EuGH mit wegweisendem Urteil: "Privacy Shield" ist Geschichte, Schutz vor US-Geheimdiensten verbessert
Die sogenannte "Privacy Shield"-Vereinbarung regelt, inwiefern Transfer von personenbezogenen Daten erlaubt ist. Das Abkommen wurde vor rund vier Jahren geschlossen und betrifft vor allem multinationale Konzerne, welche mit Nutzerdaten in Kontakt kommen. Als Beispiele seien unter anderem Apple, Google, Amazon, Facebook oder Microsoft genannt, welche international tätig sind. Wer sich beispielsweise in Deutschland für einen der Dienste registriert, möchte natürlich nicht, dass die eigenen Nutzerdaten beliebig in andere Länder transferiert werden, wo möglicherweise schlechterer Datenschutz gewährleistet ist. Genau dies beschreibt ziemlich genau, warum der Europäische Gerichtshof sich mit Privacy Shield befasste. Ein Aktivist aus Österreich namens Max Schrems hatte Klage eingereicht – denn seiner Argumentation zufolge ist die Vereinbarung unzulässig.
EuGH verwirft "Privacy Shield"-Abkommen"Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig", befand der EuGH nach genauer Untersuchung der Sachlage. Die Datenschutzgrundverordnung (DSGVO) sagt explizit, dass Datentransfer in ein Land außerhalb der EU nur dann erlaubt ist, wenn dort vergleichbare Datenschutzgesetze gelten. Dies ist im Falle der USA aber eindeutig nicht der Fall, so die
Urteilsbegründung. Die Richter stimmten dem Kläger zu, wonach es große Zweifel an der Behandlung von Nutzerdaten gebe. Vor allem die Aktivitäten des US-Geheimsdienstes sind problematisch, denn gemäß "Foreign Surveillance Act" darf dieser fast nach eigenem Ermessen die Daten von Nutzern aus dem Ausland auswerten. Es bringt dem Kunden einer Plattform daher wenig, wenn er zwar hierzulande geschützt ist, aber dennoch im Drittland Zugriff auf personenbezogene Daten erfolgt.
Erhebliche Konsequenzen für US-Unternehmen in EuropaWas das gerichtlich verfügte Aus des "Privacy Shield"-Abkommens nun bedeutet, muss sich erst noch zeigen. Gänzlich unerwartet kam die Entscheidung indes nicht, denn laut EU-Kommission prüfe man bereits verschiedene Lösungsmöglichkeiten. Ein Punkt scheint aber gesetzt: Wenn die USA keine Änderungen an den eigenen Überwachungsgesetzen vornehmen, haben es US-Konzerne im Einzugsbereich der DSGVO fortan wesentlich schwerer. Die Speicherung personenbezogener Daten kann nicht mehr wie bislang einfach aus Bequemlichkeit in den USA erfolgen – weil dort bereits die Rechenzentren stehen. Strafen wegen Verstößen gegen die DSGVO sind je nach Ausmaß drakonisch und auch für die Internet-Riesen schmerzhaft.
Aus für Privacy Shield – aber nicht für StandardvertragsklauselnVermutlich gibt es daher für die betroffenen Unternehmen momentan nur eine Alternative, nämlich ausreichend technische Infrastruktur in Europa zu schaffen. Datenübertragung gemäß "Privacy Shield"-Vorgaben hat sofort zu enden, da sonst US-Recht über der DSGVO steht. Anders sieht es bei Standardvertragsklauseln aus, denn hier hänge die Gültigkeit davon ab, wie wirkungsvoll die Mechanismen sind, um das in der EU garantierte Schutzniveau einzuhalten. Dies wiederum betrifft Facebook, denn dort beruft man sich nicht auf "Privacy Shield", sondern eben auf die Vertragsklauseln. Hierbei haben Datenexporteur und der Empfänger zu prüfen, wie es um den Datenschutz im Drittland bestellt ist. Keine Probleme gibt es demnach, wenn die im Drittland abgelegten Daten zweifelsohne vor externem Zugriff geschützt sind. Kann dies nicht gewährleistet werden, hat die Übermittlung zu unterbleiben.