Datenschutzschild „Privacy Shield“ für ungültig erklärt

Der Europäische Gerichtshof (EuGH) hat eine wichtige Rechtsgrundlage für die Datenübermittlung zwischen der EU und den USA für nichtig erklärt. Das „Privacy Shield“ genannte Abkommen galt seit 2016 für die Übermittlung personenbezogener Daten von EU-Bürgern in die USA. Das Problem: „Privacy Shield“ hat es nie bis zu einem rechtlich bindenden Vertrag geschafft. Es blieb bei Absprachen und Absichtserklärungen. Das reichte dem EuGH für einen wirksamen Datenschutz nicht mehr aus. Er sieht die Daten europäischer Bürger vor dem Zugriff von US-Behörden nicht ausreichend geschützt.

Das Datenschutzschild regelte, wie in den USA mit den europäischen Daten umzugehen ist. Denn in den USA gelten Gesetze, die es den Sicherheitsbehörden erlauben, ausländische Kommunikation sehr weitreichend zu überwachen. Demnach sind US-Unternehmen verpflichtet, die aus der EU erhaltenen Informationen Behörden wie der NSA und FBI zugänglich zu machen. Betroffene haben dagegen keinerlei Handhabe.

Bereits seit Jahren steht die Datenübermittlung zwischen der EU und den USA rechtlich auf wackeligen Füßen. Der Vorgänger des Datenschutzschildes „Privacy Shield“ war das Abkommen Safe Harbor, das der EuGH 2015 kippte. Das „Privacy Shield“ wurde 2016 verabschiedet und war nicht weniger umstritten.

Dass der EuGH das transatlantische Datenschutzabkommen nun zum zweiten Mal aussetzt, zeigt, wie offensichtlich unvereinbar EU-Datenschutzrecht und die Überwachungspraxis der USA nach wie vor sind.

Das Aus für das Privacy Shield hat zwar weitreichende, im Einzelnen noch nicht absehbare Folgen. Doch bedeutet es nicht automatisch, dass grundsätzlich gar keine Daten mehr in die USA übermittelt werden dürfen:

1. Es geht um personenbezogene Daten (Nutzerdaten).
2. Neben der Privacy Shield-Vereinbarung konnten auch auf der Grundlage so genannter EU-Standardvertragsklausen (SVK) Daten aus der EU in die USA und auch in andere Staaten übertragen werden. Die Standardvertragsklauseln sind weiterhin gültig und ermöglichen einen rechtmäßigen Datentransfer. Sie müssen jeweils zwischen Datenexporteur und -importeur umgesetzt werden. Wichtig: Trotz der SVKs müssen Unternehmen prüfen, ob die Grundsätze des europäische Datenschutzrechtes im Zielland eingehalten werden. Ist das nicht der Fall, ist der Datentransfer nicht zulässig.
3. Artikel 49 der Europäischen Datenschutzgrundverordnung (DSGVO) definiert Bedingungen, unter denen die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen zulässig sind.

Für viele Unternehmen wie z.B. Facebook, aber auch viele europäische Unternehmen, die sich dem Privacy-Shield-Abkommen verschrieben hatten, bedeutet das EuGH-Urteil akuten Handlungsbedarf. Auf sie können Bußgelder nach der DSGVO zukommen.

Und die USA? Sie müssten ihre Überwachungsprogramme im Sinne Europas reformieren. Doch dass das passiert, gilt als sehr unwahrscheinlich. Andererseits bestehen in den USA wie auch auf Seiten der EU wirtschaftliche Interessen an den Datentransfers. Es bleibt also spannend zu verfolgen, ob und wie sich beide Seiten aufeinander zu bewegen.

Jenseits aller Unsicherheit, die das Urteil akut auslöst, sendet es auch ein Signal zugunsten von Privatsphäre und gegen Massenüberwachung. Bleibt zu hoffen, dass hieraus eines Tages gelebte Realität wird.