Der Europäische Gerichts­hof (EuGH) hat das Daten­schutz­abkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung, die 2016 an die Stelle des im Oktober 2015 vom Europäischen Gerichts­hof ebenfalls für unwirk­sam erklärten „Safe-Harbor“-Abkommens“ getreten war, sollte die aus der EU in die USA über­mittelten Daten von EU-Bürgern besser schützen. Doch auch die neue Vereinbarung reicht nicht aus, urteilte der EuGH.

Schutz­schild für die Privatsphäre nicht ausreichend

Die Daten­schutz-Grund­ver­ordnung (DSGVO) bestimme, dass personenbezogene Daten von EU-Bürgern nur in ein Dritt­land über­mittelt werden dürfen, wenn das Land für die Daten ein angemessenes Schutz­niveau gewähr­leiste, so der EuGH. Dem wird das „Privacy-Shield“-Abkommen nicht gerecht. Es beschränkt die auf die amerikanischen Rechts­vorschriften gestützten Über­wachungs­programme nicht auf das zwingend erforderliche Maß. Außerdem könnten EU-Bürger gegen die Verwendung ihrer Daten gericht­lich nicht vorgehen. Der EuGH erklärte das Abkommen deshalb für unwirk­sam.

Stan­dard­schutz­klauseln dürfen bleiben

Zulässig bleiben sogenannte Stan­dard­vertrags­klauseln. Über solche Klauseln können Unternehmen ihren Kunden Daten­schutz­anforderungen entsprechend der DSGVO bilateral garan­tieren. Facebook verwendet beispiels­weise eine solche Klausel. Ob die Anforderungen an die DSGVO in einem Unternehmen darüber erfüllt werden, müssen nach Auffassung des EuGH die europäischen Daten­schutz­behörden prüfen. Auf die Behörden kommt eine Menge Arbeit zu.

Verfahren durch Max Schrems angestoßen

Der EuGH wurde tätig, weil er vom obersten Gericht Irlands angerufen wurde. Das Gericht bat den EuGH zu prüfen, ob die Über­mitt­lung personenbezogener Daten des Klägers Max Schrems an die USA gemäß der Stan­dard­vertrags­klausel von Facebook den Anforderungen der DSGVO entspricht. Schrems war in Irland gegen Facebook vorgegangen, weil das Unternehmen dort seinen europäischen Sitz hat. Stan­dard­vertrags­klauseln erklärte der EuGH für weiter wirk­sam, das Privacy Shield-Abkommen dagegen für unwirk­sam.

Schon Safe Harbor gekippt

Max Schrems geht seit Jahren gegen Facebook wegen Daten­schutz­verstößen vor. Auch das Ende des Vorgänger­abkommens „Safe Harbor“ ging auf seine Beschwerden zurück. Der 32-jährige Jurist aus Österreich ist heute ein Daten­schutz­aktivist und Vorstands­vorsitzender der Initiative Noyb, die sich für Daten­schutz in Europa einsetzt.

Prinzip der Selbst­verpflichtung bei Privacy Shield

Das nun ungültige Daten­schutz­abkommen zwischen der Europäischen Union und den USA „EU-U.S. Privacy Shield Framework Principles“ beruhte auf dem Prinzip der Selbst­verpflichtung. US-amerikanische Firmen, die personenbezogene Daten von europäischen Kunden und Nutzern in die USA über­mitteln und verarbeiten wollen, unterwarfen sich damit strengen Auflagen hinsicht­lich Daten­ver­arbeitung und Schutz der Rechte Einzelner.

Weiterhin massenhafte und anlass­lose Über­wachung

Unternehmen, die sich zertifizieren ließen, mussten versprechen, sich an die recht­lichen Vorgaben des Privacy Shields zu halten. Nur dann durften sie Daten in die USA über­tragen. Die massenhafte und anlass­lose Über­wachung durch amerikanische Sicher­heits­behörden sollte es nicht mehr geben. Doch es gab sie weiter, so der EuGH.

Daten­erfassung war nur in sechs Fällen erlaubt

Für einige Fälle ließ Privacy Shield den Zugriff auf die Daten europäischer Bürger durch die US-Behörden ausdrück­lich zu. Sechs Fälle sind ausdrück­lich genannt:

  • Terrorismusbekämpfung
  • Spiona­geabwehr
  • Verhinderung der Verbreitung von Massen­vernichtungs­waffen
  • Gefahren­abwehr, wenn amerikanische oder verbündete Streitkräfte bedroht werden
  • Bekämpfung interna­tionaler Kriminalität
  • Bedrohung der Cybersicherheit.

Die Daten, die die amerikanischen Sicher­heits­behörden in diesen Bereichen erheben, dürfen auch lange aufbewahrt werden – in der Regel fünf Jahre. Erscheint es im nationalen Interesse, die Daten länger aufzuheben, kann die Frist auch über­schritten werden.

Ombuds­person sollte im Streitfall vermitteln

Im Außen­ministerium der USA gibt es eine Ombuds­person, an die sich Betroffene über ihre nationalen Daten­schutz­behörden wenden können, wenn sie ihre Daten und Rechte durch Nach­richten­dienste in den USA verletzt sehen oder wenn sie Nach­fragen zur Hand­habe ihrer Daten durch amerikanische Sicher­heits­behörden haben. Die Ombuds­person soll unter anderem von den Geheim­diensten auch geheime Informationen über einzelne Fälle anfordern können, damit sie deren Vorgehen über­prüfen kann. Gibt es Verstöße, kann sie diese an die dafür zuständigen Regierungs­stellen melden.

Kein geeigneter Rechtsweg

Der EuGH hat nun befunden, dass der Ombuds­mecha­nismus nicht wirkt. Er eröffne betroffenen Personen keinen Rechtsweg zu einem Organ, das die Unabhängig­keit der Ombuds­person garan­tiere und die Ombuds­person dazu ermächtige, gegen­über den amerikanischen Nach­richten­diensten verbindliche Entscheidungen zu erlassen.

Geschäfte im Internet weiterhin möglich

Zu erwarten ist, dass viele nach Privacy Shield zertifizierte Firmen nun ebenfalls Stan­dard­vertrags­klauseln mit ihren Kunden vereinbaren werden. Onlinekäufe, E-Mails oder das Buchen von Flügen oder Reisen bleiben ohnehin trotz des nun ungültigen Daten­schutz­abkommens möglich. Der hierfür notwendige Daten­transfer ist nach der DSGVO zulässig.

Zu „Safe Harbor“:
Europäischer Gerichts­hof
, Urteil vom 06.10.2015
Aktenzeichen: C-362/14

Zum „Privacy Shield“:
Europäischer Gerichts­hof
, Urteil vom 17.07.2020
Aktenzeichen: C-311/18

* Dieser Artikel ist am 6. Oktober 2015 auf test.de erschienen und seitdem mehr­fach aktualisiert worden, zuletzt am 17. Juli 2020.

Dieser Artikel ist hilfreich. 291 Nutzer finden das hilfreich.