Kommentar: EuGH-Urteil zu Privacy Shield ist eine Katastrophe mit Ansage

Der EuGH hat die Privacy-Shield-Grundsätze für unwirksam erklärt. Obwohl damit zu rechnen war, ist kaum jemand auf die Folgen des Urteils vorbereitet.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 336 Beiträge
Kommentar: EuGH-Urteil zu Privacy Shield ist eine Katastrophe mit Ansage

(Bild: EU-Kommission, mit Rauschen von heise online)

Von
  • Joerg Heidrich
Inhaltsverzeichnis

So richtig überrascht konnte eigentlich niemand gewesen sein, als der Europäische Gerichtshof (EuGH) Mitte Juni zum zweiten Mal die zentrale Rechtsgrundlage zum Transfer von Daten aus der EU in die USA kippte. Nachdem 2015 bereits die Safe-Harbor-Vereinbarung für ungültig erklärt wurde, traf es jetzt auch deren Nachfolger, den Privacy Shield.

Auch inhaltlich unterscheiden sich die Urteile nicht grundlegend. In beiden stellte der EuGH vor allem darauf ab, dass die Daten von europäischen Bürgern nicht ausreichend vor dem Zugriff der US-Geheimdienste und der sonstigen Stellen im amerikanischen Überwachungskosmos geschützt sind. Auch einen hinreichenden Rechtsschutz für Europäer gewährte die Vereinbarung nicht. Bei näherem Hinsehen erschöpfte sich die euphemistisch "Privacy-Shield-Zertifizierung" genannte Privilegierung der US-Unternehmen zum Empfang sensibler europäischer Daten in ganz wesentlichen Punkten lediglich in einer Eintragung in ein öffentliches Verzeichnis.

Ein Kommentar von Joerg Heidrich

Joerg Heidrich ist Justiziar und Datenschutzbeauftragter bei Heise Medien; als Rechtsanwalt und Fachanwalt für IT-Recht beschäftigt er sich seit über fünfzehn Jahren mit den Problemen des Internet- und Medienrechts.

Obwohl Datenschützer bereits seit vielen Jahren vor einem allzu starken Vertrauen auf den Privacy Shield warnten, war kaum jemand auf die erheblichen Folgen des EuGH-Richterspruchs vorbereitet. Gewinner sind zweifellos die Bürger und ihre Advokaten wie Max Schrems, der beide Urteile erwirkt hat. Dagegen trifft es – wie leider so häufig im Datenschutz – vor allem kleine Unternehmen und den Mittelstand hart, denen es häufig nicht möglich ist, kurzfristig die Situation zu analysieren und Alternativen umzusetzen.

Lesen Sie auch

Und das wird ohnehin schwierig genug. Denn die Entscheidung lässt nur wenig Spielräume oder Lücken für einen auch zukünftig noch legalen Datentransfer über den Atlantik. Der Privacy Shield ist weggefallen. Schwer angeschlagen sind nach dem Urteil für eine Weitergabe in die USA auch die bislang als praxistaugliche Alternative gehandelten Standarddatenschutzklauseln (SDK). Das offenkundige Problem dabei: Natürlich hält auch ein Vertrag die Geheimdienste und ihre Pendants nicht vom Schnüffeln ab. Viele Alternativen bleiben dann nicht mehr: Es kommen eine Sonderregelung für Konzerne, eine noch nicht in der Praxis mögliche DSGVO-Zertifizierung und dann nur noch die wenig praxistaugliche Einwilligung aller Betroffenen in die Übertragung ihrer Daten.

Die Zukunft des Datentransfers über den Atlantik ist daher alles andere als klar. Dass zumindest nicht alle Datenschutzbehörden in Deutschland gewillt sind, hier den Unternehmen angesichts der erheblichen Rechtsunsicherheit entgegenzukommen, haben erste Stellungnahmen bereits klargestellt. Hier sorgten vor allem die Aussagen der Berliner Datenschutzbeauftragten Maja Smoltczyk für Aufsehen. Sie fordert die Verantwortlichen, die personenbezogene Daten in die USA übermitteln, auf, umgehend zu Dienstleistern in der EU oder in einem Land mit angemessenem Datenschutzniveau zu wechseln. Bereits ins Drittland übermittelte Daten müssten "zurückgeholt werden". Als Beispiel hierfür nannte sie Daten in der Cloud.

Die "Stunde der digitalen Eigenständigkeit Europas" auszurufen klingt zwar toll, geht aber halt an den technischen Realitäten der Unternehmen und des eCommerce ebenso vorbei wie den technischen Grundstrukturen des World Wide Web. Zwar gibt es sicher US-Anbieter, die sich gut durch hiesige Produkte ersetzen ließen. Sicher können wir aber nicht über Nacht auf Web-Infrastrukturunternehmen, große Cloud-Anbieter, Google oder Microsoft verzichten. Oder nutzt jemand zum Beispiel ein europäisches Smartphone? Hier wäre es ungemein hilfreicher, wenn die Aufsichtsbehörden gemeinsam mit Bürgerrechtlern, Unternehmen und Datenschützern tragfähige Konzepte entwickeln könnten. Das bemerkenswerte Beispiel der Corona-Warn-App hat gezeigt, dass so etwas möglich ist.

Eine schallende Ohrfeige ist die Entscheidung für die EU-Kommission, allen voran für die damalige Justizkommissarin Věra Jourová. Diese hatte 2016 Privacy Shield gegen entschiedenen Widerstand von Datenschützern verhandelt. Noch im vergangenen Jahr lobte sie ihr Werk als "Erfolgsgeschichte". Geschadet hat ihr der Misserfolg offenbar nicht, sie wurde im Kabinett Von der Leyen inzwischen zur Vizepräsidentin der EU-Kommission und Kommissarin für Werte und Transparenz befördert.

Ob ihre Nachfolger mit einer ähnlichen Regelung nach dem Motto "Nach mir die Sintflut" mit offensichtlichem Verfallsdatum durchkommen, darf allerdings bezweifelt werden. Und an eine Vereinbarung, welche die Rechte der EU-Bürger stärker schützt, dürfte vor allem unter einem Präsidenten Trump kaum zu denken sein. Ein "Privacy-Harbor"-Abkommen wird es nicht geben. Und damit auch kein "Weiter so" für den transatlantischen Datenverkehr. Damit bleibt vor allem eins: Massive Rechtsunsicherheit, vor allem für die IT-Branche.

(anw)