Datenschutz: EuGH kippt "Privacy Shield" mit den USA

Privacy Shield wurde gekippt
Bild: dpa, Bearbeitung: teltarif.de Der Euro­päi­sche Gerichtshof hat die EU-US-Daten­schutz­ver­ein­ba­rung "Privacy Shield" gekippt. Im Rechts­streit des öster­rei­chi­schen Juristen Max Schrems gegen Face­book erklärten die Luxem­burger Richter aller­dings, dass Nutzer­daten von EU-Bürgern weiterhin auf Basis soge­nannter Stan­dard­ver­trags­klau­seln in die USA und andere Staaten über­tragen werden können.

Hinter­grund ist eine Beschwerde des Daten­schutz­ak­ti­visten Schrems. Der öster­rei­chi­sche Jurist hatte bei der irischen Daten­schutz­be­hörde bean­standet, dass Face­book Irland seine Daten an den Mutter­kon­zern in den USA weiter­leitet. Er begrün­dete seine Beschwerde damit, dass Face­book in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugäng­lich zu machen - ohne dass Betrof­fene dagegen vorgehen könnten. Ein irisches Gericht möchte vom EuGH wissen, ob die soge­nannten Stan­dard­ver­trags­klau­seln und das EU-US-Daten­schutz­ab­kommen "Privacy Shield" mit dem euro­päi­schen Daten­schutz­ni­veau vereinbar sind.

Anfor­de­rungen an den Daten­schutz nicht gewähr­leistet

Privacy Shield wurde gekippt
Bild: dpa, Bearbeitung: teltarif.de Die Luxem­burger Richter erklärten das "Privacy Shield" nun für ungültig. Mit Blick auf die Zugriffs­mög­lich­keiten der US-Behörden seien die Anfor­de­rungen an den Daten­schutz nicht gewähr­leistet. Zudem sei der Rechts­schutz für Betrof­fene unzu­rei­chend.

Die Stan­dard­ver­trags­klau­seln sollen im Kern Garan­tien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Über­mitt­lung aus der EU ins Ausland ange­messen geschützt sind. Das "Privacy Shield" ist ein weiterer Kanal, der ausschließ­lich für den Daten­transfer in die USA zur Verfü­gung steht.

Schrems erklärte in einer ersten Reak­tion, er sei sehr glück­lich über das Urteil. "Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Daten­schutz­be­hörde DPC und Face­book. Es ist klar, dass die USA ihre Über­wa­chungs­ge­setze ernst­haft ändern müssen, wenn US-Unter­nehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen."

Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des "Privacy Shield", die Safe-Harbor-Rege­lung bean­standet, weil sie die Daten euro­päi­scher Bürger nicht ausrei­chend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschät­zung spielten auch die Enthül­lungen des Whist­le­b­lowers Edward Snowden 2013 zur ausufernden Internet-Über­wa­chung durch US-Geheim­dienste eine wich­tige Rolle. Face­book beruft sich aller­dings bei der Über­tra­gung der Daten von Europa in die USA nicht auf das "Privacy Shield", sondern auf die Stan­dard­ver­trags­klau­seln.

EU und USA wollen über nach EuGH-Urteil zum Daten­schutz beraten

Nachdem der Euro­päi­sche Gerichtshof das Daten­schutz­ab­kommen "Privacy Shield" zwischen der EU und den USA gekippt hat, wollen beide Seiten über weitere Schritte beraten. "Wir werden auf Grund­lage des heutigen Urteils eng mit unseren ameri­ka­ni­schen Kollegen zusam­men­ar­beiten", sagte die Vize­prä­si­dentin der EU-Kommis­sion Vera Jourova heute. Man müsse das Urteil in Ruhe analy­sieren. Eine Prio­rität der Brüs­seler Behörde sei, den Schutz perso­nen­be­zo­gener Daten beim trans­at­lan­ti­schen Daten­ver­kehr zu garan­tieren. Nach Angaben der EU-Kommis­sion sind bereits für Freitag Kontakte zu US-Handels­mi­nister Wilbur Ross geplant.

Was steht auf dem Spiel?

"Letzten Endes geht es um die Zuläs­sig­keit von Daten­trans­fers von euro­päi­schen Unter­nehmen in die USA, aber sogar darüber hinaus welt­weit", sagt Vera Jung­kind, Daten­schutz­ex­pertin der Anwalts­kanzlei Hengeler Mueller. Das Urteil könnte also gravie­rende Folgen für die globale Wirt­schaft haben. Dürfen Unter­nehmen weiterhin perso­nen­be­zo­gene Daten von Nutzern, Verbrau­chern oder Arbeit­neh­mern in die USA senden? E-Mails oder Hotel-Buchungen von Privat­per­sonen dürften von dem Urteil nicht betroffen sein. Im Fokus stehen "Elec­tronic Commu­ni­ca­tion Service Provider", also Service­an­bieter wie Face­book, Google, Micro­soft, Apple und Yahoo.

Wer ist Max Schrems?

Max Schrems kämpft seit Jahren für einen stär­keren Daten­schutz in Europa - und gegen Face­book. Nach den ersten Anfragen bei Face­book und der irischen Daten­schutz­be­hörde seien die Antworten so surreal gewesen, dass er immer habe weiter­ma­chen müssen, sagt er. Auf sein Betreiben kippte der EuGH 2015 bereits die Safe-Harbor-Rege­lung. Als Nach­fol­ge­re­ge­lung hatte die EU-Kommis­sion mit den US-Behörden schließ­lich den Daten­schutz-Schild ausge­han­delt, der nun erneut infrage steht. Er grün­dete auch den Daten­schutz-Verein Noyb, der auf Grund­lage der seit 2018 gültigen EU-Daten­schutz­grund­ver­ord­nung bereits Anzeigen gegen Google und Face­book auf den Weg brachte.

Wieso pran­gert Schrems Firmen wie Face­book, Micro­soft, Google, Apple und Yahoo an, und warum hat er andere Firmen wie Amazon nicht im Visier?

Schrems orien­tiert sich an den Enthül­lungen von Edward Snowden. Der US-Whist­le­b­lower hatte 2013 doku­men­tiert, dass US-Geheim­dienste wie die NSA und andere Behörden auf Server von US-Konzernen wie Face­book und Google zugreifen können. Auf den von Snowden enthüllten Folien werden nament­lich Micro­soft (auch mit Skype), Google (auch mit YouTube), Face­book, Yahoo, Apple, AOL und Paltalk erwähnt. Amazon steht nicht auf den Folien zum Über­wa­chungs­pro­gramm Prism.