Urteil zu "Privacy Shield" – Ein Schild, der keinen Schutz bot

Urteil zu "Privacy Shield":Ein Schild, der keinen Schutz bot

16. Juli 2020, 15:51 Uhr

Der Europäische Gerichtshof untersagt Firmen, persönliche Informationen von EU-Bürgern nach Amerika zu übermitteln. Die EU-Kommission muss bei ihren Regeln nachbessern - vor allem aber auf die USA hoffen.

Von Wolfgang Janisch, Karlsruhe

Personenbezogene Daten dürfen nur dann aus Europa in die USA übertragen werden, wenn sie dort wirksamer als bisher vor dem Zugriff der amerikanischen Sicherheitsbehörden geschützt sind. Das folgt aus einem Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer von der irischen Facebook-Tochter in die Vereinigten Staaten.

Der EuGH beanstandete den sogenannten Privacy Shield, also das 2016 zwischen der EU und den USA vereinbarte Schutzschild-Abkommen, das als Garantie für einen reibungslosen Datentransfer dienen sollte. Nach den Worten des EuGH bietet auch dieser Schutzschild keinen hinreichenden Schutz der EU-Bürger gegen Überwachung - wie zuvor bereits das ebenfalls vom EuGH gekippte Safe-Harbor-Abkommen.

In beiden Fällen hatte der österreichische Datenschutzaktivist Max Schrems geklagt. Dabei geht es um Programme wie Prism oder Upstream, bekannt geworden durch Edward Snowdens Enthüllungen. Damit zapfen US-Behörden Datenkabel an und greifen sowohl auf Metadaten wie auch auf Inhalte zu. Laut EuGH gewähren die entsprechenden US-Vorschriften EU-Bürgern keinen angemessenen Rechtsschutz, um sich gegen Überwachungsmaßnahmen zu wehren.

Mit seinem Urteil sorgt der EuGH aber auch über den Privacy Shield hinaus dafür, dass beim Datentransfer aus Europa in die USA europäische Datenschutzstandards eingehalten werden müssen. Der in der Praxis sehr viel wichtigere Weg ist die Datenübertragung mithilfe sogenannter "Standardvertragsklauseln". Facebook stützt sich im Wesentlichen auf solche Klauseln - ein System vertraglicher Garantien, das auf einem Beschluss der EU-Kommission beruht.

"Angemessenes Schutzniveau"

Diesen Beschluss selbst greift der Gerichtshof zwar nicht an. Er macht aber zugleich deutlich, dass auch für diese Variante des Datentransfers ein "angemessenes Schutzniveau" sichergestellt werden muss, das den Grundrechtsgarantien der Europäischen Union im Wesentlichen entspricht. Weil der Zugriff der US-Behörden auf Datenbestände dort gesetzlich erlaubt ist und daher vertraglich kaum ausgeschlossen werden kann, könnten nun nationale Datenschützer - wie etwa die für Facebook zuständige irische Datenschutzbehörde - den Transfer stoppen.

Die Aufsichtsbehörden seien verpflichtet, die Übermittlung auszusetzen, wenn die Klauseln im Zielland nicht eingehalten würden und so der Datenschutz auf EUNiveau nicht garantiert sei. Möglich bleibt ein Datentransfer zwar auch ohne Schutzschild und ohne Klauseln - aber unter deutlich eingeschränkten Bedingungen.

Die EU-Kommission setzt nun offenbar vor allem auf eine Modernisierung der Standardvertragsklauseln. Daran arbeite man bereits seit einiger Zeit, sagte EU-Justizkommissar Didier Reynders; Details nannte er nicht. Man werde alles tun, um das Urteil vollständig umzusetzen. Kommissions-Vizepräsidentin Věra Jourová verhehlte nicht, dass sie sich in den USA deutlich strengere Schutzvorkehrungen zugunsten der EU-Bürger wünschen würde - aber die EU könne die US-Gesetze nicht ändern. Man stehe in Kontakt mit der US-Regierung.