Der Europäische Gerichtshof hat eine der wichtigen Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig erklärt. Das Datenschutzniveau in den USA sei nach den europäischen Normen nicht ausreichend. Damit kippten die Luxemburger Richter im Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook am Donnerstag die EU-US-Datenschutzvereinbarung "Privacy Shield".
Die Richter störten sich an den weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf die Daten der Europäer. Schrems wertete das Urteil als umfassenden Erfolg. Auch andere Datenschützer sehen die Rechte von EU-Bürgern dadurch gestärkt. Die Wirtschaft warnt vor Unsicherheiten.
Max Schrems gegen Facebook - dieser Streit währt schon seit Jahren - und fand nun seinen vorläufigen Höhepunkt. Der österreichische Jurist und Datenschutzaktivist hatte bei der irischen Datenschutzbehörde kritisiert, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen könnten. Öffentlich war diese Praxis 2013 durch die Enthüllungen des US-Whistleblowers Edward Snowden geworden.
Urteil im Sinne der Betroffenen
Der Europäische Gerichtshof folgte den Bedenken Schrems' nun weitgehend - und löste mit seinem Urteil ein Erdbeben aus. Die amerikanische Überwachungspraxis sei nicht auf das zwingend erforderliche Maß begrenzt, betonten die Richter. Zudem könnten Betroffene ihre vorgesehenen Rechte nicht gerichtlich durchsetzen.
Das "Privacy Shield" ist also Geschichte. Es war 2016 in einem Hauruck-Verfahren entstanden, nachdem auf Betreiben Schrems' bereits die Vorgänger-Regelung "Safe Harbor" vom EuGH gekippt worden war. Auch damals argumentierten die Richter damit, dass die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt seien. Innerhalb weniger Monate handelte die EU-Kommission mit der US-Seite einen Nachfolger aus - das "Privacy Shield". Datenschützer kritisierten das Abkommen allerdings von Beginn an.
Datenfluss in die USA nicht nur für Tech-Unternehmen wichtig
Was die nächsten Schritte angeht, blieb die EU-Kommission am Donnerstag vage. Man wolle mit den amerikanischen Kollegen auf Grundlage des Urteils beraten, sagte Vizepräsidentin Vera Jourova. US-Handelsminister Wilbur Ross zeigte sich enttäuscht. Der Datenfluss sei nicht nur für Tech-Unternehmen, sondern für Unternehmen jeder Größe in allen Bereichen wichtig. Beobachter bezweifeln, dass Gespräche zwischen der EU und den USA vor den Präsidentschaftswahlen im November noch konkret werden können.