Abkommen mit USA kassiert

Der EuGH stärkt den Datenschutz

17.07.2020
Max Schrems löst ein Erdbeben für den Datenaustausch mit den USA aus. Nachdem bereits das "Safe Harbor"-Abkommen gekippt worden war, entscheidet der Europäische Gerichtshof nun erneut in seinem Sinne.
Der EUGH hat entschieden. Unternehmen erwarten eine Zeit der Unsicherheit.
Foto: nitpicker - shutterstock.com

Der Europäische Gerichtshof hat eine der wichtigen Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig erklärt. Das Datenschutzniveau in den USA sei nach den europäischen Normen nicht ausreichend. Damit kippten die Luxemburger Richter im Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook am Donnerstag die EU-US-Datenschutzvereinbarung "Privacy Shield".

Die Richter störten sich an den weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf die Daten der Europäer. Schrems wertete das Urteil als umfassenden Erfolg. Auch andere Datenschützer sehen die Rechte von EU-Bürgern dadurch gestärkt. Die Wirtschaft warnt vor Unsicherheiten.

Max Schrems gegen Facebook - dieser Streit währt schon seit Jahren - und fand nun seinen vorläufigen Höhepunkt. Der österreichische Jurist und Datenschutzaktivist hatte bei der irischen Datenschutzbehörde kritisiert, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen könnten. Öffentlich war diese Praxis 2013 durch die Enthüllungen des US-Whistleblowers Edward Snowden geworden.

Urteil im Sinne der Betroffenen

Der Europäische Gerichtshof folgte den Bedenken Schrems' nun weitgehend - und löste mit seinem Urteil ein Erdbeben aus. Die amerikanische Überwachungspraxis sei nicht auf das zwingend erforderliche Maß begrenzt, betonten die Richter. Zudem könnten Betroffene ihre vorgesehenen Rechte nicht gerichtlich durchsetzen.

Das "Privacy Shield" ist also Geschichte. Es war 2016 in einem Hauruck-Verfahren entstanden, nachdem auf Betreiben Schrems' bereits die Vorgänger-Regelung "Safe Harbor" vom EuGH gekippt worden war. Auch damals argumentierten die Richter damit, dass die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt seien. Innerhalb weniger Monate handelte die EU-Kommission mit der US-Seite einen Nachfolger aus - das "Privacy Shield". Datenschützer kritisierten das Abkommen allerdings von Beginn an.

Datenfluss in die USA nicht nur für Tech-Unternehmen wichtig

Was die nächsten Schritte angeht, blieb die EU-Kommission am Donnerstag vage. Man wolle mit den amerikanischen Kollegen auf Grundlage des Urteils beraten, sagte Vizepräsidentin Vera Jourova. US-Handelsminister Wilbur Ross zeigte sich enttäuscht. Der Datenfluss sei nicht nur für Tech-Unternehmen, sondern für Unternehmen jeder Größe in allen Bereichen wichtig. Beobachter bezweifeln, dass Gespräche zwischen der EU und den USA vor den Präsidentschaftswahlen im November noch konkret werden können.

Zugleich betonte die EU-Kommission, dass der Datenfluss zwischen Europa und den USA nach dem EuGH-Urteil nicht grundsätzlich unmöglich sei - denn es gibt noch die sogenannten Standardvertragsklauseln für den Datentransfer zwischen EU-Ländern und Drittstaaten. Diese Musterverträge sollen Garantien dafür bieten, dass die Daten von EU-Bürgern angemessen geschützt sind. Der EuGH erklärte das Konstrukt der Klauseln, auf deren Grundlage auch Facebook die Daten seiner Nutzer in die USA schickt, am Donnerstag grundsätzlich für rechtens.

Allerdings schränkten die Richter ein: Die nationalen Aufsichtsbehörden der EU-Staaten müssten die Datenübermittlung dann stoppen, wenn das EU-Datenschutzniveau im jeweiligen Drittstaat nicht gesichert ist. Bei dieser Beurteilung spiele auch ein etwaiger Zugriff der Behörden des Drittstaats auf die Daten eine Rolle. Im konkreten Streit zwischen Schrems und Facebook heißt das, dass die irische Datenschutzbehörde DPC eingreifen müsste. Diese schritt in der Vergangenheit allerdings eher zurückhaltend gegen US-Konzerne ein. Der Druck auf die Behörde wächst mit dem Urteil.

Europäische Datenschutzbehörden dürfen nicht einfach wegschauen

"Der Gerichtshof sagt der irischen DPC nicht nur, dass sie nach sieben Jahren Untätigkeit ihre Arbeit tun soll, sondern auch, dass alle europäischen Datenschutzbehörden die Pflicht haben, Maßnahmen zu ergreifen und nicht einfach wegschauen dürfen", sagte Schrems nach dem Urteil. Dies sei ein grundlegender Wandel, der weit über den Datentransfer zwischen der EU und den USA hinausgehe.

"Der Gerichtshof hat den Datenschutzbehörden klar gesagt, dass sie sich an die Arbeit machen und das Gesetz durchsetzen müssen." Schrems betonte nachdrücklich, dass die Datenübertragung an US-Unternehmen, die unter die Überwachungsgesetze fallen, somit eingestellt werden muss. Allerdings fallen nicht alle Unternehmen in den USA unter den sogenannten Foreign Surveillance Act, sagt selbst Schrems. So könne man weiterhin auf digitalem Weg in den USA ein Hotel buchen.

Ausweichen auf Standardvertragsklauseln

Prof. Joachim Schrey, Partner bei der Wirtschaftskanzlei Noerr, sagte, viele Unternehmen würden nun auf Standardvertragsklauseln ausweichen müssen. "Deren Nutzung hat der EuGH ausdrücklich für zulässig erklärt. Doch das ist ein aufwendiges Verfahren und kann Wochen, wenn nicht sogar Monate dauern." Die Unternehmen müssten dabei nicht nur den Standardvertrag der EU-Kommission unterschreiben, sondern in dessen Anhang auch ausführlich die Datenverarbeitungsprozesse beschreiben.

Bundesjustizministerin Christine Lambrecht (SPD) begrüßte das Urteil am Donnerstag. "Der Europäische Gerichtshof hat heute den Schutz der Privatsphäre der europäischen Bürgerinnen und Bürger erneut gestärkt", sagte sie dem Redaktionsnetzwerk Deutschland. Der Schutz persönlicher Daten sei ein zentrales Grundrecht in der digitalen Welt. Eine Konsequenz aus dem Urteil müsse sein, dass Daten europäischer Bürger künftig auf europäischen Servern gespeichert werden. "Denn Kontrolle über die eigenen Daten, Aufsicht durch unabhängige Datenschutzbehörden und wirksamer Rechtsschutz vor Gerichten ist essenzieller Teil des Grundrechtsschutzes."

Der Bundesverband Digitale Wirtschaft (BVDW) kritisierte hingegen "erhebliche Auswirkungen auf die Digitalwirtschaft". "Unternehmen benötigen aber auch in dynamischen Märkten wie der Digitalwirtschaft dauerhafte und langfristig stabile rechtliche Rahmenvorgaben", sagte Vizepräsident Thomas Duhr. Sowohl der BVDW als auch Facebook begrüßten, dass Datentransfers in Drittstaaten auf Grundlage der Standardverträge weiter möglich sind. Diese würden von Facebook und Tausenden anderen Unternehmen in Europa benutzt, sagte Eva Nagle von Facebook. (dpa/rs)