Aus fürs Privacy Shield: Der internationale Datenverkehr kommt ins Trudeln

Bürgerrechtler bejubeln das deutliche EuGH-Urteil zu Datentransfers ins Ausland als Sieg im Kampf gegen Massenüberwachung, die Digitalwirtschaft ist geschockt.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 262 Beiträge

(Bild: mixmagic/Shutterstock.com)

Von
Inhaltsverzeichnis

Während bei Max Schrems und seiner Datenschutzorganisation Noyb am Donnerstag nach dem Urteil des Europäischen Gerichtshofs (EuGH) gegen das löchrige transatlantische Datenschutzschild die Korken knallten, ziehen Vertreter der Internetwirtschaft und der EU-Kommission lange Gesichter. Die von den Luxemburger Richtern verabreichte Entscheidung ist keine leichte Kost: Das "Privacy Shield" zwischen der EU und den USA ist ungültig, weil US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) eine Massenüberwachung erlauben.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Aus dem gleichen Grund hat der EuGH auch die sogenannten Standardvertragsklauseln (SVK), über die sich vor allem US-Konzerne wie Amazon, Facebook, Google oder Microsoft für ihren Datentransfer in die Heimat zusätzlich abzusichern versuchen, nur formal aufrecht erhalten. Eigentlich sind aber auch sie bei Übertragungen in die USA das Papier nicht mehr wert, auf dem sie stehen.

Dabei müssen die auf SVK setzenden Firmen selbst und die Datenschutzbehörden nur noch in einem zweiten Schritt die Entscheidung der Luxemburger Richter nachvollziehen, dass der Grundrechtsschutz für EU-Bürger in den Vereinigten Staaten nicht gewahrt ist. Nach den Enthüllungen des Whistleblowers Edward Snowden kann daran wenig Zweifel bestehen: Sie führen jedem Interessierten vor Augen, dass die NSA im großen Stil Daten von Apple, Facebook, Google, Google, Yahoo und weiteren absaugt und auch anderen US-Behörden verfügbar macht. Der EuGH hat deutlich gemacht, dass diese Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

Noch sind die Lesarten des Grundsatzurteils teils unterschiedlich, im Kern führt an den Ansagen aus Luxemburg aber kein Weg vorbei. Für Schrems, der den Stein mit einer Beschwerde über die Praktiken Facebooks bei der irischen Datenschutzbehörde DPC ins Rollen gebracht hat, steht fest: Standardvertragsklauseln "können auch nicht mehr von Facebook und US-Unternehmen genutzt werden, die unter US-Überwachung stehen". Nur wenn es kein kollidierendes Recht gebe, seien SVK noch einsetzbar.

In Fällen wie bei Facebook hätte die DPC den Betreiber des sozialen Netzwerks laut dem Juristen "schon vor Jahren anweisen können, die Datentransfers zu stoppen". Stattdessen habe sich die Behörde an den EuGH gewandt, um die – nun im Prinzip für gültig befundenen – SVK aufheben zu lassen. Sie habe die Feuerwehr gerufen aus Unlust, eine Kerze auszublasen. Der seit sieben Jahren anhängige Fall habe allein die DPC fast drei Millionen Euro gekostet. Dies zeige auch grundlegende Mängel bei der Durchsetzung der Datenschutz-Grundverordnung (DSGVO) auf.

Trotz des Urteils könnten absolut notwendige Datentransfers gemäß Artikel 49 DSGVO weiterhin stattfinden, heißt es bei Noyb. Übermittlungen ließen sich auch auf eine informierte Einwilligung des Nutzers stützen, die aber jederzeit widerrufbar sei. Die USA würden einfach in ein den Status eines Landes ohne besonderen Zugang zu EU-Daten zurückversetzt.

Die in Luxemburg im Kern gescheiterte DPC begrüßte die Entscheidung ebenfalls nachdrücklich. Ihr seien Datentransfers in die USA schon nach dem Aus für das Vorgängerabkommen Safe Harbor 2015 überaus problematisch erschienen, unabhängig von der genutzten Rechtsgrundlage, teilte die Aufsichtsbehörde mit. Durch das Urteil sehe man die eigenen Bedenken nun voll bestätigt. Dass der EuGH das SVK-Instrument trotzdem nicht direkt verworfen habe, erfordere angesichts der Komplexität der Materie noch eine gründliche Analyse. Der SVK-Mechanismus erscheine in Bezug auf die USA nach wie vor "fraglich". Man wolle nun gemeinsam mit den "europäischen Kollegen" eine gemeinsame Position erarbeiten.

Unternehmen, die öffentliche Verwaltung und die in ihrer Rolle gestärkten Aufsichtsbehörden "haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden", verweist der Bundesdatenschutzbeauftragte Ulrich Kelber auf eine große Herausforderung. Die Kontrollinstanzen müssten "bei jeder einzelnen Datenverarbeitung" prüfen, "ob die hohen Anforderungen des EuGH erfüllt werden". Internationaler Datenverkehr bleibe zwar generell weiter möglich. Dabei seien aber die Grundrechte der EU-Bürger zu beachten. Für den Austausch mit den USA müssten nun "besondere Schutzmaßnahmen ergriffen werden".