EuGH kippt EU-US-Datenschutzabkommen
16. Juli 2020
Ein österreichischer Jurist und Datenschutzaktivist gegen eines der mächtigsten Unternehmen der Welt: Max Schrems versus Facebook. Der perfekte Stoff für eine Heldengeschichte.
Seit Jahren schon kämpft Schrems gegen die Datenschutzpolitik des US-Unternehmens. Der Aktivist will verhindern, dass Facebook weiterhin die in der europäischen Zentrale in Dublin gespeicherten Daten von EU-Bürgern an Facebook-Server in den USA übermittelt. Dort können Sicherheitsdienste legal Zugriff auf diese Daten erhalten, wenn es der nationalen Sicherheit dient.
Einen ersten großen Erfolg in dieser Sache hatte Schrems 2015 vor dem Europäischen Gerichtshof (EuGH) erzielt. als die obersten EU-Richter das so genannte "Safe Harbor"-Abkommen, das diesen Datenaustausch ermöglichte, für ungültig erklärt hatten. Mit der Vereinbarung "Privacy Shield" handelten Brüssel und Washington aber nach dem Urteil ein Nachfolgeabkommen aus, das den US-IT-Giganten weiter die Speicherung europäischer Daten in den USA ermöglichte. Jetzt haben die Richter in Luxemburg auch diese Vereinbarung gekippt.
Der Grund damals wie heute: Die Datenschutzvorgaben in den USA entsprechen nicht denen der EU, was aus Sicht der Richter heißt, dass die Daten von europäischen Bürgern auf US-Servern nicht ausreichend geschützt werden.
Schrems: "Ich bin sehr glücklich über das Urteil"
Unmittelbar nach dem Urteil zeigte sich Schrems in einer ersten Reaktion zufrieden über die Entscheidung. "Es sieht so aus, als ob das Gericht uns in allen Aspekten gefolgt ist. Das ist ein totaler Schlag gegen die irische Datenschutzbehörde DPC und Facebook."
Auch Datenschutzexperte Paul Breitbarth, Direktor des Unternehmens TrustArc, verbucht das Urteil als 100-prozentigen Erfolg für Schrems. "Seine Absicht war es, den Datentransfer zwischen Irland und den USA kritisch hervorzuheben." Und das habe er geschafft.
Dass der EuGH nach "Safe Harbor" nun auch "Privacy Shield" für unzulässig erklärt, wirft aus Sicht von Beobachtern kein gutes Licht auf die zuständigen EU-Behörden. Birgit Sippel, Europaabgeordnete der deutschen Sozialdemokraten, sagt, es reiche nicht aus, die USA und ihre Überwachungsgesetze zu kritisieren. "Die EU-Datenschutzbehörden können und müssen mehr tun, um europäische Grundrechte zu schützen."
Schrems selbst bemängelt, dass sich die EU-Kommission dem Druck der USA gebeugt hätte, als sie 2016 "Privacy Shield" abschloss. Seit den Enthüllungen des Whistleblowers Edward Snowden ist öffentlich bekannt, dass US-Sicherheitsbehörden Daten von Unternehmen wie Facebook, Microsoft und Google abgreifen.
Was passiert mit den Datenflüssen zwischen der EU und den USA?
Die Frage, die sich nun stellt, ist, ob weiterhin Daten zwischen der EU und den USA fließen dürfen. Mit dem Urteil ist klar, dass ein Teil der Datenflüsse illegal ist. Laut EuGH soll die Übertragung von Daten allerdings weiterhin über Standardvertragsklauseln (SVK) möglich sein. Ein sperriger Begriff für ein Verfahren, mit dem Daten von EU-Bürgern in andere Länder übertragen werden können. Das oberste EU-Gericht machte allerdings deutlich, dass der Datenschutz in anderen Ländern dem in der EU entsprechen müsse.
"Das ist eine klare Botschaft an Datenschutzbehörden, dass sie aufhören müssen, SVK als Grundlage zu nehmen, wenn sie der Meinung sind, persönliche Daten von europäischen Bürgern könnten in einem Drittland gefährdet sein", sagt Datenschutzexperte Breitbarth.
Wie genau es jetzt weitergeht, ist noch unklar. Der Branchenverband Bitkom beklagt eine "massive Rechtsunsicherheit", wenn Unternehmen nun Daten in den USA verarbeiteten. Aus Sicht von Thomas Boué von BSA, einem Interessenverband von Softwareanbietern, ist es "sehr enttäuschend", dass der EuGH "Privacy Shield" für ungültig erklärt hat - vor allem, weil Tausende Firmen sich auf die Vereinbarung verlassen hätten.
In der EU Kommission bemüht man sich um Schadensbegrenzung: Justizkommissar Didier Reynders sieht das Urteil als "weiteren Schritt", der zeige, wie sich die EU für den Datenschutz ihrer Bürger einsetze. Reynders will nun mit seinen Counterparts in den USA darüber sprechen, wie der Transfermechanismus gestärkt werden könne.