Der Europäische Gerichtshof hat die "Privacy Shield"-Vereinbarung gekippt. Damit ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal. Das dürfte drastische Auswirkungen auf viele Unternehmen in der EU haben, die auf den "Privacy Shield" vertraut haben.
In dem Verfahren ging es um Serviceanbieter wie Facebook, Google, Microsoft, Apple und Yahoo, mit vielen Nutzern in der EU. Und um die Frage, ob die Datenschutzgarantien der USA den Ansprüchen der Europäischen Union genügen. Denn der strenge europäische Datenschutz erlaubt den Transfer von Daten in ein Nicht-EU-Land nur, wenn die Daten dort ebenfalls gut geschützt sind. Für die USA hat der EuGH nun geurteilt: Die Überwachungsgesetze der USA seien zu weitreichend, als dass der "Datenschutz-Schild" EU-Bürger angemessen vor ihnen schützen könne.
Die EU-Kommission konnte als Teil der Vereinbarung zwar eine Ombudsperson auf Seiten der USA installieren. An die sollen sich EU-Bürger wenden, wenn sie ihre Privatsphäre durch US-Unternehmen verletzt sehen. Doch deren Position ist den Richtern nicht unabhängig genug, und sie bezweifeln, dass diese Ombudsperson die Macht hat, sich für EU-Bürger einzusetzen.
Derzeit geschieht der Datenaustausch meist auf Grundlage sogenannter Standardvertragsklauseln, die Garantien dafür bieten, dass es bei der Übermittlung ins Ausland angemessenen Schutz für die Daten von EU-Bürgern gibt. In einigen Fällen legt auch der Datenschutz-"Schild" Standards für den Umgang mit europäischen Informationen in den USA fest. Die Standardvertragsklauseln sind aber gebräuchlicher. Das Gericht erklärte sie für zulässig - aber nur, wenn der Datenschutz in dem anderen Land gewährleistet sei. Das ist im Falle der großen US-TechKonzrene fraglich. Schließlich hatte Whistleblower Edward Snowden unter anderem enthüllt, dass die NSA Daten von Facebook-Nutzern abgreifen kann. Facebook geht einem Statement zufolge davon aus, dass es die Standardklauseln weiter verwenden darf. Im Gegensatz zu den Klauseln ist der "Privacy Shield" in jedem Fall ungültig.
Ins Rollen gebracht wurde der Fall durch den österreichischen Datenschutzaktivisten Max Schrems, nach dessen Klage der Europäische Gerichtshof 2015 bereits das transatlantische "Safe Harbor"-Abkommen zwischen EU und USA kassiert hatte. Daraufhin hatte die EU-Kommission einen neuen Deal mit den USA abgeschlossen - eben den "Privacy Shield". Die USA sagten zu, Daten von EU-Bürgern angemessen zu schützen. Max Schrems und andere Aktivisten argumentieren, dass die USA dazu aber gar nicht fähig sind - weil ihre Gesetze Geheimdienste und andere Behörden ermächtigen, auf die Daten europäischer Kunden von US-Konzernen zuzugreifen. Auch die verbesserten Kontrollen, die die USA nach Snowdens Enthüllungen über die Schnüffeleien der Geheimdienste eingeführt haben, reichen den Kritikern nicht.
Im aktuellen Fall hatte Schrems bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. In Irland ist der Europasitz des US-Konzerns. Schrems begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie NSA und FBI die Daten zugänglich zu machen - ohne dass Betroffene dagegen vorgehen können.
Nun droht wie schon nach dem Ende von "Safe Harbor" Unsicherheit für Unternehmen: Mehrere Tausend von ihnen haben sich den "Privacy Shield"-Regeln verschrieben, aus Europa auch Siemens, Telefonica und Aldi. Die IAPP, eine weltweite Vereinigung von Datenschützern, erklärte: Die Entscheidung werde zehntausende US-Unternehmen um die legale Möglichkeit bringen, transatlantische Geschäfte im Wert von Billionen von Dollar zu machen.
Übertragen Unternehmen nun weiter unter den "Privacy Shield"-Regeln Daten, könnte es Bußgelder nach der Datenschutz-Grundverordnung hageln. Alexander Rabe vom Internet-Industrieverband Eco hatte vor dem Urteil gewarnt, ohne den Schild gebe es praktisch keine Alternativen, Daten legal aus der EU in die USA zu übertragen. Sollte die Übereinkunft gekippt werden, wäre das "fatal". US-Konzerne hatten nach "Safe Harbor" begonnen, Nutzerdaten in der EU zu speichern, um das Problem zu umgehen.
Der EuGH war ins Spiel gekommen, weil ein irisches Gericht von ihm wissen wollte, ob die sogenannten Standardvertragsklauseln und das "Privacy Shield" mit dem europäischen Datenschutzniveau vereinbar sind.
Max Schrems kommentierte: "Ich bin sehr froh über die Entscheidung." Sie sei ein "totaler Schlag gegen die irische Datenschutzbehörde und gegen Facebook". Die USA müssten nun ihre "Überwachungsgesetze ernsthaft ändern", damit US-Unternehmen in Europa weiter mitspielen könnten.