Knapp fünf Jahre nach dem Aus für ein EU-Datenschutzabkommen mit den USA hat der Europäische Gerichtshof (EuGH) auch das Nachfolgeabkommen gekippt. Der EuGH erklärte am Donnerstag den „Privacy Shield“-Beschluss der EU für ungültig. Grundsätzlich möglich bleibt die Datenweitergabe in die USA für Unternehmen aber auf Basis sogenannter Standardvertragsklauseln, weil dabei nach Ansicht des EuGH ausreichende Schutzmechanismen bestehen. Auslöser für das Urteil war ein Rechtsstreit um den Transfer von Facebook-Daten aus der EU in die USA. (Az. C-311/18)
Im Oktober 2015 hatte der Gerichtshof das „Safe Harbor“-Abkommen gekippt, das eine Grundlage für die Datenweitergabe in die USA bildete. Nach EU-Recht dürfen personenbezogene Daten nur dann an Drittländer weitergegeben werden, wenn sie dort „angemessen“ geschützt sind. Die EU-Kommission hatte im Juni 2000 entschieden, dass dies in den USA gewährleistet ist und das Land als „sicheren Hafen“ (safe harbor) eingestuft.
Der EuGH erklärte den entsprechenden Beschluss jedoch vor knapp fünf Jahren für ungültig. Daraufhin wurde das „Privacy Shield“-Abkommen ausgehandelt, das jetzt vor dem Gerichtshof ebenfalls keinen Bestand hatte.
Es würden nicht die Anforderungen für einen dem Unionsrecht gleichwertigen Datenschutz erfüllt, entschieden die Richter. In dem Beschluss zum „Privacy Shield“ (etwa: Schutzschild für Privatsphäre) werde wie zuvor bei der „Safe Harbor“-Entscheidung den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang“ eingeräumt, was Eingriffe in die Grundrechte von Bürgern ermögliche. Der bei „Privacy Shield“ bestehende Ombudsmechanismus biete zudem keine Garantien, die denjenigen nach dem Unionsrecht gleichwertig wären.
Bei den sogenannten Standardvertragsklauseln für die Datenweitergabe sahen die EuGH-Richter dagegen Schutzmechanismen, die „in der Praxis gewährleisten können, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird“. Die auf solche Klauseln gestützten Datentransfers könnten auch ausgesetzt oder verboten werden, wenn dagegen verstoßen werde oder die Einhaltung unmöglich sei.
Beide Entscheidungen des EuGH zu den EU-Abkommen mit den USA erwirkte der österreichische Datenschutz-Aktivist Maximilian Schrems. Er wehrt sich seit Jahren dagegen, dass Facebook in Europa mit Firmensitz in Irland Daten an den Mutterkonzern in den USA weitergibt. Er forderte deshalb vom irischen Datenschutzbeauftragten, alle Datenübermittlungen auszusetzen.
Schrems begründet dies damit, dass das Unternehmen in den USA verpflichtet sei, Daten nationalen Behörden wie der Bundespolizei FBI zugänglich zu machen. Die Betroffenen könnten dagegen nicht gerichtlich vorgehen. Der Oberste Gerichtshof Irlands legte den Fall dem EuGH vor.
Schrems erklärte nach dem Urteil, es sehe nach einem hundertprozentigen Sieg für die Privatsphäre aus. Die USA müssten ihren Regelungen nun reformieren.
Kritik kam von der US-Computerbranche. Die Entscheidung schaffe Unsicherheit für tausende große und kleine Firmen auf beiden Seiten des Atlantiks, erklärte der Branchenverband CCIA. Er appellierte an die Verantwortlichen in der EU und den USA, schnell eine „nachhaltige Lösung“ zu finden.
Auch der deutsche Digitalverband Bitkom warnte, durch das Urteil entstehe für Unternehmen „massive Rechtsunsicherheit“. „Internationale Datenströme sind das Fundament einer globalisierten Wirtschaft“, erklärte Geschäftsleitungsmitglied Susanne Dehmel. Für global tätige Unternehmen sei es entscheidend, dass sie ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln könnten. Die EU müsse jetzt schnell für Rechtssicherheit sorgen.
