zurück zum Artikel

EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield" Update

Stefan Krempl
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"

(Bild: Marian Weyo/Shutterstock.com)

Der Europäische Gerichtshof hat nach dem "Safe Harbor"-Abkommen auch die Nachfolgeversion des transatlantischen Datenschutzschilds gekippt.

Neuer Erfolg für den österreichischen Juristen Max Schrems im Kampf gegen den Überwachungskapitalismus: Mit einem lange erwarteten Urteil hat der Europäische Gerichtshof (EuGH) am Donnerstag den transatlantischen "Privacy Shield" und damit eine der wichtigen Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig erklärt. Grund dafür sind in den Vereinigten Staaten bestehende Gesetze, die Sicherheitsbehörden weitreichende Befugnisse zur Überwachung "ausländischer Kommunikation" in die Hand geben.

Europäische Tochtergesellschaften von US-Konzernen wie Facebook dürfen laut der Ansage der Luxemburger Richter im Fall C-311/18 [1] aber theoretisch noch auf Basis des Beschlusses der EU-Kommission über Standardvertragsklauseln [2] (SVK) persönliche Informationen an Auftragsverarbeiter in Drittländern wie die USA übertragen. Ob dies tatsächlich erlaubt sei, müssten die zuständigen Datenschutzbehörden aber selbst ausloten. Auch die SVK haben so im USA-Fall nur noch pro forma Bestand.

Der EuGH knüpft seine Entscheidung daran [3], dass mit der Datenschutz-Grundverordnung (DSGVO [4]) personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das dieses dafür ein "angemessenes Schutzniveau" gewährleistet. Die Kommission sei befugt, ein solches Level mit einem Beschluss festzustellen. Liege keine solche Angemessenheitsentscheidung vor, müsse der in der EU ansässige Datenexporteur selbst "geeignete Garantien" vorsehen.

Diese könnten sich etwa aus den von der Kommission erarbeiteten Standard-Datenschutzklauseln ergeben, befanden die Richter. Dafür müssten die betroffenen Personen "über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen".

Schrems beanstandete vor der irischen Datenschutzbehörde den Transfer seiner personenbezogenen Informationen durch die nationale Facebook-Tochter an den Mutterkonzern in den USA. Er beantragte, alle Datenübermittlungen zwischen den beiden Unternehmen auszusetzen. Das Stammunternehmen sei nämlich verpflichtet, die erhaltenen Informationen etwa auf Basis von Paragraf 702 des Foreign Intelligence Surveillance Act (FISA) [5] US-Behörden wie der NSA und dem FBI zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen könnten.

Facebook machte dagegen geltend, dass das EU-Recht generell nicht für die Verarbeitung personenbezogener Daten für Zwecke der nationalen Sicherheit gelte. Die irische Kontrollbehörde wandte sich daraufhin an den irischen High Court, um die Rechtmäßigkeit der Transfers zu klären, die per Standardvertragsklauseln erfolge. Die angerufenen Richter wollten daraufhin vom EuGH etwa wissen, ob die entsprechende Übermittlung die EU-Grundrechtecharta und die darin verbürgten Ansprüche auf Schutz der Privatsphäre und einen wirksamen Rechtsbehelf verletzt.

Der Gerichtshof hatte am Beschluss über die SVK im Grundsatz nichts auszusetzen. Man habe diesen gründlich geprüft, dabei habe sich aber nichts ergeben, was seine Gültigkeit berühren könnte, heißt es in Luxemburg. Europäisches Recht und insbesondere die DSGVO seien generell auf einen zu gewerblichen Zwecken erfolgenden Transfer persönlicher Daten anzuwenden, führt der EuGH dazu aus. Dies gelte auch, wenn die Daten direkt oder im Anschluss von Behörden des betreffenden Drittlands verarbeitet werden könnten.

Personen, deren Informationen weitergesendet werden, müssen dabei laut dem Urteil ein Schutzniveau genießen, das dem der DSGVO gleichwertig ist. Es sei Pflicht der europäischen Datenschutzbehörden wie etwa der irischen Aufsichtsstelle zu prüfen, ob diese Anforderungen erfüllt sind. Insbesondere, wenn es keinen Angemessenheitsbeschluss der Kommission gebe, seien sie dabei auch angehalten, einen Transfer "auszusetzen oder zu verbieten". Voraussetzung dafür sei ihre Auffassung, dass die Standardklauseln in dem entsprechenden Land nicht eingehalten werden und der nötige Schutz nicht anders gewährleistet werden kann.

Parallel müssen auch der Datenexporteur und der Empfänger der Informationen laut dem Richterspruch vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. Konkret habe die Facebook-Mutter also die europäische Tochter gegebenenfalls selbst darüber zu informieren, dass die SVK mit all ihren Konsequenzen nicht eingehalten werden könnten.

EuGH-Generalanwalt Henrik Saugmandsgaard Øe hatte im Dezember konstatiert, dass die SVK tragfähig seien [6]. Das Gericht sei auch nicht unbedingt verpflichtet, über die Gültigkeit des "Privacy Shield" zu entscheiden. Dessen Rechtmäßigkeit zweifelte er aber an angesichts der in der EU verbrieften Grundrechte an.

Der Gerichtshof begutachtete den den Datenschutzschild [7] nun auch und stellte fest, dass dieser "den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang" einräume. Dies erlaube Eingriffe in die Grundrechte der Personen, deren Daten in die USA übermittelt werden.

Die formellen Anforderungen an eine derartige Übereinkunft sehen die Richter so nicht erfüllt, da die auf die US-Rechtsvorschriften gestützten Überwachungsprogramme "nicht auf das zwingend erforderliche Maß beschränkt sind". Den Betroffenen habe der US-Gesetzgeber auch keine Rechte verliehen, die sie gegenüber den amerikanischen Behörden gerichtlich durchsetzen könnten. Der vorgesehen Ombudsmechanismus reiche nicht aus.

Die EU-Kommission war davon ausgegangen, dass es keinen Konflikt zwischen mit den US-Gesetzen gebe. Wenn Unternehmen Daten auf Basis des "Privacy Shield" versenden wollten, müssten sie garantieren, die Mindeststandards des europäischen Datenschutzes einzuhalten. Schrems warf der EU-Kommission vor, dass sie die US-Überwachungsauflagen völlig falsch einschätze.

2015 hatte der Aktivist vor dem EuGH bereits das Vorgängerabkommen "Safe Harbor" zu Fall gebracht [8]. Mit dem Außerkraftsetzen auch des Privacy Shield wäre wohl auch ein dritter Anlauf ohne grundsätzliche Reformen nicht ausreichend, um einen angemessenen Datenschutz für EU-Bürger zu gewährleisten.

Der eco-Verband der Internetwirtschaft hatte sich vorab besorgt gezeigt, dass der Datenschutzschild zwischen der EU und den USA oder die SVK "eine unerlässliche Rechtsgrundlage für die internationale Übermittlung personenbezogener Daten" bildeten. Ohne sie gebe es für diesen Zweck nur wenig Alternativen, sodass viele Unternehmen im Regen stünden. Die Folgen wären fatal: Zahlreiche transatlantische Transfers persönlicher Informationen würden über Nacht unzulässig. Die Digitalwirtschaft sei auf verlässliche und tragfähige Regeln und damit einhergehende Rechtssicherheit unbedingt angewiesen.

Schrems hoffte im Vorfeld auf einen Rückschlag für die auch vom Silicon Valley vorangetriebene "Überwachungskultur" und eine umfassende Novelle der ihr zugrundeliegenden Gesetzesklauseln. Um Daten ausländischer Nutzer zu erhalten, müsse es im Sinne die US-Industrie sein, grundlegende Schutzbestimmungen einzuführen. In den Vereinigten Staaten gebe es ja auch Bedenken, dass Informationen über US-Bürger nach China gingen, wenn diese Dienste von Huawei oder TikTok verwendeten.

(axk [9])


URL dieses Artikels:
https://www.heise.de/-4845204

Links in diesem Artikel:
[1] http://curia.europa.eu/juris/liste.jsf?num=C-311/18
[2] https://www.heise.de/meldung/Nach-dem-EuGH-Urteil-Alternativen-zu-Safe-Harbor-2837700.html
[3] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
[4] https://www.heise.de/thema/DSGVO
[5] https://www.heise.de/meldung/US-Kongress-verlaengert-NSA-Befugnis-zur-Massenueberwachung-3927830.html
[6] https://www.heise.de/meldung/Gutachter-EuGH-muss-Regeln-fuer-Datenexporte-nicht-umkrempeln-4620089.html
[7] https://www.heise.de/meldung/Datenschutz-EU-Abgeordnete-fordern-Aus-fuer-das-Privacy-Shield-4077743.html
[8] https://www.heise.de/meldung/Datenschutz-bei-Facebook-Co-EuGH-erklaert-Safe-Harbor-fuer-ungueltig-2838025.html
[9] mailto:axk@heise.de