Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung, die 2016 an die Stelle des im Oktober 2015 vom Europäischen Gerichtshof ebenfalls für unwirksam erklärten „Safe-Harbor“-Abkommens“ getreten war, sollte die aus der EU in die USA übermittelten Daten von EU-Bürgern besser schützen. Doch auch die neue Vereinbarung reicht nicht aus, urteilte der EuGH.
Schutzschild für die Privatsphäre nicht ausreichend
Die Datenschutz-Grundverordnung (DSGVO) bestimme, dass personenbezogene Daten von EU-Bürgern nur in ein Drittland übermittelt werden dürfen, wenn das Land für die Daten ein angemessenes Schutzniveau gewährleiste, so der EuGH. Dem wird das „Privacy-Shield“-Abkommen nicht gerecht. Es beschränkt die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß. Außerdem könnten EU-Bürger gegen die Verwendung ihrer Daten gerichtlich nicht vorgehen. Der EuGH erklärte das Abkommen deshalb für unwirksam.
Standardschutzklauseln dürfen bleiben
Zulässig bleiben sogenannte Standardvertragsklauseln. Über solche Klauseln können Unternehmen ihren Kunden Datenschutzanforderungen entsprechend der DSGVO bilateral garantieren. Facebook verwendet beispielsweise eine solche Klausel. Ob die Anforderungen an die DSGVO in einem Unternehmen darüber erfüllt werden, müssen nach Auffassung des EuGH die europäischen Datenschutzbehörden prüfen. Auf die Behörden kommt eine Menge Arbeit zu.
Verfahren durch Max Schrems angestoßen
Der EuGH wurde tätig, weil er vom obersten Gericht Irlands angerufen wurde. Das Gericht bat den EuGH zu prüfen, ob die Übermittlung personenbezogener Daten des Klägers Max Schrems an die USA gemäß der Standardvertragsklausel von Facebook den Anforderungen der DSGVO entspricht. Schrems war in Irland gegen Facebook vorgegangen, weil das Unternehmen dort seinen europäischen Sitz hat. Standardvertragsklauseln erklärte der EuGH für weiter wirksam, das Privacy Shield-Abkommen dagegen für unwirksam.
Schon Safe Harbor gekippt
Max Schrems geht seit Jahren gegen Facebook wegen Datenschutzverstößen vor. Auch das Ende des Vorgängerabkommens „Safe Harbor“ ging auf seine Beschwerden zurück. Der 32-jährige Jurist aus Österreich ist heute ein Datenschutzaktivist und Vorstandsvorsitzender der Initiative Noyb, die sich für Datenschutz in Europa einsetzt.
Prinzip der Selbstverpflichtung bei Privacy Shield
Das nun ungültige Datenschutzabkommen zwischen der Europäischen Union und den USA „EU-U.S. Privacy Shield Framework Principles“ beruhte auf dem Prinzip der Selbstverpflichtung. US-amerikanische Firmen, die personenbezogene Daten von europäischen Kunden und Nutzern in die USA übermitteln und verarbeiten wollen, unterwarfen sich damit strengen Auflagen hinsichtlich Datenverarbeitung und Schutz der Rechte Einzelner.
Weiterhin massenhafte und anlasslose Überwachung
Unternehmen, die sich zertifizieren ließen, mussten versprechen, sich an die rechtlichen Vorgaben des Privacy Shields zu halten. Nur dann durften sie Daten in die USA übertragen. Die massenhafte und anlasslose Überwachung durch amerikanische Sicherheitsbehörden sollte es nicht mehr geben. Doch es gab sie weiter, so der EuGH.
Datenerfassung war nur in sechs Fällen erlaubt
Für einige Fälle ließ Privacy Shield den Zugriff auf die Daten europäischer Bürger durch die US-Behörden ausdrücklich zu. Sechs Fälle sind ausdrücklich genannt:
- Terrorismusbekämpfung
- Spionageabwehr
- Verhinderung der Verbreitung von Massenvernichtungswaffen
- Gefahrenabwehr, wenn amerikanische oder verbündete Streitkräfte bedroht werden
- Bekämpfung internationaler Kriminalität
- Bedrohung der Cybersicherheit.
Die Daten, die die amerikanischen Sicherheitsbehörden in diesen Bereichen erheben, dürfen auch lange aufbewahrt werden – in der Regel fünf Jahre. Erscheint es im nationalen Interesse, die Daten länger aufzuheben, kann die Frist auch überschritten werden.
Ombudsperson sollte im Streitfall vermitteln
Im Außenministerium der USA gibt es eine Ombudsperson, an die sich Betroffene über ihre nationalen Datenschutzbehörden wenden können, wenn sie ihre Daten und Rechte durch Nachrichtendienste in den USA verletzt sehen oder wenn sie Nachfragen zur Handhabe ihrer Daten durch amerikanische Sicherheitsbehörden haben. Die Ombudsperson soll unter anderem von den Geheimdiensten auch geheime Informationen über einzelne Fälle anfordern können, damit sie deren Vorgehen überprüfen kann. Gibt es Verstöße, kann sie diese an die dafür zuständigen Regierungsstellen melden.
Kein geeigneter Rechtsweg
Der EuGH hat nun befunden, dass der Ombudsmechanismus nicht wirkt. Er eröffne betroffenen Personen keinen Rechtsweg zu einem Organ, das die Unabhängigkeit der Ombudsperson garantiere und die Ombudsperson dazu ermächtige, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.
Geschäfte im Internet weiterhin möglich
Zu erwarten ist, dass viele nach Privacy Shield zertifizierte Firmen nun ebenfalls Standardvertragsklauseln mit ihren Kunden vereinbaren werden. Onlinekäufe, E-Mails oder das Buchen von Flügen oder Reisen bleiben ohnehin trotz des nun ungültigen Datenschutzabkommens möglich. Der hierfür notwendige Datentransfer ist nach der DSGVO zulässig.
Zu „Safe Harbor“:
Europäischer Gerichtshof, Urteil vom 06.10.2015
Aktenzeichen: C-362/14
Zum „Privacy Shield“:
Europäischer Gerichtshof, Urteil vom 17.07.2020
Aktenzeichen: C-311/18
Newsletter: Bleiben Sie auf dem Laufenden
Mit den Newslettern der Stiftung Warentest haben Sie die neuesten Nachrichten für Verbraucher immer im Blick. Sie haben die Möglichkeit, Newsletter aus verschiedenen Themengebieten auszuwählen.
* Dieser Artikel ist am 6. Oktober 2015 auf test.de erschienen und seitdem mehrfach aktualisiert worden, zuletzt am 17. Juli 2020.
-
Regeln für persönliche Daten
- Der Umgang mit Daten ist in der Europäische Datenschutz-Grundverordnung (DSGVO) geregelt. Wir erklären, welche Rechte sich daraus für Verbraucher ergeben.
-
Das müssen Google und Co leisten
- Suchmaschinen müssen Artikel nur dann aus Trefferlisten löschen, wenn Angaben darin nachweislich falsch sind. Das haben EuGH und Bundesgerichtshof (BGH) festgelegt.
-
Wo die Meinungsfreiheit endet
- Wer andere im Netz kritisiert, muss sich an Regeln halten. Unser Knigge für Onlinekritik klärt, wo das Recht auf freie Meinungsäußerung endet.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@BerlinJurist
Vielen Dank für Ihren Hinweis. In einem Punkt haben Sie Recht: Wir haben nicht sauber zwischen Schiedsverfahren und Schlichtung differenziert. Wir haben den Beitrag im Rahmen einer ohnehin geplanten Aktualisierung umfassend überarbeitet und dabei auch Ihre Anmerkungen berücksichtigt.
(euk/aci)
Leider strotzt der Artikel nur vor inhaltlichen Fehlern, besonders der Abschnitt "US-Behörde soll Firmen überwachen". Nein, kann keine Strafen androhen, sollten sich Unternehmen nicht an Datenschutzstandards halten sondern kann die Betroffenen Unternehmen nur von der Liste streichen. Die FTC kann Sanktionen nur nach § 5 des FTC-Acts nur bei unfairen oder betrügerischen Handelspraktiken anordnen. Im Übrigen überwacht sie nicht den Datenschutz.
Weiter geht es mit den Beschwerdemöglichkeiten. Hier ist der Autor wohl vollends durcheinander gekommen. Nach der Beschwerde beim Unternehmen, folgt der Anruf einer unabhängigen Schlichtungstelle (independent recourse mechanism) die jedes Unternehmen zuvor benennen muss. Dies ist aber nicht das selbe das erst danach anrufbare Schiedsgericht (Privacy Shield Panel) das aus drei US-Anwälten aus einer Liste von 20 Anwälten gewählt wird.
Ist ausgedruckt, ausgefüllt und auf dem Postweg. Ich bin sehr gespannt wie lang die Bearbeitung dauert. Weiß denn jemand, ob es gesetzliche Fristen für die Unternehmen gibt, in der so eine Anfrage bearbeitet werden muss? Man könnte aus Sicht des Unternehmens so ein Auskunftsverlangen einfach liegen lassen, bis es eine neue Vereinbarung gibt...
Auch wenn es nicht vor staatlichen Zugriffen schützt, sollte es doch für betroffene Unternehmen kein Problem sein, die Daten in Europa zu speichern.
Die Daten im Land des Kunden zu lassen ist kein Problem,
wenn man es sich leisten kann dort einen Server zu nutzen.
Für Großunternehmen ist dieses Datenschutz-Urteil technisch, ohne Funktionseinschränkungen für die Nutzer, extrem leicht, binnen weniger Stunden, umsetzbar und in jenen Fällen allerhöchste Zeit!
Von kleinen Unternehmen das Gleiche zu fordern wäre allerdings fatal!