EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"

Datenschutzbehörden in der Pflicht

Inhaltsverzeichnis

Personen, deren Informationen weitergesendet werden, müssen dabei laut dem Urteil ein Schutzniveau genießen, das dem der DSGVO gleichwertig ist. Es sei Pflicht der europäischen Datenschutzbehörden wie etwa der irischen Aufsichtsstelle zu prüfen, ob diese Anforderungen erfüllt sind. Insbesondere, wenn es keinen Angemessenheitsbeschluss der Kommission gebe, seien sie dabei auch angehalten, einen Transfer "auszusetzen oder zu verbieten". Voraussetzung dafür sei ihre Auffassung, dass die Standardklauseln in dem entsprechenden Land nicht eingehalten werden und der nötige Schutz nicht anders gewährleistet werden kann.

Parallel müssen auch der Datenexporteur und der Empfänger der Informationen laut dem Richterspruch vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. Konkret habe die Facebook-Mutter also die europäische Tochter gegebenenfalls selbst darüber zu informieren, dass die SVK mit all ihren Konsequenzen nicht eingehalten werden könnten.

EuGH-Generalanwalt Henrik Saugmandsgaard Øe hatte im Dezember konstatiert, dass die SVK tragfähig seien. Das Gericht sei auch nicht unbedingt verpflichtet, über die Gültigkeit des "Privacy Shield" zu entscheiden. Dessen Rechtmäßigkeit zweifelte er aber an angesichts der in der EU verbrieften Grundrechte an.

Der Gerichtshof begutachtete den den Datenschutzschild nun auch und stellte fest, dass dieser "den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang" einräume. Dies erlaube Eingriffe in die Grundrechte der Personen, deren Daten in die USA übermittelt werden.

Die formellen Anforderungen an eine derartige Übereinkunft sehen die Richter so nicht erfüllt, da die auf die US-Rechtsvorschriften gestützten Überwachungsprogramme "nicht auf das zwingend erforderliche Maß beschränkt sind". Den Betroffenen habe der US-Gesetzgeber auch keine Rechte verliehen, die sie gegenüber den amerikanischen Behörden gerichtlich durchsetzen könnten. Der vorgesehen Ombudsmechanismus reiche nicht aus.

Die EU-Kommission war davon ausgegangen, dass es keinen Konflikt zwischen mit den US-Gesetzen gebe. Wenn Unternehmen Daten auf Basis des "Privacy Shield" versenden wollten, müssten sie garantieren, die Mindeststandards des europäischen Datenschutzes einzuhalten. Schrems warf der EU-Kommission vor, dass sie die US-Überwachungsauflagen völlig falsch einschätze.

2015 hatte der Aktivist vor dem EuGH bereits das Vorgängerabkommen "Safe Harbor" zu Fall gebracht. Mit dem Außerkraftsetzen auch des Privacy Shield wäre wohl auch ein dritter Anlauf ohne grundsätzliche Reformen nicht ausreichend, um einen angemessenen Datenschutz für EU-Bürger zu gewährleisten.

Der eco-Verband der Internetwirtschaft hatte sich vorab besorgt gezeigt, dass der Datenschutzschild zwischen der EU und den USA oder die SVK "eine unerlässliche Rechtsgrundlage für die internationale Übermittlung personenbezogener Daten" bildeten. Ohne sie gebe es für diesen Zweck nur wenig Alternativen, sodass viele Unternehmen im Regen stünden. Die Folgen wären fatal: Zahlreiche transatlantische Transfers persönlicher Informationen würden über Nacht unzulässig. Die Digitalwirtschaft sei auf verlässliche und tragfähige Regeln und damit einhergehende Rechtssicherheit unbedingt angewiesen.

Schrems hoffte im Vorfeld auf einen Rückschlag für die auch vom Silicon Valley vorangetriebene "Überwachungskultur" und eine umfassende Novelle der ihr zugrundeliegenden Gesetzesklauseln. Um Daten ausländischer Nutzer zu erhalten, müsse es im Sinne die US-Industrie sein, grundlegende Schutzbestimmungen einzuführen. In den Vereinigten Staaten gebe es ja auch Bedenken, dass Informationen über US-Bürger nach China gingen, wenn diese Dienste von Huawei oder TikTok verwendeten.

(axk)