Fragen und antworten EU-Beschluss zu Datenaustausch mit USA ungültig

Legt sich mit Facebook und Co. an: der Jurist Max Schrems.
Legt sich mit Facebook und Co. an: der Jurist Max Schrems.

Der Europäische Gerichtshof (EuGH) hat erneut auf Betreiben des Datenschutzaktivisten Max Schrems die Regeln für den Datenverkehr in die USA gekippt. Damit ist aber die Übertragung von Nutzerdaten von EU-Bürgern in die USA nicht generell unmöglich.

Was ist die zentrale Aussage des Urteils?
Das Urteil beinhaltet zwei Entscheidungen: Zum einen stellt der Gerichtshof fest, dass Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der Grundrechte der Europäischen Union verstoßen. Eine solche Klausel nutzt auch Facebook für die Datenübertragung zwischen der EU und den USA. Das Datenabkommen „Privacy Shield“ zwischen den USA und der EU erklärt der EuGH hingegen für ungültig.

Was ist „Privacy Shield“?
Nach dem Scheitern des „Safe Harbor“-Abkommens zwischen den USA und der EU vor dem EuGH 2015 wurde ein Jahr später eine Abmachung zwischen der EU und den USA geschlossen. Darin ist geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Es wird pauschal festgestellt, dass eine wichtige Bedingung der Europäischen Datenschutz-Grundverordnung (DSGVO) erfüllt ist. Danach dürfen im Ausland nur personenbezogene Daten gespeichert und verarbeitet werden, wenn die Datenschutzvorkehrungen in jenem Land ähnlich hoch sind. In einer Selbstverpflichtung erklären die Unternehmen, dass dies der Fall ist.

Warum wurde „Privacy Shield“ jetzt für ungültig erklärt?
Dem EuGH gehen die Überwachungsbefugnisse der amerikanischen Geheimdienste und Sicherheitsbehörden zu weit. In den USA dürfen NSA, FBI und andere auch ohne einen richterlichen Beschluss die Daten ausländischer Nutzer durchforsten. Den Enthüllungen des Whistleblowers Edward Snowden konnte man entnehmen, dass Daten von Microsoft, Facebook, Google, Apple, Yahoo und anderen abgesaugt werden. Der EuGH sagt nun, dass die Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

Was hat es mit den Standardvertragsklauseln auf sich?
In diesen Verträgen erklären die beteiligten Parteien, dass es auch im Ausland einen angemessenen Schutz für die Daten von EU-Bürgern gibt. Sie gelten deshalb als einfach anwendbares Instrument, um rechtskonform personenbezogene Daten ins Ausland zu übermitteln.

Sind die Standardvertragsklauseln also ein Freibrief für die Datenübertragung ins Ausland?
Nein. Das Konstrukt wurde zwar vom EuGH bestätigt. Aber auch hier haben die Betroffenen die Möglichkeit, die Rechtmäßigkeit im konkreten Fall durch die zuständigen Datenschutzbehörden überprüfen zu lassen. Im Streit zwischen dem Datenschutzaktivisten Max Schrems und Facebook liegt der Ball damit wieder im Feld der irischen Datenschutzbehörde DPC. Die ist bislang aber nicht durch ein scharfes Vorgehen gegenüber US-Konzernen aufgefallen, die von Irland aus ihr Europa-Geschäft betreiben.

Wer ist Max Schrems?
Als Student, der es mit dem US-Internetgiganten Facebook aufnahm, wurde Max Schrems 2015 weltbekannt. Damals kippte der EuGH auf seine Klage hin das bestehende Datenschutzabkommen zwischen der EU und den USA. Der Jurist kämpft seit Jahren für einen stärkeren Datenschutz in Europa und gegen Facebook. Schrems gründete den Datenschutz-Verein Noyb, der auf Grundlage der DSGVO bereits Anzeigen gegen Google und Facebook auf den Weg brachte.

Was bemängelt Schrems genau?
Schrems hat bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet, obwohl diese dort nicht angemessen gegen Ausspähaktionen gesichert seien. Der irische High Court rief den EuGH an und wollte wissen, ob Standardvertragsklauseln und „Privacy Shield“ mit dem europäischen Datenschutzniveau vereinbar sind.

Sind nur Kunden von Firmen wie Facebook und Microsoft betroffen?
Nein, die Entscheidung des EuGH betrifft grundsätzlich die Datenübertragung ins Ausland. Häufig werden Daten auch in den USA gespeichert, selbst wenn man es mit Firmen aus Europa zu tun hat. Diese greifen nämlich häufig auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück.

Was bedeutet das Urteil für die Digital-Branche?
Der Branchenverband Bitkom beklagt, dass nach dem gescheiterten „Safe-Harbor“-Abkommen jetzt zum zweiten Mal die Rechtsgrundlage für den Datentransfer zwischen der EU und den USA weggefallen ist. Auch die bis dato gültige Praxis der Standardvertragsklauseln gerate mit dieser Entscheidung ins Wanken.

x