EuGH kippt EU-US-Datenschutzschild
16. Juli 2020
Der Europäische Gerichtshof (EuGH) hat die EU-Datenschutzvereinbarung ("Privacy Shield") mit den USA gekippt. Allerdings können Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden. Grundsätzlich müssten die Betroffenen dabei ein Schutzniveau genießen, das dem in der Union durch die Datenschutzgrundverordnung garantierten Niveau "der Sache nach gleichwertig" sei.
Der Datenschutzschild ist eine Vereinbarung zwischen der Europäischen Union und den USA über den Schutz personenbezogener Daten. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien hier die Anforderungen an den Datenschutz nicht gewährleistet, so der EuGH. Auch die Standardvertragsklauseln sollen EU-Bürgern gewisse Rechte zusichern, wenn Nutzerdaten ins Ausland abfließen. Sie seien generell nicht zu beanstanden, entschieden die Luxemburger Richter.
Zugriff durch die NSA
In dem Verfahren standen Serviceprovider wie Facebook, Google, Microsoft, Apple und Yahoo im Fokus. Hintergrund ist eine Beschwerde des Aktivisten Max Schrems. Der österreichische Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er machte geltend, dass Facebook in den Vereinigten Staaten dazu verpflichtet sei, die Daten Behörden wie dem Geheimdienst NSA oder dem FBI zugänglich zu machen - ohne dass Betroffene dagegen vorgehen können.
Der Oberste Gerichtshof Irlands wollte daher vom EuGH wissen, ob die Standardvertragsklauseln und der EU-US-Datenschutzschild ("Privacy Shield") mit dem europäischen Datenschutzniveau vereinbar sind.
"Ein totaler Schlag"
Schrems erklärte in einer ersten Reaktion, das Urteil sei "ein totaler Schlag für die irische Datenschutzbehörde DPD und Facebook". Auf Schrems' Betreiben hin hatte der EuGH bereits 2015 den Vorgänger des EU-US-Datenschutzschilds - die sogenannte Safe-Harbour-Regelung - gekippt. Begründung: Die Daten europäischer Bürger seien nicht ausreichend vor Ausspähungen durch US-Behörden geschützt. Für die Einschätzung spielten Enthüllungen des Whistleblowers Edward Snowden eine wichtige Rolle. Dieser hatte 2013 die ausufernde Internetüberwachung durch US-Geheimdienste öffentlich gemacht.
Der Generalanwalt des EuGH hatte die Standardvertragsklauseln im Dezember für grundsätzlich zulässig befunden. Die Verantwortlichen für die Datenverarbeitung und die Kontrollbehörden seien jedoch verpflichtet, die Übermittlung zu stoppen, sobald die Datenschutzvorgaben nicht eingehalten werden. Im konkreten Fall müsste dann also die irische Datenschutzbehörde eingreifen.
jj/se (dpa, afp, ap)