Privacy Shield EuGH kippt Daten­schutz­abkommen mit USA

Der Europäische Gerichts­hof (EuGH) hat das Daten­schutz­abkommen „Privacy Shield“ zwischen der Europäischen Union und der USA am 16. Juli 2020 gekippt. Die Vereinbarung, die 2016 an die Stelle des im Oktober 2015 vom Europäischen Gerichts­hof ebenfalls für unwirk­sam erklärten „Safe-Harbor“-Abkommens“ getreten war, sollte die aus der EU in die USA über­mittelten Daten von EU-Bürgern besser schützen. Doch auch die neue Vereinbarung reicht nicht aus, urteilte der EuGH.

Schutz­schild für die Privatsphäre nicht ausreichend

Die Daten­schutz-Grund­ver­ordnung (DSGVO) bestimme, dass personenbezogene Daten von EU-Bürgern nur in ein Dritt­land über­mittelt werden dürfen, wenn das Land für die Daten ein angemessenes Schutz­niveau gewähr­leiste, so der EuGH. Dem wird das „Privacy-Shield“-Abkommen nicht gerecht. Es beschränkt die auf die amerikanischen Rechts­vorschriften gestützten Über­wachungs­programme nicht auf das zwingend erforderliche Maß. Außerdem könnten EU-Bürger gegen die Verwendung ihrer Daten gericht­lich nicht vorgehen. Der EuGH erklärte das Abkommen deshalb für unwirk­sam.

Stan­dard­schutz­klauseln dürfen bleiben

Zulässig bleiben sogenannte Stan­dard­vertrags­klauseln. Über solche Klauseln können Unternehmen ihren Kunden Daten­schutz­anforderungen entsprechend der DSGVO bilateral garan­tieren. Facebook verwendet beispiels­weise eine solche Klausel. Ob die Anforderungen an die DSGVO in einem Unternehmen darüber erfüllt werden, müssen nach Auffassung des EuGH die europäischen Daten­schutz­behörden prüfen. Auf die Behörden kommt eine Menge Arbeit zu.

Verfahren durch Max Schrems angestoßen

Der EuGH wurde tätig, weil er vom obersten Gericht Irlands angerufen wurde. Das Gericht bat den EuGH zu prüfen, ob die Über­mitt­lung personenbezogener Daten des Klägers Max Schrems an die USA gemäß der Stan­dard­vertrags­klausel von Facebook den Anforderungen der DSGVO entspricht. Schrems war in Irland gegen Facebook vorgegangen, weil das Unternehmen dort seinen europäischen Sitz hat. Stan­dard­vertrags­klauseln erklärte der EuGH für weiter wirk­sam, das Privacy Shield-Abkommen dagegen für unwirk­sam.

Schon Safe Harbor gekippt

Max Schrems geht seit Jahren gegen Facebook wegen Daten­schutz­verstößen vor. Auch das Ende des Vorgänger­abkommens „Safe Harbor“ ging auf seine Beschwerden zurück. Der 32-jährige Jurist aus Österreich ist heute ein Daten­schutz­aktivist und Vorstands­vorsitzender der Initiative Noyb, die sich für Daten­schutz in Europa einsetzt.

Prinzip der Selbst­verpflichtung bei Privacy Shield

Das nun ungültige Daten­schutz­abkommen zwischen der Europäischen Union und den USA „EU-U.S. Privacy Shield Framework Principles“ beruhte auf dem Prinzip der Selbst­verpflichtung. US-amerikanische Firmen, die personenbezogene Daten von europäischen Kunden und Nutzern in die USA über­mitteln und verarbeiten wollen, unterwarfen sich damit strengen Auflagen hinsicht­lich Daten­ver­arbeitung und Schutz der Rechte Einzelner.

Weiterhin massenhafte und anlass­lose Über­wachung

Unternehmen, die sich zertifizieren ließen, mussten versprechen, sich an die recht­lichen Vorgaben des Privacy Shields zu halten. Nur dann durften sie Daten in die USA über­tragen. Die massenhafte und anlass­lose Über­wachung durch amerikanische Sicher­heits­behörden sollte es nicht mehr geben. Doch es gab sie weiter, so der EuGH.

Daten­erfassung war nur in sechs Fällen erlaubt

Für einige Fälle ließ Privacy Shield den Zugriff auf die Daten europäischer Bürger durch die US-Behörden ausdrück­lich zu. Sechs Fälle sind ausdrück­lich genannt:

  • Terrorismusbekämpfung
  • Spiona­geabwehr
  • Verhinderung der Verbreitung von Massen­vernichtungs­waffen
  • Gefahren­abwehr, wenn amerikanische oder verbündete Streitkräfte bedroht werden
  • Bekämpfung interna­tionaler Kriminalität
  • Bedrohung der Cybersicherheit.

Die Daten, die die amerikanischen Sicher­heits­behörden in diesen Bereichen erheben, dürfen auch lange aufbewahrt werden – in der Regel fünf Jahre. Erscheint es im nationalen Interesse, die Daten länger aufzuheben, kann die Frist auch über­schritten werden.

Ombuds­person sollte im Streitfall vermitteln

Im Außen­ministerium der USA gibt es eine Ombuds­person, an die sich Betroffene über ihre nationalen Daten­schutz­behörden wenden können, wenn sie ihre Daten und Rechte durch Nach­richten­dienste in den USA verletzt sehen oder wenn sie Nach­fragen zur Hand­habe ihrer Daten durch amerikanische Sicher­heits­behörden haben. Die Ombuds­person soll unter anderem von den Geheim­diensten auch geheime Informationen über einzelne Fälle anfordern können, damit sie deren Vorgehen über­prüfen kann. Gibt es Verstöße, kann sie diese an die dafür zuständigen Regierungs­stellen melden.

Kein geeigneter Rechtsweg

Der EuGH hat nun befunden, dass der Ombuds­mecha­nismus nicht wirkt. Er eröffne betroffenen Personen keinen Rechtsweg zu einem Organ, das die Unabhängig­keit der Ombuds­person garan­tiere und die Ombuds­person dazu ermächtige, gegen­über den amerikanischen Nach­richten­diensten verbindliche Entscheidungen zu erlassen.

Geschäfte im Internet weiterhin möglich

Zu erwarten ist, dass viele nach Privacy Shield zertifizierte Firmen nun ebenfalls Stan­dard­vertrags­klauseln mit ihren Kunden vereinbaren werden. Onlinekäufe, E-Mails oder das Buchen von Flügen oder Reisen bleiben ohnehin trotz des nun ungültigen Daten­schutz­abkommens möglich. Der hierfür notwendige Daten­transfer ist nach der DSGVO zulässig.

Zu „Safe Harbor“:
Europäischer Gerichts­hof
, Urteil vom 06.10.2015
Aktenzeichen: C-362/14

Zum „Privacy Shield“:
Europäischer Gerichts­hof
, Urteil vom 17.07.2020
Aktenzeichen: C-311/18

* Dieser Artikel ist am 6. Oktober 2015 auf test.de erschienen und seitdem mehr­fach aktualisiert worden, zuletzt am 17. Juli 2020.

Mehr zum Thema

  • Vergessenwerden im Netz Das müssen Google und Co leisten

    - Einzel­personen haben das Recht, Links aus den Treffer­listen von Such­maschinen­betreibern wie Google entfernen zu lassen. Wie das geschehen soll, hat der Europäische...

  • Messenger-Apps im Vergleich Wo niemand mitliest

    - WhatsApp, Signal, Telegram & Co sind aus dem Alltag nicht mehr wegzudenken. Unser Messenger-Vergleich zeigt, welche der 16 Chat-Dienste im Test besonders sicher sind.

  • Soziale Netz­werke und Bewertungs­portale Wo die Meinungs­freiheit endet

    - Wer andere im Netz kritisiert, muss sich an Regeln halten. Unser Knigge für Onlinekritik klärt, wo das Recht auf freie Meinungs­äußerung endet.

13 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Profilbild Stiftung_Warentest am 14.04.2016 um 17:47 Uhr
Schlichtungsstellen und Schiedsverfahren

@BerlinJurist
Vielen Dank für Ihren Hinweis. In einem Punkt haben Sie Recht: Wir haben nicht sauber zwischen Schiedsverfahren und Schlichtung differenziert. Wir haben den Beitrag im Rahmen einer ohnehin geplanten Aktualisierung umfassend überarbeitet und dabei auch Ihre Anmerkungen berücksichtigt.
(euk/aci)

BerlinJurist am 13.04.2016 um 13:37 Uhr
Fehler über Fehler

Leider strotzt der Artikel nur vor inhaltlichen Fehlern, besonders der Abschnitt "US-Behörde soll Firmen über­wachen". Nein, kann keine Strafen androhen, sollten sich Unternehmen nicht an Daten­schutz­stan­dards halten sondern kann die Betroffenen Unternehmen nur von der Liste streichen. Die FTC kann Sanktionen nur nach § 5 des FTC-Acts nur bei unfairen oder betrügerischen Handelspraktiken anordnen. Im Übrigen überwacht sie nicht den Datenschutz.
Weiter geht es mit den Beschwerdemöglichkeiten. Hier ist der Autor wohl vollends durcheinander gekommen. Nach der Beschwerde beim Unternehmen, folgt der Anruf einer unabhängigen Schlichtungstelle (independent recourse mechanism) die jedes Unternehmen zuvor benennen muss. Dies ist aber nicht das selbe das erst danach anrufbare Schiedsgericht (Privacy Shield Panel) das aus drei US-Anwälten aus einer Liste von 20 Anwälten gewählt wird.

Dennis89 am 27.10.2015 um 12:37 Uhr
Musterbrief

Ist ausgedruckt, ausgefüllt und auf dem Postweg. Ich bin sehr gespannt wie lang die Bearbeitung dauert. Weiß denn jemand, ob es gesetzliche Fristen für die Unternehmen gibt, in der so eine Anfrage bearbeitet werden muss? Man könnte aus Sicht des Unternehmens so ein Auskunftsverlangen einfach liegen lassen, bis es eine neue Vereinbarung gibt...

stefanie.naumann am 10.10.2015 um 10:23 Uhr
Server in der EU

Auch wenn es nicht vor staatlichen Zugriffen schützt, sollte es doch für betroffene Unternehmen kein Problem sein, die Daten in Europa zu speichern.

DG8FZ am 08.10.2015 um 12:45 Uhr
Daten im Land des Kunden zu lassen = kein Problem

Die Daten im Land des Kunden zu lassen ist kein Problem,
wenn man es sich leisten kann dort einen Server zu nutzen.
Für Großunternehmen ist dieses Datenschutz-Urteil technisch, ohne Funktionseinschränkungen für die Nutzer, extrem leicht, binnen weniger Stunden, umsetzbar und in jenen Fällen allerhöchste Zeit!
Von kleinen Unternehmen das Gleiche zu fordern wäre allerdings fatal!