16. Juli 2020
Europäischer Gerichtshof kippt den US-EU-Datendeal „Privacy Shield“

Dürfen Firmen wie Facebook, Google oder Yahoo personenbezogene Daten bzw. Nutzerdaten aus Europa in die USA übertragen?

Die Historie

Diese Frage beschäftigt auf Betreiben des Österreichers Max Schrems seit 2013 die Justiz. Nach den Enthüllungen eines gewissen Edward Snowden und dem NSA-Skandal hatte der damalige Jura-Student die Übermittlung seiner personenbezogenen Daten durch Facebook in die USA beanstandet. Seiner Auffassung nach verletze ihn die Datenübermittlung in die USA in seinen Grundrechten, da die in die USA weitergeleiteten Daten nicht angemessen gegen US-Überwachungsprogramme gesichert seien. Die irische Datenschutzbehörde, die sich mit dem Sachverhalt zu beschäftigen hatte, wies den Fall ab. Der Europäische Gerichtshof (EuGH) kippte als Rechtsmittelinstanz im Anschluss daran jedoch das Safe-Harbor Abkommen.

Daraufhin hatte die EU-Kommission einen neuen Deal mit den USA abgeschlossen – den „Privacy Shield“. Die USA sagten damals zu, Daten von EU-Bürgern angemessen zu schützen. Allerdings handelt es sich bei dem „Privacy Shield“ um einen Selbstzertifizierungsmechanismus. US-Unternehmen, die teilnehmen wollen, gehen „die Selbstverpflichtung“ ein, bestimmte Datenschutz-Prinzipien zu befolgen und Betroffenen Rechte einzuräumen.

„Privacy Shield“

Der Jurist hat nun auch dieses Abkommen zu Fall gebracht. Er begründete seine Beschwerde weiterhin damit, dass große Firmen wie Facebook in den USA nicht fähig seien, die Daten von EU-Bürgern ausreichend zu schützen, weil ihre Gesetze Geheimdiensten und Behörden wie der NSA und dem FBI ermöglichen, auf die Daten europäischer Kunden von US-Konzernen zuzugreifen, ohne dass Betroffene dagegen vorgehen könnten. Der irische High Court wollte vom EuGH wissen, ob das EU-US-Datenschutzabkommen „Privacy Shield“ dem europäischen Datenschutzniveau gerecht wird.

Die Luxemburger Richter erklärten nun auch das „Privacy Shield“ für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet, so die Richter. Zudem sei der Rechtsschutz für Betroffene unzureichend, wenn sie in Übersee rechtlich gegen das Auslesen oder die Verwendung ihrer Daten vorgehen wollten.

Die Folgen

Das grundsätzliche Ende von Datentransfers in die USA bedeutet das EuGH-Urteil bei Weitem nicht. Unternehmen können Nutzerdaten von EU-Bürgern weiter auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übermitteln. Standardvertragsklauseln bieten Garantien dafür, dass bei der Übermittlung ins Ausland angemessener Schutz für die Daten von EU-Bürgern besteht. Das Gericht erklärte dies Klausel ausdrücklich für zulässig. Lediglich die Übertragung von Daten nach den „Privacy Shield“-Regeln könnten nun Bußgelder nach der Datenschutz-Grundverordnung auslösen.

Sebastian Schütt
Rechtsanwalt
sschuett@dierkes-partner.de
Telefon +49 - (0)40 - 36156 - 122