EuGH erklärt Privacy Shield für ungültig

Nach Safe Harbor hat der EuGH auch den Privacy Shield für unzulässig erklärt. Eine Grundlage für Datentransfers in die USA bleibt aber erlaubt.

Der Europäische Gerichtshof (EuGH) hat im Streit über datenschutzkonforme Datentransfers in Drittstaaten ein wichtiges Grundsatzurteil gefällt. Zwar erklärten die Luxemburger Richter den zwischen der EU-Kommission und den USA vereinbarten Datenschutzschild (Privacy Shield) am heutigen Donnerstag für unzulässig (PDF), allerdings dürfen Firmen weiterhin auf Basis sogenannter Standardvertragsklauseln personenbezogene Nutzerdaten in die USA oder andere Drittstaaten übertragen. Der EuGH hat jedoch nicht entschieden, ob die beispielsweise von Facebook genutzten Klauseln beim Datentransfer in die USA das erforderliche Schutzniveau garantieren.

Hintergrund des Urteils ist ein jahrelanger Streit zwischen dem österreichischen Datenschutzaktivisten Max Schrems und dem sozialen Netzwerk Facebook. Nachdem der EuGH im Oktober 2015 den Vorgänger des Privacy Shields, das Safe-Harbor-Abkommen, für ungültig erklärt hatte, übermittelten Firmen die Daten in die USA vielfach auf der Basis entsprechender Klauseln. Schrems, der bereits das erste Verfahren vor dem EuGH ausgelöst hatte, hielt jedoch auch diese Klauseln nicht für ausreichend, um den Datentransfer wegen der Zugriffsmöglichkeiten der Geheimdienste zu legitimieren.

Die für Facebooks Europazentrale zuständige irische Datenschutzbehörde (DPC) teilte im Grunde Schrems Bedenken, dass auch die Standardvertragsklauseln nicht ausreichen, um die Daten europäischer Bürger in den USA ausreichend vor dem Zugriff staatlicher Behörden zu schützen. Schrems forderte daher die Behörde auf, Facebook auf Basis von Artikel 4 des Kommissionsbeschlusses zu Standardvertragsklauseln (2010/87/EU) den Datentransfer in die USA zu untersagen.

Doch davor schreckte die DPC zurück. Stattdessen legte sie den Fall dem irischen High Court vor. Dieser schloss sich der Datenschutzbehörde an, die gefordert hatte, den EuGH generell über die angezweifelte Gültigkeit von Standardvertragsklauseln entscheiden zu lassen.

Behörden können Datentransfer aussetzen

Nach Ansicht des EuGH sind die Behörden in der Tat verpflichtet, den Datenexport auszusetzen oder zu verbieten, wenn sie der Auffassung sind, "dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können". Der Beschluss der EU-Kommission zu den Vertragsklauseln werde jedoch nicht dadurch infrage gestellt, dass Klauseln "aufgrund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden".

Entscheidend sei vielmehr, ob der Beschluss wirksame Mechanismen enthalte, die in der Praxis gewährleisten könnten, dass das vom EU-Recht verlangte Schutzniveau eingehalten werde und "auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist". Nach Einschätzung des EuGH müssen die Daten in Drittstaaten ein Schutzniveau enthalten, dass den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) und der Europäischen Grundrechte-Charta entspricht.

Das sogenannte Privacy Shield reicht jedoch nicht als Basis aus, um personenbezogene Daten in die USA zu übertragen. Denn die Überwachungsprogramme der USA, die sich auf die dortigen Rechtsvorschriften stützten, seien "nicht auf das zwingend erforderliche Maß beschränkt". Daher würden die Anforderungen an das EU-Recht "nach dem Grundsatz der Verhältnismäßigkeit" nicht erfüllt. Zudem eröffne der sogenannte Ombudsmechanismus den betroffenen Personen keinen Rechtsweg zu einem Organ, das Garantien böte, die den nach dem EU-Recht erforderlichen Garantien der Sache nach gleichwertig wären. Das betreffe die Unabhängigkeit der Ombudsperson, die sie dazu ermächtige, "gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen".

Schrems "sehr glücklich"

Schrems zeigte sich in der ersten Stellungnahme "sehr glücklich" über das Urteil: "Auf den ersten Blick scheint uns der Gerichtshof in allen Aspekten gefolgt zu sein. Dies ist ein totaler Schlag für die irische Datenschutzbehörde DPC und Facebook. Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen."

Nach Ansicht von Schrems kann Facebook nun weder auf Basis des Privacy Shield noch auf Grundlage von Standardvertragsklauseln personenbezogene Daten in die USA transferieren. Die Firmen dürften solche Klauseln nicht einfach nur unterschreiben, sondern müssten auch prüfen, ob sie in der Praxis umgesetzt werden könnten. Daher müsste die irische Datenschutzbehörde nun tätig werden und den Datentransfer untersagen.

Allerdings betreffe ein Transferverbot nicht sämtliche Daten. Absolut notwendige Daten könnten nach Artikel 49 der DSGVO weiterhin ausgetauscht werden. Auch auf Basis einer informierten Zustimmung sei dies möglich.

Nachtrag vom 16. Juli 2020, 11:50 Uhr

Nach Ansicht des IT-Branchenverbands Bitkom entsteht durch das Urteil eine große Rechtsunsicherheit für Firmen mit einer Datenverarbeitung in den USA. "Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen - andernfalls droht ein Daten-Chaos", sagte Bitkom-Vorstandsmitglied Susanne Dehmel. Die EU sei jetzt aufgerufen, schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen. "Daten ausschließlich in Europa zu verarbeiten, ist einerseits technisch kaum umsetzbar und würde andererseits einen massiven Wettbewerbsnachteil für europäische Unternehmen bedeuten", sagte Dehmel.

Der Branchenverband Eco befürchtet "dramatische" Auswirkungen. "Dieses Urteil hat fatale Folgen für die Internetwirtschaft und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks, die auf den Austausch von personenbezogenen Daten angewiesen sind", sagte Eco-Geschäftsführer Alexander Rabe. Die Standardvertragsklauseln bedeuteten "einen erheblichen Aufwand für die Unternehmen".

...

Hier zum vollständigen Text

Herausgeber: golem.de

Weitere Datenschutz News