abkommen wegen der Massenüberwachung durch US-Geheimdienste. Die EU-Kommission hat daraufhin 2016 ein neues Datenaustauschabkommen - den "Privacy Shield" (Datenschutzschild) - mit den USA angenommen.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.